Настройка удаленного доступа к интернет-центру из Интернета (для версий NDMS 2.11 и более ранних)
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статьях «Доступ из Интернета к веб-интерфейсу Keenetic» и «Доступ из Интернета к интерфейсу командной строки Keenetic».
Важно! Возможность установить галочки в Доступ к веб-конфигуратору через Интернет и Доступ к командной строке через Интернет появляются лишь в том случае, когда установлен пароль на учетную запись admin (установить пароль можно в меню Система > Пользователи).
При необходимости можно изменить стандартные порты управления интернет-центром.
Внимание! Удаленный доступ из Интернета к роутеру также можно организовать с помощью правил Межсетевого экрана и эти правила будут иметь БОЛЬШИЙ приоритет.
Таким образом, если у вас доступ к интернет-центру будет разрешен через Межсетевой экран, то установка указанных выше опций в веб-интерфейсе не имеет смысла.
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/80 (HTTP)
Подобная настройка через интерфейс командной строки (CLI) будет выглядеть так:
Если вы хотите разрешить удаленный доступ к веб-интерфейсу интернет-центра только с определенного IP-адреса или только для определенной подсети, в этом случае правило межсетевого экрана будет выглядеть следующим образом:
В нашем примере создано правило для интерфейса ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE , L2TP или PPTP), нужно создавать правило для этого интерфейса.)
В поле Действие установите значение Разрешить, в поле IP-адрес источника установите значение Один (для доступа из Интернета только с одного указанного IP-адреса) или Подсеть (для доступа с какой-то определенной подсети IP-адресов) и укажите соответственно IP-адрес или подсеть (в нашем примере мы предполагаем, что доступ к веб-интерфейсу интернет-центра будет возможен только с IP-адреса 89.88.87.86). В поле Протокол можно указать конкретный стандартный протокол (в нашем примере это порт TCP/80), через который будет разрешен доступ. В поле Номер порта назначения вы также можете самостоятельно указать нужный номер порта, если он нестандартный.
2. Для удаленного доступа по протоколу telnet (к интерфейсу командной строки CLI интернет-центра) правило межсетевого экрана будет выглядеть так:
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/23 (Telnet)
Подобная настройка через интерфейс командной строки будет выглядеть так:
3. Если вам требуется перевести удаленное управление устройством из Интернета на другой порт (например, ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080), в меню Безопасность > Трансляция сетевых адресов в правиле NAT в поле Номер порта нужно указать требуемый внешний номер порта (например, 8080):
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией (PPPoE, L2TP, PPTP), нужно указывать его.)
Протокол: TCP/80
Номер порта: 8080
Перенаправить на адрес: 192.168.1.1 (IP-адрес интернет-центра)
Новый номер порта назначения: 80
Подобная настройка через интерфейс командной строки будет выглядеть так:
| >ip stаtic tcp ISP 8080 192.168.1.1 80 /перенаправление с порта 8080 на 80/ |
4. Чтобы разрешить интернет-центру отвечать на пинг из внешний сети (из Интернета), требуется добавить разрешающее правило в настройках межсетевого экрана в меню Безопасность > Межсетевой экран:
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой (если у вас используется глобальный постоянный «белый» IP-адрес, можно указать его)
Протокол: ICMP
Теперь вы сможете подключиться к веб-конфигуратору вашего интернет-центра серии Keenetic из Интернета.
Пользователи, считающие этот материал полезным: 41 из 48
Доступ из Интернета к веб-интерфейсу
По умолчанию доступ к управлению интернет-центром, к его веб-конфигуратору, из Интернета заблокирован. Это реализовано с целью безопасности интернет-центра и домашней (локальной) сети от несанкционированного доступа из внешней сети.
Доступ к веб-конфигуратору роутера из Интернета возможен как при наличии частного («серого»), так и публичного («белого») IP-адреса на его внешнем (WAN) интерфейсе, через который осуществляется подключение.
NOTE: Важно! Начиная с версии KeeneticOS 3.1 изменилась реализация доступа к управлению интернет-центром (к его веб-конфигуратору) из Интернета. Если у вас не выбрана настройка «Разрешить доступ из Интернета — по HTTP» в старых версиях KeeneticOS, то доступ к веб-конфигуратору после обновления на 3.1 будет ограничен. Настройка «Разрешить доступ из Интернета — по HTTP» на странице «Пользователи и доступ» имеет приоритет в настройках Межсетевого экрана в версии 3.1.
Для настройки удаленного доступа воспользуйтесь нашим сервисом доменных имен KeenDNS. Он позволит получить постоянный интернет-адрес для Keenetic. Вы сможете подключаться из Интернета ко встроенным приложениям интернет‑центра и открытым сервисам домашней сети, используя собственное постоянное доменное имя, например, myrouter01.keenetic.pro. В отличие от других подобных сервисов, KeenDNS полностью бесплатен, а еще может работать не только напрямую, но и через облако. В этом случае удаленный доступ к интерфейсу и встроенным приложениям будет работать даже при отсутствии публичного IP-адреса (например, при подключении через 3G/4G-модем).
NOTE: Важно! Цифровой сертификат и закрытый ключ HTTPS хранятся непосредственно на конечном устройстве (интернет-центре). При доступе через облачный сервер, по протоколу HTTPS, защищенный туннель строится до интернет-центра, что обеспечивает безопасность и конфиденциальность передаваемых данных через Интернет. Сеанс устанавливается с использованием сквозного шифрования (end-to-end encryption). Это означает, помимо прочего, что информация, передаваемая между интернет-центром и браузером по HTTPS, недоступна облачным серверам KeenDNS, обеспечивающим передачу данных на транспортном уровне. При облачном доступе по HTTP защищенный канал устанавливается между интернет-центром и сервером KeenDNS с использованием цифрового сертификата KeenDNS, что также гарантирует безопасность и защиту данных от перехвата.
Итак, включите сервис KeenDNS, придумайте имя для интернет-центра и зарегистрируйте его.
После регистрации доменного имени KeenDNS вы сможете обратиться по нему к веб-интерфейсу роутера из Интернета. Для этого запустите веб-браузер и в адресной строке введите имя KeenDNS. Например:
Или с мобильного устройства:
Таким образом, пользователь (находящийся в Интернете) сможет получить удаленный доступ к управлению интернет-центром.
Также можно воспользоваться одним из сервисов динамического DNS. Но данный вариант применим только при наличии публичного IP-адреса на внешнем (WAN) интерфейсе роутера. Дополнительную информацию вы найдете в статье «Доменное имя DDNS».
NOTE: Важно! Через службу KeenDNS в режиме «Через облако» возможен доступ только к веб-интерфейсу интернет-центра. Доступ к интерфейсу командной строки (CLI) интернет-центра по протоколу TELNET/SSH работать не будет. В режиме «Прямой доступ» можно использовать любой протокол, который не ограничен вашим провайдером, для удаленного доступа в домашнюю сеть.
TIP: Примечание: В данной статье приведен пример подключения к веб-конфигуратору, который использует стандартный (предустановленный) порт с номером 80.
При необходимости, вы можете сменить стандартный номер порта управления веб-конфигуратором на другой (81, 280, 591, 777, 5080, 8080, 8090 и 65080). Сделать это можно на странице «Пользователи и доступ» в разделе » Порты TCP для управления интернет-центром». После смены стандартного порта управление интернет-центром будет доступно уже по новому указанному номеру. Теперь в веб-браузере к адресу роутера добавляйте двоеточие и новый номер порта. Например: myrouter01.keenetic.pro:5080
Начиная с версии KeeneticOS 3.1 в настройках удаленного доступа (на странице «Пользователи и доступ») можно выбрать значение «Только HTTPS», что повышает безопасность доступа к веб-конфигуратору интернет-центра.
Пользователи, считающие этот материал полезным: 22 из 31