Проброс портов и настройка роутера для внешнего доступа
Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.
Зачем открывать доступ извне?
Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.
Цвета и формы IP-адресов
Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.
Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.
Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.
Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.
Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.
Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.
Кто я, где я, какого я цвета?
С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.
В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.
Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.
Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.
Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.
Что такое порты и зачем их бросать?
Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).
Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.
Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.
Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.
Игровые порты: что, куда бросаем?
Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.
У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.
Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.
В следующей таблице приведены некоторые игры и используемые ими порты на ПК:
Настройка удалённого доступа к компьютеру через роутер
Распространённая задача: настроить удалённый доступ к компьютеру, который подключён к Интернету через роутер.
Решение: сделать перенаправление порта на роутере. Перенаправление порта ещё называют публикацией порта или пробросом порта. В английской терминологии используются термины Port Forwarding и Port Publishing.
Что такое проброс порта
Перенаправление порта — это сопоставление определённого внешнего порта шлюза (роутера, модема) с нужным портом целевого устройства в локальной сети (сервера, рабочей станции, сетевого хранилища, камеры, регистратора и т.п. )
А вот какой порт пробрасывать, зависит от того, каким способом вы хотите получать доступ к компьютеру.
Как настроить удалённый доступ через RDP (удалённый рабочий стол, терминал)
Подключения по протоколу RDP осуществляются на порт целевого 3389 компьютера. Что нужно сделать:
Шаг 1 Разрешить входящие RDP подключения на компьютере
Внимание! Осуществлять ВХОДЯЩИЕ подключение через Удалённый рабочий стол возможно к следующим редакциям ОС Windows:
Windows XP Professional;
Windows 7/8.1 Professional;
Windows 7/8.1 Ultimate;
Windows 7/8.1 Corporate.
В Windows XP Starter, Home Edition, в Windows Vista/7/8/8.1 Starter, Home Basic, Home Premium возможность входящих подключений отсутствует.
Для этого открываем Свойства системы (WIN+Break), нажимаем на ссылку Дополнительные параметры системы:
Переходим на вкладку Удалённый доступ, ставим переключатель в положение Разрешать подключения к этому компьютеру, снимаем галку Разрешать подключения только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети (рекомендуется) и нажимаем ОК для применения настройки:
Шаг 2 Создать на компьютере учётную запись, под которой будет подключаться пользователь удалённого рабочего стола.
Требование №1. Эта учётная запись обязательно должна иметь пароль. Согласно настроек по умолчанию локальной политики безопасности, учётным записям без пароля подключение по RDP запрещено. Разрешать удалённый доступ незапароленным учётным записям в политиках безопасности не рекомендуется. Это создаст угрозу несанкционированного доступа со стороны злоумышленников.
Требование №2. Если пользователь НЕ является администратором на локальном компьютере, его необходимо добавить в группу Пользователи удалённого рабочего стола. Это можно сделать двумя способами.
Как разрешить пользователю без административных привилегий подключаться к удалённому рабочему столу
Способ первый.
Нажмите правой кнопкой по системному ярлыку Этот компьютер и выберите Управление:
В окне Управление компьютером выберите Локальные пользователи и группы => Пользователи:
В списке найдите нужного пользователя и двойным щелчком вызовите его свойства:
Перейдите на вкладку Членство в группах и нажмите кнопку Добавить:
Нажмите кнопку Дополнительно:
Затем, кнопку Поиск:
Выделите в списке группу Пользователи удалённого рабочего стола и нажмите OK:
В окнах Выбор группы и Свойства: нажмите OK:
Способ второй.
Вызовите свойства системы (Win+Break) , нажмите Дополнительные параметры:
Зайдите на вкладку Удалённый доступ и нажимаем кнопку Выбрать пользователей:
Нажмите кнопку Добавить:
Нажмите Дополнительно:
и Поиск:
В списке выберите учётную запись пользователя, которому хотите предоставить права для удалённого доступа, и нажмите OK:
Теперь нажмите OK в двух следующих окнах:
Шаг 3 Создать на роутере правило проброса, согласно которому при запросе на заданный порт подключение будет перенаправляться на порт 3389 нужного компьютера.
В роутерах D-Link нужный раздел может называться Virtual Server, как в D-Link DIR-615:
Также, он может называться Port Forwarding, как, например, в DIR-300:
- Даём произвольное имя правилу;
- Открываем НЕстандартный порт на роутере, который не занят (поле Public Port);
- Указываем IP-адрес целевого компьютера в сети, куда должен попадать удалённый пользователь (поле IP-Address);
- Указываем номер порта, через который работает приложение или служба на компьютере. В нашем случае, для службы сервера удалённых рабочий столов это порт 3389 (поле Private Port).
Если ваш провайдер выдаёт вашему роутеру динамический адрес, вам удобно воспользоваться службой Dynamic DNS. У компании D-Link есть свой сервис, где можно бесплатно зарегистрировать Интернет-адрес (т.е. домен) и настроить доступ к вашему роутеру и локальной сети через него.
Для настройки Dynamic DNS зайдите в раздел MAINTENANCE, выберите подраздел DDNS Settings и нажмите на ссылку Sign up… для перехода на сайт и регистрации домена. Затем настройте синхронизацию домена с IP-адресом роутера в области DYNAMIC DNS SETTINGS и сохраните настройки кнопкой Save Settings:
После этого можно будет подключаться не по IP-адресу, а по адресу вида vash-adres.dlinkddns.com:port
Проверка подключения к компьютеру через удалённый рабочий стол
Запустите клиент сервера удалённых рабочих столов:
В поле Компьютер введите адрес и порт через двоеточие. В поле Пользователь введите имя пользователя и нажмите кнопку Подключить:
Далее может появиться сообщение:
Установите галку Больше не выводить запрос о подключениях к этому компьютеру и нажмите кнопку Подключить:
Теперь введите пароль пользователя, установите галку Запомнить учётные данные, если не хотите вводить пароль каждый раз, и нажмите OK:
После этого может появиться сообщение:
Здесь можно установить галку Больше не выводить запрос о подключениях к этому компьютеру и нажать Да:
Читайте также:
14 комментариев к “Настройка удалённого доступа к компьютеру через роутер”
Сергей, помогите вот в такой ситуации:
На работе стоят стационарные ПК с выходом на единый удаленный рабочий стол.
Каждый сотрудник подключается к удаленному рабочему столу под персональным именем Пользователя и паролем, но «Компьютер» у всех одинаковый (точнее, подключаются все к одному IP)
У меня часто возникает необходимость работать вне офиса и есть необходимость в подключении к удаленному рабочему столу. Но, скопировав, ярлык RDP на ноутбук, я не могу подключиться. Выскакивает ошибка, типа «Удаленному рабочему столу не удалось подключиться и т.д… и далее 3 возможные причины…»
Кстати, пробовал также создавать на ноутбуке новое подключение и вводил те же самые данные, что и на рабочем ПК
P.S. на рабочем ПК и на ноутбуке установлены идентичные ОС
В чем причина отказа в доступе?
Сервер находится в том же офисе? Если да, то скорее всего причина в следующем: находясь в офисе вы подключаетесь по внутреннему («серому») IP вроде 192.168.*.* или 10.10.*.*, и логично, что подключиться по такому адресу из дому не получится. Тут как минимум нужен внешний IP и скорее всего нужен проброс порта, если сервер находится за роутером.
А можно чуть подробнее по этому вопросу?
Есть внешний IP, по которому я цепляюсь к серверу. И есть «серый» IP моего рабочего компа. Каким образом можно настроить переброс, чтобы я автоматом попадал на свой комп и не шарился по серверу в поисках еще одного RDP подключения? Заранее спасибо.
Если у вас шлюзом является сервер (компьютер), а не роутер (коробочка), то проброс нужно сделать на сервере. Для этого используется служба RRAS или дополнительное ПО типа ISA Server. Если у вас есть сервер, то должен быть и системный администратор. Можно попросить его сделать проброс порта.
Классная статья, всё подробно и понятно. Добавлю, что подключаться может 1 пользователь, для 2х и более нужно или Ms Server или аналогичные программы, я бы посоветовал Thinstuff. Она не дорогая, по сравнениею с макрософтом, но работает не хуже. Отзывы о ней положительные.
Просто, спасибо большое!
Доступно.
понял что в Win 8.1, без установки «оснасток» secpol.msc и gpedit.msc» я не обойдусь.
Я правильно понял ?
…………………………………..не трудно подтвердите или разубедите
Win 8.1 для одного языка-я забыл добавить
Добрый день. Замечательная статья, однако столкнулся с такой проблемой:
RDP IP = 192.168.0.10 (сделал его статическим внутри моей сети)
Имя DDNS получил от no-ip.com (например comp.4ddns.net);
Сделал проброс порта на роутере: внешний порт 3377/внутренний порт 3389
RDP подключение на 192,168,0,10 работает стабильно
RDP подключение на comp.4ddns.net:3377 работает стабильно
мне теперь нужно поменять внешний IP адрес компьютера, к которому подключаюсь(чтобы был, например, американский IP). Меняю IP используя vpnbook.com
1)RDP подключение на 192,168,0,10 c IP от vpnbook.com работает стабильно
2)RDP подключение на comp.4ddns.net:3377 c IP от vpnbook.com не подключается
Роутер залогинен на no-ip.com в обоих случаях.
Насколько я понимаю, разница между 1 и 2 только в типе подключения, т.е. если я подключаюсь по варианту№2 то путь будет
comp.4ddns.net:3377->мой роутер->192,168,0,10:3389
вариант №1
192,168,0,100->мой роутер->192,168,0,10:3389
Подскажите, пожалуйста, как можно настроить подключение, чтобы работал вариант№2 с измененным внешним IP RDP машины.
Заранее спасибо
Спасибо все достаточно понятно Но.
Есть такой вопрос…..
есть сервер IIS , который доступен по адресу http://localhost, или http://127.0.0.1
при этом Ip 32.32.32.32 к примеру.
Так вот по этому адресу http://32.32.32.32 открывается стартовая страница роутера( логин и пароль для входа) Даже если ввести данные то войти не возможно. Страница висит очень долго и ничего не происходит.
Так вот Вопрос по теме… как настроить роутер по TCP/IP и порт 80 для входа на локальный сервер
если я правильно вас понял, то вам нужно заходить на сервер IIS именно через внешний 80 порт. В этом случае нужно:
1. перенести админку роутера на другой порт, например 8080. Это обычно делается в разделе Удаленный доступ (Remote Management) или подобном. Судя по всему, вам мешает именно то, что порт 80 на внешем IP (то есть на WAN-интерфейсе) занят веб-интерфейсом роутера.
2. После этого сделать проброс «внешний адрес: порт 80 => локальный адрес: порт 80». Я думаю, вы это уже как раз сделали.
После этого при запросе на «внешний_IP:80» вы будете попадать на 80 порт локального сервера в сети.
Классная статья! Но есть вопрос: имеется сеть, в которую интернет от провайдера приходит на маршрутизатор с оптикой, Внешний IP белый. Далее имеется еще один маршрутизатор Asus (он стоит в сети за первым маршрутизатором) и за asusом локальная сеть с рабочими станциями и сервером. Вопрос: как пробросить порты на первом и втором маршрутизаторе, чтобы из вне попасть на сервер, посредством RDP конечно?
Добрый день!
Сделал всё как описано, но по внешнему ip не получается подключиться. В локальной сети вхожу через .rdp на компьютер по внутреннему ip и всё работает. А из вне, по внешнему (белому) ip, подключиться не получается. Видимо, что-то ещё нужно донастроить в роутере.
Подскажите, пожалуйста, что можно попробовать сделать в данном случае?
Добрый день. Если по локалке пускает, то фаервол должен быть не при чем. Но все же попробуйте временно его отключить. Также попробуйте настроить проброс не на порт 3389, а на какой-нибудь 33033, и его уже пробросить к нужному компу на порт 3389. На случай, если порт 3389 на роутере как-то заглючил из-за предустановленного правила проброса.
Если IP действительно белый на самом WAN порту, то должно пускать. Ну, очень редко может быть, что провайдер как-то блокирует некоторые порты. Попробуйте обратиться в поддержку провайдера и объяснить, что вам нужны входящие подключения и спросите, нельзя ли как-то решить эту проблему. У меня всегда на всех провайдерах описанная схема работала, только один раз наткнулся на серый IP у одного из провайдеров, написал в поддержку и клиенту бесплатно выдали белый. Сейчас в мире нехватка белых айпишников.
Спасибо за идею. Разобрался. Оказалось сетевой экран касперского блокировал подключение. Странно, что только внешнее блокировал, а по локалке пропускал. Подправил пакетные правила в KIS и всё работает. Ещё раз спасибо!