Как я порты с провайдером пробрасывал
Решил я как-то поставить у себя в квартире и заодно над входной дверью в парадной(для не питерцев: в подъезде) камеры наблюдения. В квартиру проведено оптоволокно (стоит отдельный ПОН-терминал, к нему подсоединяется роутер) от РТК (на него не жалуюсь, кстати, не реклама). Решил я так аккуратненько пройтись перфоратором рядом с этим оптоволокном и проштробить дыру для вывода камеры. Сразу обломаю, волокно я не повредил и в проводку не попал, хотя чувствовал я себя чуть ли не хирургом.
В итоге камеры закрепил, к DVR ресиверу подключил. Но нам же охота еще и удаленно поключаться. Для этого ресивер подключается к роутеру и пробрасываются (открываются) порты на роутере. (И да, у вас должен быть статический ip, чаще всего заказывается дополнительно у провайдера).
В интернетах полно гайдов как это делается. Так вот, перепробовал я чуть больше, чем все из них. Не помогло. Открыл я все, что можно на роутере и он стал больше похож на электронную куртизанку, но удаленно подключиться все равно не получалось.
Решил писать я в поддержку провайдеру. Параллельно вычитав, что для моего роутера (TPlink) нужно установить тип подключения Статический IP, прошу в поддержке выдать мне настройки для такого типа подключения (адрес, порт, маску, шлюз, днс сервера). В общем до сих пор после фразы «Мы рекомендуем вам установить тип подключения Динамический IP» меня перекашивает и глаз дергается.
С горем пополам выдали мне эти настройки. Прописываю их и . у меня отваливается интернет. Ну какого ж хрена (а переписывался я по полчаса-часу каждый день на протяжении 3 дней, учитывая, что операторы постоянно менялись и приходилось ждать). Потом начали говорить, что порты я пробрасывать должен сам и они мне в этом не помогут. Ну конечно сам, выдайте мне настройки, которые только вы можете выдать.
В итоге, я говорю — ребята, сил больше нет, давайте оформлять заявку, путь мне грамотный человек позвонит.
Так и в итоге, кто бы мог подумать — на следующий день звонит человек, я объясняю, что так и так, чувак, давай все решил и разойдемся. Он такой — ок. За 10 минут с учетом того, что он советовался видимо с коллегами или проверял настройки, мы решили все, что нужно. Чувак из поддержки, спасибо.
Для того, чтобы иметь возможность на роутере открыть порты, пришлось перевести тот самый ПОН-терминал в режим бриджа (делает провайдер). А так уже пробрасывай порты — не хочу.
Если у вас такой терминал стоит на несколько квартир — тут я не знаю, смогут ли они это сделать или нет.
Пост носит больше информационный характер и может кому облегчит жизнь, потому что долбался я с этим долго. Пруфы переписки поэтому не выкладываю.
Если наберется много желающих, напишу, как настраивал наблюдение подробнее.
Проброс портов и настройка роутера для внешнего доступа
Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.
Зачем открывать доступ извне?
Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.
Цвета и формы IP-адресов
Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.
Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.
Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.
Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.
Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.
Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.
Кто я, где я, какого я цвета?
С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.
В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.
Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.
Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.
Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.
Что такое порты и зачем их бросать?
Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).
Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.
Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.
Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.
Игровые порты: что, куда бросаем?
Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.
У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.
Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.
В следующей таблице приведены некоторые игры и используемые ими порты на ПК: