Проброс портов и настройка роутера для внешнего доступа
Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.
Зачем открывать доступ извне?
Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.
Цвета и формы IP-адресов
Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.
Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.
Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.
Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.
Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.
Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.
Кто я, где я, какого я цвета?
С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.
В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.
Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.
Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.
Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.
Что такое порты и зачем их бросать?
Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).
Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.
Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.
Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.
Игровые порты: что, куда бросаем?
Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.
У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.
Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.
В следующей таблице приведены некоторые игры и используемые ими порты на ПК:
Не пингуется роутер
Всем привет!
Почитал темы на форуме, но не нашел решения.
Такая проблема:
Кабель с интеренетом входит в роутер1 в порт WAN, от роутера1 с порта LAN идет в роутер 2 в порт WAN кабель,
ноутбук подключен по беспрводной сети к роутеру 2. Временами пропадает тырнет.
С ноута роутер 2 пингуется, а роутер 1 нет.
ИП адрес роутера 1 — 192,168,1,1
роутера 2 — 192,168,2,1
При чем, если вынуть из роутера кабель и всунуть в ноут — все работает.
Кто-то сталкивался с таким? Почему может так происходить?
Не пингуется wifi роутер в отсутствии интернета
Патчкорд провайдера заходит в роутер (192.168.1.1), оттуда раздается вайфай на мой ноут.
Не пингуется роутер
Добрый день! Вроде все правильно настроила, но не пингуеться роутер — Multilayer Switch0, не говоря.
Роутер-мост-фильтр + роутер-модем: Добавить определенные сайты в исключения
Здравствуйте. Если написал не в тот раздел, то прошу простить и направить, куда надо. Ситуация.
ADSL роутер tp-link td-w8961ND как обычный ethernet роутер
Подскажите, можно ли использовать ADSL роутер tp-link td-w8961ND как обычный ethernet роутер.
Спасибо за быстрый отклик!
Закономерности пропажи тырнета пока не могу выявить, т.е. вот сейчас я пишу через wi-fi, а через 20мин или час или 5 часов тырнет пропадет, в треи появится «без доступа к интернету».
Когда такое случается, я пробую пингом свой роутер 2(ping 192.168.2.1), к которому у меня по воздуху подключен ноут, все ок, пинги проходят.
Пингую первый роутер(от которого идет кабель в WAN порт моего) — не проходят пинги.
Не пингуется роутер извне в режиме моста
Всем доброго времени суток. Не знаю по адресу пишу или нет, но все же. Понадобилось на работе пробросить сеть с 7го этажа на 2ой. Здание не все наше, помещение снимаем на режимном предприятии, кабель тянуть нельзя. Принесли мне 2 роутера asus wl-500gp v2 и 2 направленные антенны. Смонтировал. Первый роутер подключил к нашей сети, выдал айпишник 10.0.1.20 в WAN, в LAN — 192.168.1.1, настроил DHCP на выдачу адреса начиная с 192.168.1.3. У второго роутера настроил адрес LAN 192.168.1.2, DHCP отключил. На обоих роутерах настроил режим Hybrid (так именуется смесь точки доступа и режима моста у асус). Решил проверить. Подцепил ноутбук по вафле ко 2му роутера: адреса 192.168.1.1 и 192.168.1.2 пингуются, пакетики бегают, доступ к фтп по адресу 10.0.1.25 есть, то есть в нашу сеть попадаем.На своей рабочей машине — 10.0.0.253 прописал маршрут (192.168.1.0 | 10.0.1.20 | 255.255.255.0 ). Пробую пинговать первый роутер (192.168.1.1) — пинг есть, второй роутер (192.168.1.2) — пинга нет, подключенный ко второму роутеру ноут (192.168.1.3) — пинг есть. Соотвественно зайти в админку 2го роутера я не могу, а очень надо. Подскажите что я делаю не так.
Я не особо вникал во всю портянку, но если ты настроил роутер в режимо моста, то ты в него и не войдешь, так как он тупо прокидывает все пакету мимо себя в другую подсеть.
Точно? У первого роутера в списке подключенных второй есть. Вообще как-нибудь возможно до него достучаться?
Ну мост — это что? Он вобще не виден в структуре сети как устройство, он просто все перебрасывает через себя.
Хотя мб и я фигню несу, ио не помню точно. Но вроде когда я свой роутер настраивал как мост, попасть в него я тоже не мог.
Я же и говорю в 1ом роутере он отображается с адресом 192.168.1.2, из сети 192.168.1.0 доступ есть, с 10.0.0.0 нифига. Бегать туда-сюда неохото. А надо потестить, выбрать лучший канал по обстановке. Хотелось бы обладателей этого чуда послушать, видел как-то в толксах советали сей девайс.
Там должна быть настройка «доступ к админке только из внутреннней сети». А еще у тебя маршруты неправильные 🙂
Ну мост — это что? Он вобще не виден в структуре сети как устройство, он просто все перебрасывает через себя.
жалко, что мужики, которые делают управляемые свичи и прочее управляемое оборудование level-2 OSI, об этом не знают
доступ настроен в админке из wan и lan, пинг-запросы разрешены. У меня этот роутер даже не пингуется, а вы про доступ к админке. Что не так с маршрутом? tracerout 192.168.1.2 доходит до 10.0.1.20 и усе.
вероятно, не хватает дефолтового шлюза 192.168.1.1 на втором роутере
На своей рабочей машине — 10.0.0.253 прописал маршрут
А в обратную сторону маршрут с вафли в 10/16 или дифолт кто будет создавать, Пушкин?
Спасибо, прописал, все работает. Просто на остальные тачки адреса выдает DHCP, соотвественно в роутере есть «Использовать маршруты DHCP». А тут ручками надо, да. Спасибо еще раз.
Спасибо, ошибку понял. Но про Пушкина — лишнее, да.