Проброс портов на роутере tp-link и asus в примерах
Содержание:
- Динамическая переадресация портов
- Схема сети и описание сценария проброса портов
- Проброс портов в iptables
- Что такое перенаправление портов?
- Как включить проброс портов?
- Контроль скорости пользователей
- Зачем нужен проброс
- Для чего нужен проброс портов?
- Ручная переадресация портов на роутере TP-Link и Asus.
- Настройка на компьютере
- Подключитесь к веб-интерфейсу
- Создайте правило NAT
- Пример правила
- Как протестировать переадресацию портов
- Проброс портов: заполнение таблицы
- Открываем порты на роутере D-Link DIR-615, DIR-300 и других моделях
- Что такое проброс портов на маршрутизаторе?
- Примеры использования
- Уязвимости сервисов
- Как открыть порт в Windows 7 и Windows 8
- Заключение
Динамическая переадресация портов
Динамическая переадресация портов позволяет создать сокет на локальном (ssh-клиентском) компьютере, который действует как прокси-сервер SOCKS. Когда клиент подключается к этому порту, соединение перенаправляется на удаленный компьютер (сервер ssh), который затем перенаправляется на динамический порт на конечном компьютере.
Таким образом, все приложения, использующие прокси-сервер SOCKS, будут подключаться к серверу SSH, и сервер будет перенаправлять весь трафик в его фактическое место назначения.
В Linux, macOS и других системах Unix для создания динамической переадресации портов (SOCKS) передайте параметр клиенту :
Используются следующие параметры:
- — IP-адрес и номер порта локального компьютера. Если опущен, клиент ssh привязывается к localhost.
- — удаленный пользователь SSH и IP-адрес сервера.
Типичным примером динамической переадресации портов является туннелирование трафика веб-браузера через SSH-сервер.
Следующая команда создаст туннель SOCKS на порту :
Перенаправление портов должно быть настроено отдельно для каждого приложения, которое вы хотите туннелировать трафик через него.
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта .
Для проброса портов в Mikrotik необходимо:
- Запустить программу Winbox;
- Указать ip адрес роутера, логин, пароль и нажать клавишу ;
- В меню программы перейти IP > Firewall > вкладка NAT;
- Нажать кнопку ;
- Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
- Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
Проброс портов в iptables
Первое что нужно сделать, это включить переадресацию трафика на уровне ядра, если это еще не сделано. Для этого выполните:
Чтобы настройка сохранялась после перезагрузки используйте такую команду:
Мы не будем здесь подробно рассматривать правила iptables и значение каждой опции, поэтому перед тем, как читать дальше вам лучше ознакомиться со статьей iptables для начинающих. Дальше рассмотрим проброс портов iptables nat.
Настройка прохождения пакетов
Сначала мы рассмотрим как разрешить прохождение пакетов через маршрутизатор. Для этого в брандмауэре есть цепочка FORWARD. По умолчанию для всех пакетов применяется правило DROP, которое означает что все нужно отбросить. Сначала разрешим инициализацию новых соединений, проходящих от eth0 до eth1. Они имеют тип contrack и представлены пакетом SYN:
Действие ACCEPT означает, что мы разрешаем это соединение. Но это правило разрешает только первый пакет, а нам нужно пропускать любой следующий трафик в обоих направлениях для этого порта (80). поэтому добавим правила для ESTABLIHED и RLEATED:
Дальше явно установим что наша политика по умолчанию — DROP:
Это еще не проброс портов, мы только разрешили определенному трафику, а именно на порт 80, проходить через маршрутизатор на другие машины локальной сети. Теперь настроим правила, которые будут отвечать за перенаправление трафика.
Модификация пакетов в iptables
Далее мы настроим правила, которые будут указывать как и куда нужно перенаправить пакеты, приходящие на порт 80. Сейчас маршрутизатор может их пропускать в сеть, но он еще не знает куда. Для этого нам нужно будет настроить две вещи — модификацию адреса назначения (Destination) DNAT и модификацию адреса отправителя (Source) SNAT.
Правила DNAT настраиваются в цепочке PREROUTING, в таблице NAT. Эта операция изменяет адрес назначения пакета чтобы он достиг нужной нам цели, когда проходит между сетями. Клиенты будут отправлять пакеты нашему маршрутизатору, и им не нужно знать топологию внутренней сети. Пакет автоматически будет приходить нашему веб-серверу (192.168.1.2).
С помощью этого правила мы перенаправляем все пакеты, пришедшие на порт 80, к 192.168.1.2 опять же на порт 80:
Но это только половина работы. Пакет будет иметь исходный адрес клиента, а значит будет пытаться отправить ответ ему. Так как клиент ожидает получить ответ от маршрутизатора, то нормального TCP соединения не получиться. Чтобы решить эту проблему нужно модифицировать адрес источника и заменить его на адрес маршрутизатора 192.168.1.1. Тогда ответ придет маршрутизатору, а тот уже от своего имени передаст его в сеть.
Если вы хотите перенаправить трафик на порт 8080, то нужно указать его после ip адреса:
Также может понадобиться выполнить проброс диапазона портов iptables, для этого просто укажите диапазон, например, 1000:2000:
После добавления этого правила можете проверять работу перенаправление портов iptables будет выполняться и все будет отправляться так, как нужно.
Сохранение настроек iptables
Теперь, когда все настроено, нужно сохранить этот набор правил, чтобы он загружался автоматически при каждом старте. Для этого выполните:
Готово. Теперь проброс портов iptables ubuntu будет работать так, как нужно.
Что такое перенаправление портов?
Перенаправление портов – это процесс на маршрутизаторах локальной сети, который перенаправляет попытки подключения с сетевых устройств на определенные устройства в локальной сети. Это благодаря правилам переадресации портов на вашем сетевом маршрутизаторе, которые соответствуют попыткам подключения к правильному порту и IP-адресу устройства в вашей сети.
В локальной сети может быть один общедоступный IP-адрес, но каждое устройство в вашей внутренней сети имеет свой собственный внутренний IP-адрес. Перенаправление портов связывает эти внешние запросы от A (общедоступный IP-адрес и внешний порт) с B (запрошенный порт и локальный IP-адрес устройства в вашей сети).
Чтобы объяснить, почему это может быть полезно, давайте представим, что ваша домашняя сеть немного похожа на средневековую крепость. Хотя вы можете смотреть за стены, другие не могут заглядывать внутрь или ломать вашу защиту – вы защищены от нападения.
Благодаря встроенным сетевым брандмауэрам ваша сеть находится в таком же положении. Вы можете получить доступ к другим онлайн-сервисам, таким как веб-сайты или игровые серверы, но другие пользователи Интернета не могут получить доступ к вашим устройствам взамен. Подъемный мост поднят, так как ваш брандмауэр активно блокирует любые попытки внешних подключений нарушить работу вашей сети.
Однако в некоторых ситуациях такой уровень защиты нежелателен. Если вы хотите запустить сервер в домашней сети (используя Raspberry Pi, например), необходимы внешние подключения.
Здесь на помощь приходит переадресация портов, так как вы можете пересылать эти внешние запросы на определенные устройства без ущерба для вашей безопасности.
Например, предположим, что вы используете локальный веб-сервер на устройстве с внутренним IP-адресом 192.168.1.12, а ваш общедоступный IP-адрес – 80.80.100.110. Внешние запросы к порту 80 (80.90.100.110:80) будут разрешены благодаря правилам переадресации портов, при этом трафик будет перенаправляться на порт 80 на 192.168.1.12.
Для этого вам необходимо настроить вашу сеть так, чтобы разрешить переадресацию портов, а затем создать соответствующие правила переадресации портов в вашем сетевом маршрутизаторе. Вам также может потребоваться настроить другие брандмауэры в вашей сети, включая брандмауэр Windows, чтобы разрешить трафик.
Как включить проброс портов?
Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.
На моделях TP-Link это делается так:
- Зайдите в меню роутера, введите в адресной строке браузера свой IP-адрес, авторизуйтесь (обычно для этого вводится значение Admin).
- Выберите строку «Переадресация», включите данную функцию, если прежде она была не активирована.
В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.
При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.
Контроль скорости пользователей
Эта функция необходима для равномерного распределения трафика канала интернета «Ростелекома» между одновременно работающими пользователями. Для выполнения поставленной задачи во вкладке «Контроль пропускной способности» в пункте «Параметры контроля» отмечаем галочкой строку включения контроля полосы пропускания.
Для линии «Ростелекома» FTTx о, оставляем значения полос по умолчанию и нажимаем клавишу «Сохранить».
На следующей странице списка правил жмем на клавишу «Добавить». В открывшейся форме прописываем локальный IP-адрес и максимальные значения входной и выходной скорости для выбранного устройства. Эти скорости, выраженные в кбит/с, определяют ширину полосы пропускания.
Выполняем команду «Сохранить».
Зачем нужен проброс
В настройках роутера по умолчанию замаскированы адреса тех устройств, к которым он подключен. При получении на маршрутизатор пакетов информации с устройств внутренней сети маршрутизатор откроет определенный порт и примет информацию. При этом он поменяет внутренний IP-адрес устройства адресанта на свой используемый. При получении на этот порт ответных пакетов данных, он переадресует информацию отправителю. Таким образом, внешней сети виден только IP-адрес роутера.
При сокращении числа незанятых адресов IPv4 эта технология отлично справляется с заданными условиями. Минус в том, что маршрутизатор может принять только те пакеты, которые придут по соединению, установленному внутрисетевым устройством. В случае если обращение пойдет от другого сервера или компьютера, запросы не примутся. Для решения проблемы требуется проброс портов.
Суть этой процедуры в сопоставлении конкретного порта на внешнем интерфейсе маршрутизатора с портом требуемого устройства в локальной сети. По-другому можно сказать, что роутер получает команду зарезервировать порт и всю информации на нем, чтобы передать на конкретный компьютер, то есть обойти отклонение внешних запросов, которые не были инициированы, и принимать их на выбранных условиях. Для этого требуется переадресация любого незанятого порта WAN маршрутизатора на выбранный порт указанного устройства. После этого входящие на внешний порт запросы будут правильно переадресованы.
Для чего нужен проброс портов?
Перенаправление необходимо, если человек применяет пиринговые сети или планирует развернуть на ПК сервер с доступом к WWW. Но это только «вершина айсберга».
Выделим главные причины переброски портов на роутере:
- Получение информации с веб-камеры другого ПК, подключенного к роутеру домашней сети. На втором компьютере должно стоять ПО для видеонаблюдения.
- Использование торрент-клиентов, раздающих файлы в сети.
- Просмотр изображения с IP-камеры, работающей в локальной сети через входы на роутере.
- Создание сервера для онлайн-игры, к примеру, Counter-Strike.
- Удаленное управление ПК.
- Организация работы WEB/FTP серверов и т. д.
С учетом сказанного можно подвести промежуточный итог, что такое проброс портов на роутере. Это команда маршрутизатору забронировать определенный выход и все поступающие на него сведения для передачи на конкретный ПК. Иными словами, пользователь просит сделать исключение из правил для внешних запросов и их обработку на определенных условиях. Для этого формируется правило проброса определенного входа на маршрутизаторе на другой выход устройства. Как только правило сформировано, поступающие запросы направляются к зафиксированному узлу.
Ручная переадресация портов на роутере TP-Link и Asus.
Для начала нужно определиться с номером порта, который мы хотим открыть. Например, мы хотим сделать проброс портов для торрента. Идем в настройки программы по уже знакомому пути и смотрим в строку «Порт входящих соединений». Запишите номер из окна для генерации и снимите все галочки кроме пункта «В исключения брандмауэра». Не забудьте применить сделанные изменения.
Теперь нужно узнать MAC-адрес своего устройства. В нашем случае это компьютер и его физический адрес нам понадобиться позже. Нажмите кнопку «Пуск» — «Панель управления» — «Центр управления сетями и общим доступом» — «Подключение по локальной сети» и нажмите кнопку «Сведения…». В поле «Физический адрес» вы увидите MAC-адрес своего компьютера.
Теперь зайдите в интерфейс маршрутизатора. Здесь первым делом, нам нужно для своего компьютера задать статический IP-адрес. Далее путь для каждого сетевого устройства свой.
TP-Link. В правом меню найдите «Привязка IP- и MAC-адресов» и перейдите на вкладку «Таблица ARP». Здесь отображены все устройства, которые подключены к нашей сети, а в столбце «Состояние» показан статус привязки (несвязанно). Поскольку мы уже знаем MAC-адрес компьютера, то в строке с физическим адресом видим присвоенный ему IP сервером DHCP. Его мы впишем на следующей вкладке.
Поднимитесь на вкладку выше с названием «Параметры привязки» и активируйте «Связывание ARP» и нажмите «Сохранить». Далее следует нажать кнопку «Добавить новую…» и задать параметры необходимые настройки. В новом окне нужно прописать физический адрес компьютера (MAC), присвоенный ему IP и нажать кнопку «Сохранить».
Теперь MAC- и IP- адреса связаны между собой для персонального компьютера. Об этом также свидетельствует вкладка «Таблица ARP». Если у Вас много устройств в сети и вы желаете им всем задать статический IP, то можно в «Таблице ARP» нажать кнопку «Связать все» предварительно активировав «Связывание ARP».
Осталось задать параметры для проброса портов. Зайдите в «Переадресация» (Forwarding) на вкладку «Виртуальные серверы» (Virtual Servers) и нажмите кнопку «Добавить новую» (Add New…). Теперь прописываем известные нам параметры. В поле «Порт сервиса» (Service Port) и «Внутренний порт» (Internal Port) указываем порт торрент-клиента, а в «IP-адрес» присвоенный IP компьютеру. В выпадающем списке «Протокол» (Protocol) выбираем «Все» (All) и в поле «Состояние» (Status) ставим «Включено» и нажимаем «Сохранить».
После этого для компьютера будет зарезервирован прописанный нами порт и P2P клиент сможет обмениваться входящими и исходящими пакетами.
О принципе по которому работает роутер можно узнать здесь.
Asus. Нажмите в боковом меню «Локальная сеть» и перейдите на вкладку «DHCP-сервер». В самом низу страницы активируйте пункт «Включить назначения вручную». Ниже есть поле «Список присвоенных вручную IP-адресов в обход DHCP». Вот он то нам и нужен. В выпадающем списке поля «MAC-адрес» нужно выбрать физический адрес компьютера, который мы узнали заранее. Поскольку у меня включен DHCP, то в поле «IP-адрес» автоматически подставился текущий IP компьютера.
Осталось кликнуть по кружку «Добавить/Удалить» и нажать кнопку «Применить». Роутер перезагрузится и после каждого подключения к сети, компьютер будет иметь один и тот же IP-адрес.
Теперь в административной панели в боковом меню кликните по «Интернет» и перейдите на вкладку «Переадресация портов». В строке «Включить переадресацию портов» переставьте точку в положение «Да». Далее нужно опуститься в блок «Список переадресованных портов» и в поле «Имя службы» указать uTorrent, поскольку мы открываем порт для этой программы. В строке «Диапазон портов» указываем номер порта P2P клиента, который мы узнали заранее.
В поле «Локальный IP-адрес» выбираем статический IP-адрес компьютера, который мы только что привязали и в строке «Локальный порт» снова указываем порт Torrent-клиента. В выпадающем списке «Протокол» выбираем BOTH (оба протокола). Осталось кликнуть по кружку «Добавить» и кнопку «Применить». После презегрузки порт будет открыт для раздачи и закачки файлов из интернета от программы uTorrent.
Теперь вы имеете представление о том, как настроить проброс портов на роутере TP-Link и Asus. Безусловно автоматический способ намного удобнее, чем ручной и многие люди используют функцию UPnP, но правильнее задавать все настройки в ручную. Однако, это дело каждого и вы вольны выбрать способ, который вам ближе.
Если возникнут какие-то проблемы, то вы всегда можете сбросить установки роутера до заводских и настроить его заново. Если у Вас есть желание дополнить статью, то милости просим в комментарии. Пока!
Настройка на компьютере
После запуска Моби-С серверна компонента открывает порт (для примера мы выбрали порт 1235) и начинает ждать поступления данных. Необходимо настроить правила, для встроенного брандмауэра либо сторонней программы выполняющей функцию защиты сетевых обменов (фаервол) для работы с этим портом. Фаервол или антивирус может автоматически запретить обмен по не авторизованному порту. Мы рассмотрим настройки только стандарного брандмауэра для систем Windows XP и Windows 7.
Windows XP
Пуск – Панель управления — Сеть и подключение к интернету – Изменение параметров брандмауэра Windows. Добавляем два правила для порта 1235 для протоколов TCP и UDP порт один и тот же. Названия у правил должны отличаться. Тот же эффект можно получить выполнив две команды, вызвать строку выполнить можно комбинацией клавиш WIN+R, вставить и выполнить по очереди обе команды.
netsh firewall add portopening TCP 1234 «Моби-С TCP 1234» netsh firewall add portopening UDP 1234 «Моби-С UDP 1234»
Windows 7
Для Windows 7 и 8 Команды имеют немного другой вид. Данную команду (открыть порт для входящих данных) надо выполнять в консоли запущенной с правами администратора.
netsh advfirewall firewall add rule name=»Моби-С TCP 1234″ protocol=TCP dir=in localport=1234 action=allow netsh advfirewall firewall add rule name=»Моби-С UDP 1234″ protocol=UDP dir=in localport=1234 action=allow
Подключитесь к веб-интерфейсу
Чтобы настроить правило NAT, вам необходимо подключиться к веб-интерфейсу вашего маршрутизатора pfSense. Для этого введите IP-адрес своего поля pfSense в адресной строке браузера.
Имя пользователя по умолчанию — admin, пароль по умолчанию — pfsense.
Создайте правило NAT
Чтобы настроить переадресацию портов, щелкните NAT в меню брандмауэра в pfSense. В правом верхнем углу щелкните значок плюса, чтобы создать новое правило. Откроется редактор правил NAT.
Если вам нужно отредактировать существующее правило, нажмите «e» рядом с правилом, которое вы хотите изменить. Щелчок по «x» удалит правило.
Пример правила
В этом примере я покажу вам, как создать правило для перенаправления порта 80 (HTTP) на компьютер в вашей сети. Вы можете изменить порт и IP-адрес в зависимости от того, что вам нужно сделать.
- В раскрывающемся списке протокола убедитесь, что выбран TCP.
- В диапазоне портов назначения введите 80 в поле «от», поле «в» можно оставить, если вы перенаправляете один порт.
- Введите IP-адрес компьютера, на котором запущен веб-сервер, в поле IP-адрес перенаправления.
- Введите 80 в поле целевого порта перенаправления.
- Нажмите «Сохранить», а затем нажмите «Применить изменения».
Вот и все, теперь, когда маршрутизатор pfSense получает пакет, предназначенный для порта 80, он будет перенаправлен на внутренний IP-адрес веб-сервера.
Как протестировать переадресацию портов
Создав правило переадресации портов, вы должны протестировать его, чтобы убедиться, что оно работает правильно. Если у вас есть доступ к компьютеру за пределами вашей сети, вы можете просто попытаться получить доступ к удаленной службе, которую вы настроили.
Если вы не включили отражение NAT, вы не сможете протестировать службу изнутри своей сети. Например, вы не можете получить доступ к порту your-public-IP>: из-за маршрутизатора pfSense.
Один из самых простых способов проверить ваше правило NAT — использовать онлайн-средство проверки портов. Онлайн-утилиты автоматически определят ваш общедоступный IP-адрес, поэтому вам нужно только ввести номер порта, который вы хотите протестировать.
Если средство проверки порта может подключиться к порту, значит, вы успешно настроили NAT!
Эта статья точна и правдива, насколько известно автору. Контент предназначен только для информационных или развлекательных целей и не заменяет личного или профессионального совета по деловым, финансовым, юридическим или техническим вопросам.
Проброс портов: заполнение таблицы
Таблицу заполняют для упрощения работы устройства и для распределения портов.
Service port | IP Adress | Protocol | Status | Modify |
---|---|---|---|---|
1111 | 192.168.0.100 | BOTH | Enabled | Modify delete |
2222 | 192.168.0.100 | UDP | Enabled | Modify delete |
- первая графа — случайные цифры;
- вторая — неизменное значение IP;
- протокол определяет метод связи. Строго рекомендовано устанавливать значения «BOTH» и «UDP» в шахматном
- порядке и направлять порты на них, пока связь не будет налажена.
Остальные две графы изменять нельзя!.
После настройки нужно сохранить параметры, чтобы роутер запомнил их. Сохранить можно так:
- сохранить документ в формате «.ini», после чего интегрировать в другое устройство;
- сохранить страницу полностью, после чего открывать в браузере при подключении;
- записать параметры или запомнить их.
Открываем порты на роутере D-Link DIR-615, DIR-300 и других моделях
Настраивается проброс портов в панели управления роутером. Поэтому, нам нужно сначала зайти в настройки. Для этого, перейдите в браузере по адресу 192.168.0.1 (или 192.168.1.1). Укажите имя пользователя и пароль. Стандартные — admin и admin. Если у вас не получается зайти в настройки, то смотрите подробную инструкцию для устройств D-Link.
В настройках переходим на вкладку Межсетевой экран/Виртуальные серверы. И нажимаем на кнопку Добавить.
Ну а дальше, заполняем нужные поля. Я сначала сделаю описание каждого поля, которое нам нужно заполнить, а тогда прикрепляю скриншот, что бы было более понятно.
Обратите внимание, в выпадающем списке Шаблон. можно выбрать один из уже созданных шаблонов
Если нужного вам сервера там нет, то оставляем Custom.
В поле Имя, можно указать имя программы, или игры, для которой вы открываете порт на своем D-Link.
Протокол — выбираем нужный протокол.
Поля Внешний порт (начальный) и Внешний порт (конечный). Тут нужно указать начальный и конечный порт, который нужно пробросить. Если вы вообще не знаете, какие порты вам нужно открыть, то смотрите в настройках программы/игры, в инструкции, или на официальном сайте. Если вам нужно открыть только один порт, а не диапазон, то заполните только поле Внешний порт (начальный).
Внутренний порт (начальный) и Внутренний порт (конечный). Здесь указываем порт, или снова же диапазон портов, на который будет идти трафик с порта, который мы указали выше.
Внутренний IP — здесь, из списка выбираем компьютер, на IP которого будет перенаправляться трафик. Компьютер, для которого мы открываем порт, должен быть подключен к роутеру, что бы была возможность выбрать его из списка.
Остальные поля, о которых я не написал, как правило заполнять не нужно. Когда заполните все нужные поля, нажмите на кнопку Применить.
Вы увидите созданное правило, которое можно отредактировать (нажав на него), или удалить. Можно создавать новые правила для проброса портов, точно таким же способом.
Дальше, нужно сохранить настройки, и перезагрузить роутер. Система — Сохранить. Система — Перезагрузить.
И еще несколько важных моментов.
Если вы все сделали правильно (проверили настройки), но нужная вам программа, или игра так и не получает пакеты из интернета, то возможно, что их блокируем ваш брандмауэр. Стандартный, встроенный в Windows, или сторонний, который установлен у вас (как правило, встроен в антивирус). Нужно создать правило, и разрешить обращения через нужный порт. Или, на время проверки отключить его вообще.
Мы когда открывали порт, то указывали IP адрес компьютера. В списке, у вас может быть много устройство. Как найти нужный компьютер? Откройте вкладку Статус/DHCP. Там будут указаны все устрйоства, которые подключены на данный момент, их IP и имена. Вот по имени, вы уже сможете выбрать нужный вам компьютер. Писал об этом здесь.
Как узнать порт, или диапазон портов, которые нужно открыть?
Писал об этом выше. Эту информацию нужно смотреть в настройках игры, или программы. Там точно указан порт. Так же, такая информация должна быть в справке по программе, и на официальном сайте. В крайнем случае, можно загуглить:)
18
Сергей
D-link
Что такое проброс портов на маршрутизаторе?
Именно определенный закрепленный за конкретным приложением порт определяет, к какой именно программе, запущенной на данном компьютере, мы хотим получить удаленный доступ с другого устройства. На одном и том же ПК может быть одновременно запущено несколько ресурсов для общего сетевого использования — файловое хранилище, игровой сервер, видеонаблюдение и т.д. У всех у них будет один и тот же IP адрес, который принадлежит данному ПК. А порты — разные.
То есть:
Но wifi роутер по умолчанию не знает, какой именно порт использует ваша программа на компьютере. Поэтому ему нужно «объяснить», то есть открыть порт и прописать в настройках перенаправление (проброс) на нужное приложение при обращении к определенному компьютеру.
Примеры использования
1. Допустим, что в вашей домашней сети есть видео-регистратор, имеющий адрес 192.168.1.2, однако так получилось, что он вещает видеопоток с порта 8010 и этот поток передается не с использованием протокола http, а каким-либо иным способом. Ваше специализированное клиентское программное обеспечение имеет доступ к регистратору и просматривает это поток, обращаясь внутри домашней сети по 192.168.1.2:8010
Используя нашу услугу «Публикация URL» вы бы могли просматривать этот поток, если бы его вещание осуществлялось средствами протоколов http/https, но здесь вещание может использовать иные протоколы. Для достижения цели просмотра видеопотока вне домашней сети, проброс TCP порта может решить проблему удаленного доступа.
Важно! Вы должны успешно выполнитиь пинг со страницы «Инструменты» до вашего устройства. Это подтвердит, что правила маршрутизации установлены корректно
Также вы можете осуществить запрос TCP порта со страницы «Инструменты». Это подтвердит, что ваше устройство «слушает» на указанном вами порту и адресе.
2. Вы хотите получить доступ к своему домашнему устройству с использованием протоколов RDP или VNC. Вы могли бы использовать доступ через HTTP или SOCKS5 прокси с авторизацией, но ваше программное обеспечение не может использовать авторизацию в прокси соединениях. В этом случае, вы можете воспользоваться пробросом нужного TCP порта.
3. Ваше устройство (например, GPS навигатор или часы) «умеет» пересылать данные на внешний хост лишь при помощи собственного протокола, не используя при этом HTTP/HTTPS, прокси и прочие стандартные средства коммуникаций.
Во всех этих случаях вы можете попробовать использовать нашу возможность «Проброс TCP порта» из сети Интернет на домашнее устройство.
Сделать это несложно, достаточно заполнить таблицу по примеру, представленному на картинке.
Здесь вы указываете IP адрес устройства в домашней сети и нужный порт TCP этого устройства, а затем нажимаете кнопку «Сохранить». Для этого соединения будет автоматически назначен внешний порт, который будет доступен из Интернет по адресу msk.vpnki.ru:XXXXX (84.201.157.25:XXXXX)
Приоритетным способом обращения к вашему порту является указание доменного имени msk.vpnki.ru:XXXXX, однако не все приложения могут корректно работать с таким типом указываемого адреса. В этом случае указывайте адрес 84.201.157.25:XXXXX. Однако убедитесь, что именно этот адрес актуален и ведет к msk.vpnki.ru
С 1 декабря 2018 года мы запустили в режиме тестирования функцию «Белый список» для TCP порта, которая разрешает внешние соединения к вашему TCP порту только с определенных IP адресов сети Интернет. Эта функция позволит вам ограничить любителей подключаться к чужим ресурсам. Пока в качестве разрешающего списка вы можете указать одну сеть, размер которой описывается маской. Например,
К порту, указанному в первой строке, доступ будет не ограничен (сеть и маска 0.0.0.0 / 0.0.0.0)
К порту, указанному во второй строке, доступ будет возможен только с адресов сети 87.232.0.0 / 255.255.0.0 (это где-то в Ирландии)
ВАЖНО!
Для поиска неисправностей проверьте что:
1. Туннель установлен
2. Со страницы Инструменты пингуется адрес VPNKI , выданный вашему устройству (172.16.xxx.xxx)
3. Со страницы Инструменты пингуется адрес внутри вашей сети, расположенный за маршрутизатором (например, 192.168.xxx.xxx) на котором расположен ресурс, который вы хотите опубликовать
4. Со страницы Инстрмуенты успешно запрашивается порт устройства внутри вашей сети (например, адрес 192.168.1.10 порт 8080)
Уязвимости сервисов
Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.
Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС. Из опыта, обновления из официального репозитория крайне редко ломают прод.
Как открыть порт в Windows 7 и Windows 8
О том, как открыть порт на роутерах различных моделей я написал уже немало статей. Но в х почти к каждой из таких инструкций я сталкиваюсь с такой ситуацией, что пользователь открывает порт на роутере, но при проверке его из-вне — оказывается что он закрыт.
В это многие упираются и не знают что делать дальше. Одной из частых причин является система безопасности компьютера. Дело тут в том, что открыть порт на роутере часто оказывается половиной дела — нужно ещё открыть его и в правилах брандмауэра (фаервола) на компьютере.
1 практически идентична, соответственно как и процедура создания правил проброса портов.
Как попасть в настройки брандмауэра Windows
Настройка встроенного брандмауэра находится в «Панели управления», раздел «Система и безопасность».
В Windows 8 и 8.1 можно воспользоваться элементом рабочего стола — Поиск. Нужно начать вводить слово «Брандмауэр» и система выдаст ссылку в результатах.
Ещё один быстрый и удобный способ быстро попасть в настройки Брандмауэра — нажать комбинацию клавиш Win+R:
В строке открыть пишем firewall.cpl, нажимаем кнопку ОК.
Как открыть порт в брандмауэре Windows
Вам откроется раздел настройки Брандмауэра в режиме повышенной безопасности. В поле слева кликаем на раздел «Правила для входящих соединений»:
Откроется список всех правил для входящих соединений. Теперь надо создать правило. Для этого справа, в окне «Действия», кликаем на ссылку «Создать правило».
Откроется Мастер создания правила для нового входящего подключения:
Выбираем тип правила — «Для порта». Нажимаем кнопку Далее.
Теперь нужно выбрать тип протокола и указать порт. «Тип протокола» для игр, как правило, «Протокол TCP». В некоторых случаях, например для файлообменных программ или игр, нужно ещё открыть и порт UDP.
Поэтому, если нужно открыть и TCP-порт и UDP-порт в Windows — Вам придется создавать два правила. В поле Определенные порты нужно указать номер нужного порта. Например, для Minecraft нужно открывать порт 25565 и TCP и UDP.
Нажимаем кнопку Далее.
Ставим галку «Разрешить подключение». Нажимаем кнопку Далее.
Здесь ничего не меняем. Нажимаем кнопку Далее.
В поле Имя прописываем название для создаваемого правила — например DC++ или Minecraft. Нажимаем кнопку Готово.
Правило создано и порт в брандмауэре Windows 7 и Windows 8 открыт. Проверить доступность порта из-вне можно с помощью программы PFPortChecker.
Только теперь не для порта — а «Для программы». Нажимаем кнопку Далее.
Выбираем пункт «Путь программы» и нажимаем кнопку Обзор. В открывшемся окне нужно выбрать программы, к которой нужен доступ из внешней сети — например, UTorrent, DC++ или Minecraft. Нажимаем кнопку Далее.
Ставим галочку «Разрешить подключение». Нажимаем кнопку Далее.
В этом окне ничего не меняя, нажимаем кнопку Далее.
В поле имя вводим название правила — например, dc++, utorrnet или minecraft и нажимаем кнопку Готово.
Правило для программы создано.
Если и это не помогло — можно попробовать для чистоты эксперимента вообще отключить встроенных в систему фаервол.
Как отключить Брандмауэр Windows 7, Windows 8 и Windows 8.1
Для того, чтобы отключить встроенный в систему фаервол нужно в настройках Брандмауэра выбрать пункт «Включение и отключение брандмауэра Windows»:
Вам откроется вот такое окно «Настройки параметров для каждого типа сети»:
Для всех типов сетей ставим галку «Отключить брандмауэр Windows». Нажимаем кнопку ОК. После этого брандмауэр станет неактивен и Ваша операционная система будет полностью открыта угрозам из внешней сети.
Поэтому я рекомендую отключать брандмауэр либо только кратковременно, для диагностики проблем с доступностью порта из-вне, либо если Вы переходите на другой, сторонний пакетный фильтр (фаервол).
Постоянная работа в сети Интернет с отключенным брандмауэром (фаерволом) крайне нежелательна.
Заключение
Большинство роутеров имеют похожую архитектуру и конфигурацию, поэтому в интернете лежит достаточное количество настроек и пресетов для каждой модели. Загружая готовый профиль для своего устройства, можно сэкономить время и силы, потраченные на настройку. Если есть желание разобратьсья в этом самостоятельно — данная статья как нельзя лучше в этом поможет.
Выполнить проброс рекомендуется сразу после установки роутера, так как стандартные настройки буду накапливать много ошибок в роутере, что повлияет на качество связи и срок службы устройства. Обычные протоколы и алгоритмы передачи данных не настроены под все устройства.