Проброс портов

Как открыть порты на роутере Ростелеком

Открываем все порты

Первый простой способ заключается в активации опции «демилитаризованная зона» в настройках маршрутизатора. Это делается в разделе главного меню «Дополнительные настройки»: нужно выбрать пункт «NAT», а в нем — DMZ-хост. В поле для IP-адреса ввести локальный IP данного компьютера и сохранить изменения.

Если от роутера работает только один компьютер, можно использовать и второй способ: настроить роутер в режим «моста», а интернет-подключение PPPoE создать непосредственно на компьютере, используя свой логин и пароль, указанный в договоре с провайдером. В этом случае пользователь сможет запускать любые программы и клиентские приложения без опасения столкнуться с вышеназванной проблемой.

Зачем нужен проброс

В настройках роутера по умолчанию замаскированы адреса тех устройств, к которым он подключен. При получении на маршрутизатор пакетов информации с устройств внутренней сети маршрутизатор откроет определенный порт и примет информацию. При этом он поменяет внутренний IP-адрес устройства адресанта на свой используемый. При получении на этот порт ответных пакетов данных, он переадресует информацию отправителю. Таким образом, внешней сети виден только IP-адрес роутера.

При сокращении числа незанятых адресов IPv4 эта технология отлично справляется с заданными условиями. Минус в том, что маршрутизатор может принять только те пакеты, которые придут по соединению, установленному внутрисетевым устройством. В случае если обращение пойдет от другого сервера или компьютера, запросы не примутся. Для решения проблемы требуется проброс портов.

Суть этой процедуры в сопоставлении конкретного порта на внешнем интерфейсе маршрутизатора с портом требуемого устройства в локальной сети. По-другому можно сказать, что роутер получает команду зарезервировать порт и всю информации на нем, чтобы передать на конкретный компьютер, то есть обойти отклонение внешних запросов, которые не были инициированы, и принимать их на выбранных условиях. Для этого требуется переадресация любого незанятого порта WAN маршрутизатора на выбранный порт указанного устройства. После этого входящие на внешний порт запросы будут правильно переадресованы.

Что делать, если вдруг ничего не заработало?

Есть ещё один момент, который может препятствовать доступу к сервису, который вы должны видеть из интернета. Это Firewall или Брандмауэр. А так же всякого рода антивирусы, имеющие свой Firewall и, порой параноидально, старающиеся любой ценой защитить компьютер пользователя от внешних угроз.

Попробуйте отключить ваш Firewall и проверить, будет ли доступен сервис после этого. Если всё заработает, значит нужно копать именно там.

Что именно и как копать – рассмотрим в одной из следующих статей.

Иногда возникает необходимость доступа извне к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.

Как работает NAT?

Чтобы иметь возможность общаться с другими компьютерами в сети компьютер должен иметь уникальный ip адрес. Но поскольку количество адресов уменьшалось нужно было придумать технологию, которая позволяла бы давать один адрес нескольким машинам. И была придумана технология NAT или Network Address Translation.

Все работает очень просто. Компьютер имеет свой адрес в локальной сети, он не виден из интернета. Когда ему нужно отправить пакет, он отправляет его роутеру, затем роутер подменяет адрес отправителя на свой и передает пакет дальше к цели. Параллельно роутер запоминает с какого локального компьютера был отправлен пакет на этот адрес. Дальше ответный пакет приходит роутеру, он подменяет адрес назначения на адрес нужного компьютера и отдает пакет в локальную сеть.

Недостаток в том, что инициировать подключение извне нельзя, потому что маршрутизатор просто еще не знает к кому обращаются. Тут на помощь приходит проброс портов. Мы можем сказать роутеру: при поступлении пакетов на порт 80 перенаправлять их на порт 80 компьютера 192.168.1.2. Теперь адрес отправителя и порт будет заменяться на указанный нами и пакет будет передан туда, куда нужно. Если на маршрутизаторе установлен Linux, то все это можно настроить с помощью iptables.

Как включить проброс портов?

Делается это двумя способами — автоматически или вручную. По умолчанию в большинстве оборудования функция UPuP, которая позволяет сделать перенаправление трафика, активируется автоматически, но если возникают проблемы, когда вы хотите обмениваться файлами по торренту или создать сеть для игры, то стоит проверить, работает ли функция через параметры маршрутизатора.

На моделях TP-Link это делается так:

• Зайдите в меню роутера, введите в адресной строке браузера свой IP-адрес, авторизуйтесь (обычно для этого вводится значение Admin).
• Выберите строку «Переадресация», включите данную функцию, если прежде она была не активирована.

В продукции марки Asus необходимо зайти в меню Интернет, пункт Подключение и поставить флажок активации напротив функции UPuP.

При возникновении проблем с раздачей данных через торрент, после активации зайдите в программу и через настройки включите функцию UPuP.

TP-LINK

Что такое порты, зачем их перенаправлять и как это сделать? Ответы в следующем видео:

Компания является ведущим производителем беспроводных устройств для широкого круга пользователей. Для решения проблемы на маршрутизаторе TP-LINK придерживаемся шагов следующей инструкции.

1. Через браузер заходим в веб-интерфейс настройки маршрутизатора. Как открыть настройки роутера, мы рассказывали уже много раз. Если кратко: вводим IP-адрес устройства и данные для авторизации.

1. В меню переходим в раздел «Переадресация».

1. Открываем подраздел «Виртуальные серверы», где кликаем «Добавить…».

1. В первой строке прописываем нужный адрес.
2. Указываем IP-адрес компьютера (как его узнать, смотрите чуть ниже), входящего в домашнюю сеть, для которого он станет доступным.

1. Выбираем протокол.

1. В строке «Состояние» выбираем значение «Включено».

1. При необходимости можно выбрать целевой сервис, чтобы роутер применил рекомендуемые для его эксплуатации параметры.

1. Сохраняем новую конфигурацию маршрутизатора.

Узнать IP-адреса устройств, подключённых к сети, можно в соответствующем разделе настроек маршрутизатора. Здесь же рекомендуется закрепить статический IP за компьютером, для которого пробрасывается порт, чтобы после перезагрузки маршрутизатора или следующего подключения устройства его IP-адрес не изменился.

1. Открываем веб-интерфейс и переходим в раздел «DHCP» – «Настройка DHCP».
2. Вводим начальный и конечный адреса, которые будут присваиваться устройствам в вашей сети.

1. Переходим в подраздел «Резервирование адресов», где щелкаем «Добавить новую…».

1. Вводим физический адрес (MAC) целевого компьютера, для которого всё и делается.

Получить его можно следующим образом: жмём комбинацию клавиш Win + R, выполняем команду «cmd».

В открывшейся командной строке вводим «getmac» и жмём «Enter».

Под текстом «Физический адрес» находится MAC.

1. Во втором поле задаём IP, который будет привязан к устройству с введённым MAC.
2. Состояние правила указываем как «Включено» и сохраняем настройки.

Конфигурация вступит в силу после перезагрузки маршрутизатора (раздел «Системные инструменты»).

Удаляется и изменяется правило в подразделе «Виртуальные серверы» раздела «Переадресация».

Как привязать MAC адрес к IP и сделать проброс портов на роутере TP-LINK, смотрите в следующем видео:

Настройка проброса

Чтобы работал проброс, должны быть выполнены три основных тербования:

1. Для целевого сервера создана учетную запись с аутентификацией по IP-адресу.
2. Создано правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT).
3. Создано разрешающее правило во внешнем сетевом экране программы Traffic Inspector.

Данные действия могут быть выполнены вручную или с помощью Мастера публикации служб.

Ручная настройка проброса

1. Создайте правило для проброса в настройках ICS или RRAS (в зависимости от того, какая из этих служб обеспечивает фунционал NAT) на шлюзе Traffic Inspector.

Проброс в ICS настраивается в свойствах сетевого подключения WAN (подключения, по которому «приходит Интернет»), вкладка Доступ, кнопка Настройки.

Проброс в RRAS настраивается в оснастке rrasmgmt.msc в разделе дерева Преобразование сетевых адресов (NAT) в свойствах сетевого подключения WAN на вкладке Службы и порты.

В правиле проброса нужно указать IP-адрес целевого сервера (как он есть в локальной сети), и входящий и исходящий порт. Чаще всего, указывается одинаковый входящий и исходящий порт.

Примечание

Нужно запомнить «входящий порт», так как именно этот порт нужно будет разрешить во внешнем сетевом экране Traffic Inspector и именно на него нужно будет подключаться со стороны Интернета после настройки проброса.

Примечание

На самом шлюзе Traffic Inspector никто не должен занимать («слушать») порт, выбранный вами как «внешний / публичный / входящий» в правиле проброса.

1. Убедитесь, что целевой сервер авторизован в Traffic Inspector

Если для целевого сервера уже заведена учетная запись, то убедитесь, что целевой сервер авторизован в Traffic Inspector. Соответствующая информация отображается в Мониторе Работы, который доступен в Учет трафикаМонитор работы].

При необходимости, создайте учетную запись для целевого сервера с авторизацией по IP-адресу.

1. Создайте разрещающее правило во внешнем сетевом экране Traffic Inspector.

Правила внешнего сетевого экрана создаются в \Правила\Правила внешнего сетевого экрана].

Создание правила во внешнем сетевом экране осуществляется в разделе Настройка сетевого экрана Traffic Inspector.

Во внешнем сетевом экране Traffic Inspector необходимо открыт порт, который был указан как «внешний / публичный / входящий» в правиле проброса.

Внешний IP-адрес

IP-адрес может быть:

• Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
• Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
• Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер. Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
• Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.

Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети – серыми.

Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.

Открываем порт в Windows 10

Есть два способа, позволяющих открыть порт: использовать встроенные возможности Windows или стороннюю программу

Неважно, какой из них вы используете, результат будет один. Если какой-то из способов не работает, воспользуйтесь другим методом

При помощи брандмауэра (firewall)

Брандмауэр (второе название — Firewall) – антивирус в мире интернета. Эта программа защищает компьютер от вторжений, исходящих со стороны сети. Поскольку порты передают данные по интернету, брандмауэр обязан следить за ними.

Стандартный брандмауэр встроен в Windows и является частью защитника — антивируса, по умолчанию вшитого в операционную систему. Если у вас установлен сторонний антивирус, то у него, скорее всего, будет свой брандмауэр. Но не всегда у внешних брандмауэров есть функция, позволяющая открыть порт, поэтому воспользуемся стандартным.

Учтите, сторонний интернет-защитник может перекрывать действия встроенного. Отключите его на время использования порта. Если порт нужен долгое время, выполните нижеописанные действия через сторонний, а не встроенный брандмауэр (смотреть пункт «При помощи антивируса»).

Готово, после окончания операции в списке правил появится новый пункт, имеющий имя, придуманное вами. Порт открыт, можно начинать им пользоваться.

Для программы или игры

Если вам нужно открыть порт для приложения или игры, но вы не знаете, какой именно порт вам нужен, то выполните нижеописанные действия:

При помощи антивируса

Если у вас установлен сторонний антивирус, вы можете открыть порт через него. Некоторые компании не встраивают функции по работе с портами в свой антивирус, некоторые делают её платной. Но вы можете проверить, есть ли данная возможность в вашем антивирусе, выполнив нижеописанные действия, приведённые на примере антивируса Kaspersky:

Готово, порт открыт. Можно начинать проброс при помощи настроек роутера.

При помощи сторонней программы

Существует множество программ, упрощающих процесс открытия портов. Например, можно воспользоваться бесплатным и максимально простым приложением UPnP Wizard. Скачать его можно с официального сайта разработчика — https://www.xldevelopment.net/upnpwiz.php.

Готово, порт открыт и готов к пробросу через настройки роутера. Если он не откроется или откажется передавать данные, стоит проверить, не заблокирован ли он встроенным или сторонним брандмауэром.

Предварительная настройка для переброски портов

Прежде чем выполнять проброс, необходимо изменить настройки распределения локальных IP-адресов внутри сети, созданной роутером TP-Link. Устройству, на котором в дальнейшем будет использоваться открытый порт, нужно задать неизменный внутренний адрес. За адресацию внутри локальной сети отвечает DHCP, поэтому необходимо открыть меню «DHCP -> Список клиентов DHCP». В этом окне отобразится список подключенных к вашей сети устройств. Ищем нужное устройство по имени и копируем его MAC-адрес.

В случае, который изображён на скриншоте, найти необходимое устройство не составило труда, так как в домашней сети было зарегистрировано только одно устройство. Однако бывают ситуации, когда к сети подключено значительное количество устройств, а имя необходимого компьютера неизвестно или не отображается. В этом случае можно узнать адрес компьютера непосредственно через операционную систему. Самый простой способ — использовать специальную команду в командной строке.

Нажмите клавиши Win+R, чтобы открыть окно выполнения новой программы. В нём введите cmd и нажмите кнопку «ОК».

После ввода команды getmac вы получите необходимые данные, которые в дальнейшем понадобятся, чтобы осуществить проброс портов на роутере TP-Link.

В случае если при выполнении команды происходит ошибка, рекомендуется повторить операцию, запустив командную строку от имени администратора.

После этого необходимо открыть меню «DHCP -> Настройки DHCP». На этой странице будет отображён диапазон IP-адресов, в пределах которого производится адресация компьютеров вашей сети. В случае на скриншоте начальный адрес: 192.168.0.100, конечный: 192.168.0.199. Эти данные понадобятся на следующем этапе.

Далее потребуется открыть страницу «DHCP -> Резервирование адресов» и нажать кнопку «Добавить новую…». Без выполнения этого шага проброс портов на роутере TP-Link не принесёт необходимого результата, так как компьютеру каждый раз будет присваиваться новый локальный адрес.

В поле «MAC-адрес» вставьте комбинацию, которую вы скопировали из списка клиентов DHCP или командной строки. В поле «Зарезервированный IP-адрес» введите любой адрес, который входит в диапазон, уточненный в настройках DHCP роутера TP-Link. Нажмите кнопку «Сохранить».

Добавленная привязка MAC-адреса к IP отобразится в списке, но для нормальной работы резервирования адресов потребуется перезагрузка Wi-Fi роутера, о чём вас и предупредит система.

Перезагрузить роутер TP-Link программным путём можно в меню «Системные инструменты -> Перезагрузка».

Решение возможных проблем при пробросе портов

Не стоит забывать, что перебросив порт 80, который является стандартным для протокола HTTP, вы можете лишиться доступа к контрольной панели роутера. Во избежание такой ситуации необходимо предварительно изменить порт управления роутером, если вы собираетесь перебросить порт 80. Для этого зайдите в меню «Безопасность -> Удалённое управление» и в поле «Порт веб-управления» установите другое значение. В дальнейшем доступ к панели управления роутером вы сможете осуществлять с указанием нового порта. Например, если задан порт 777, открыть управление Wi-Fi роутером можно будет по адресу 192.168.0.1:777.

Почему не открываются порты на роутере TP-Link — возможные проблемы

Даже если вы сделаете все правильно, то есть вероятность столкнуться с ошибкой, что порты на роутере TP-Link не открываются — почему?

Если при обращении к внутреннему устройству через интернет вы попадаете на главную страницу админки роутера TP-Link, то попробуйте поменять WEB-порт (http-порт) и медиа-порт на другие значения и пробросить их. Также учтите, что проверять работу проброса портов следует только из внешней сети интернет, а не с устройства, входящего в вашу локальную сеть.

Если при обращении к внутреннему устройству через интернет вообще ни чего не происходит, то проверьте:

• Отключены ли антивирусные средства (файрволл, брандмауэр) или в них должны быть настроены исключения на подключение к вашим портам.
• Также есть вероятность, что при отсутствии внешнего статического IP при использовании сервиса DDNS провайдер запретил использовать некоторые порты.
• Следующее, что имеет смысл проверить — включена ли функция NAT для того соединения, через которое вы получаете интернет от провайдера.
• В сетевых настройках устройства/компьютера, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен LAN IP-адресу роутера (по умолчанию 192.168.1.1). Это актуально, если на устройстве/компьютере вы указываете вручную сетевые настройки. Если же устройство/компьютер является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен LAN IP-адресу роутера.
• Возможно также часть проблем удастся устранить путем включения функции открытого DMZ сервера. Его работа будет заключаться в том, чтобы перенаправлять абсолютно все внешние запросы из интернета на один и тот же определенный IP адрес внутри вашей локальной сети.

Брандмауэр

После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.

В настройки брандмауэра проще всего попасть двумя способами:

• Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
• Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.

В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.

Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.

Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.

Выбираем тип правила “Для порта” и жмем далее.

Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.

Выбираем “Разрешить подключение”.

Указываем галочками профили.

Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.

После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.

Отключение брандмауэра

В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.

Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.

После проверки не забудьте включить брандмауэр.

Перед тем как погрузится в мир настройки описываемой службы, следует пояснить для каких целей она применяется. Наверно, все в какой-то мере пробовали играть в он-лайн игры с использованием сети Интернет (Рис. 1).

Вы подключаетесь к определенному серверу, и начинается сеанс игры (направление установления сеанса показано стрелками). Но что будет, если вы хотите организовать подобный сервер у себя дома? Или в связи с постоянным доступом в Интернет, посредством ADSL модема, возникло желание перенести свою домашнюю страничку с бесплатного хостинга на свой домашний HTTP сервер. А может, вы часто ездите по миру и вам необходимо сделать доступ на свою директорию при помощи FTP сервера. В этом случае, удаленный компьютер должен обратиться к вашему Игровому, HTTP или FTP серверу, находящемуся за xDSL модемом (направление установления сеанса показано стрелками), но тогда непременно возникнет следующая проблема — невидимость вашего персонального компьютера или локальной сети из-за службы NAT/Firewall модема (Рис. 2).

Следует это из-за того, что невозможно обратиться к вашему персональному компьютеру с IP адресом 192.168.1.2 из сети Интернет (подробности читайте во врезке о службе NAT). Но, в тоже время, вы всегда можете обратиться к публичному IP адресу вашего модема, получаемого из пула IP адресов провайдера. Для чего это можно применить? А очень просто. Совместно со службой NAT можно настроить проброс портов, открытых на WAN интерфейсе модема, во внутреннюю сеть на определенный персональный компьютер и, таким образом, получить доступ к Игровому, HTTP или FTP серверу. Да и не только к ним, а к любому порту, используемому сетевым приложением на вашем персональном компьютере. Именно для реализации всего этого применяется служба Port Forwarding.

«>

Для чего нужен проброс портов?

Вопрос, как пробросить порты на роутере Ростелеком, становится все более актуальным из-за увеличения числа устройств. Если раньше ПК был роскошью, сегодня такие аппараты (в том числе ноутбуки) установлены в каждом доме. Многие люди имеют по несколько ноутов, смартфонов и других аппаратов. Чтобы это оборудование безошибочно работало с Сетью, необходим правильно настроенный роутер.

После подключения к маршрутизатору Ростелеком пользователь может открыть страницы, скачать какие-либо файлы или выполнить иные действия. Но некоторые программы могут работать со сбоями или вообще отказываются подчиняться. Причиной может быть закрытие некоторых портов маршрутизатора. В таком случае их нужно открыть, чтобы дать доступ для всего ПО на ноутбуках, ПК или телефонах.

Проброска входов на маршрутизаторе Ростелеком может потребоваться в таких случаях:

1. Возникли трудности с подключением какой-либо программы к Сети.
2. Необходимо на одном ПК посмотреть картинку с видео, которое получает другой компьютер или ноутбук. Это работает при условии, что устройства подключены к одному маршрутизатору. Возможны ситуации, когда нужно увидеть видео с камеры, находящейся вообще в другом месте.
3. Требуется подключить программу torrent-трекер. Для раздачи файлов придется открыть необходимый вход.
4. Интересует просмотр изображения, напрямую поступающего с IP-камеры, работающей через маршрутизатор.
5. Необходимо создать на компьютере сервер для игр в режиме онлайн, к примеру, Counter-Strike.

Вне зависимости от ситуации пользователю придется найти и открыть нужные порты на роутере Ростелеком. Зная, как это сделать, работа займет не больше 5-10 минут.

Проброс портов на роутере ASUS

В роутерах Асус проброс портов делается немного по-другому.
IP адрес по умолчанию:192.168.1.1
Имя пользователя admin
Пароль admin
Забиваем эти цифры в адресной строке браузера и попадаем на главную страницу черно-серо-синего интерфейса роутера Asus.
В левом вертикальном меню в разделе Дополнительные настройки находим пунктИнтернет

Зайдя в него, находим в верхнем горизонтальном меню пункт Переадресация портов.
Нажимаем на него и ставим галочку в пункте Включить переадресацию портов

Внизу, в табличке Список переадресованных портов нам необходимо добавить нужные порты.Имя службы – любое латинскими буквамиДиапазон портов – входящий порт, который будет указан в адресной строке браузера после внешнего IP адреса через двоеточие.Локальный IP-адрес – внутренний IP адрес вашего регистратора или IP камеры. Его можно посмотреть в настройках устройства или задать самому в разделе Сеть.
Локальный порт – по умолчанию в видеорегистраторе или IP камере он 80. Если вы его изменили по какой то причине, то указываем в этом пункте новое значение.
Протокол оставляем без изменений.
После этого нажимаем на плюсик в конце строки, добавляя внесенные значения в роутер.

Если у нас в этой сети есть еще устройства, то делаем переадресацию и на него.

Пробрасываем порты для программ, которые работают на мобильных устройствах.

Чтобы сохранить внесенные изменения, обязательно нажимаем кнопку Применить.

Роутер уходит на перезагрузку:

Если все сделано правильно, то при заходе на внешний ай-пи адрес с добавлением порта, вы попадете на свой любимый регистратор.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.

Src. AddressDst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.

Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.

Src

Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.

Dst. Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.

Any

Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).

In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.

Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

• accept — просто принимает данные;
• add-dst-to-address-list — адрес назначения добавляется в список адресов;
• add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
• dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
• jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat ;
• log — просто записывает информацию о данных в лог;
• masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
• netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat ;
• passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
• redirect — данные перенаправляются на другой порт этого же роутера;
• return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
• same — редко используемая настройка один и тех же правил для группы адресов;
• src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

• 80/tcp — WEB сервер,
• 22/tcp — SSH,
• 1433/tcp — MS SQL Server,
• 161/udp — snmp,
• 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

О пробросе портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

При всем этом следует обратить особое внимание на безопасность. Ведь открыв к ресурсам локальной сети через интернет, ими могут попытаться воспользоваться злоумышленники

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Настройки видеорегистраторов

Подошли к самому важному моменту, попробую предположить к тому, ради которого вы читаете эту статью. Сперва заходим в видеорегистратор и настраиваем

Если у вас одна камера, заходим через web-интерфейс на камеру, настраиваем сетевые настройки видеокамеры.

Сетевые настройки аналогового видеорегистратора

Для удаленного подключения к камерам видеонаблюдения в роутере необходимо выполнить проброс портов, указанных в видеорегистраторе. Для слишком мнительных пользователей, которые думают о безопасности доступа к камерам, открываемые порты можно изменить, но тогда могут возникнуть трудности в настройках.

Краткая инструкция по настройке видеорегистратора

Для того чтобы не ошибиться какие порты нам нужно пробрасывать, заходим в сетевые настройки ip видеорегистратора и открываем порты в роутере, указанные в окнах TCP, HTTP, CDM, RTSP и др. В зависимости от марки производителя и чипсета, они могут быть различны. Также вы можете их задать самостоятельно вручную.