База знаний

Статья: 2302

Настройка проброса порта в интернет-центре Keenetic с микропрограммой NDMS V2

Вопрос:

Как настроить интернет-центр серии Keenetic с микропрограммой NDMS V2 для прохождения входящих запросов из Интернета в локальную сеть?

Ответ:

По умолчанию в интернет-центрах серии Keenetic запрещены входящие подключения из Интернета к компьютерам или сетевым устройствам локальной/домашней сети. Но устройcтва домашней сети могут сами разрешить необходимые им подключения, используя протокол UPnP. Так, запуск на компьютере программы, которая принимает входящие подключения, часто вызывает автоматическое создание нужных разрешающих правил в Keenetic с помощью UPnP. Для получения же доступа из Интернета к сетевому устройству, UPnP необходимо включить на нем. Чтобы Keenetic принимал настройки по UPnP, необходимо лишь убедиться, что установлен компонент “Служба UPnP”. Пример настройки UPnP в интернет-центрах серии Keenetic c микропрограммой NDMS V2 вы найдете в статье: БЗ-3324
Если по какой-либо причине вы не можете использовать протокол UPnP, то для корректной работы необходимо будет вручную настроить трансляцию сетевых IP-адресов (NAT), чтобы в интернет-центре открыть доступ по портам, которые использует программа, сетевое устройство или сервер.
Если вы точно знаете, какой именно протокол и номер порта используются в вашей программе или сетевом устройстве, проброс порта можно выполнить на основе примера, который приведен ниже в данной статье (показан проброс порта tcp/21 для домашнего ftp-сервера). Посмотреть список общеизвестных портов TCP и UDP, которые используются в различных программах, можно на сайте: http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
Если вы не знаете, какой протокол и номер порта используются в вашей программе или сетевом устройстве, можно выполнить проброс всех портов на компьютер или сетевое устройство (в интернет-центре нужно будет создать правило проброса портов без указания номера порта). Такой пример приведен в статье: БЗ-2783

Теперь подробно рассмотрим пример настройки проброса портов в интернет-центре серии Keenetic (с микропрограммой NDMS V2) для возможности подключения из Интернета к локальному FTP-серверу, который работает на сетевом накопителе серии NSA. Протокол FTP вы сможете использовать для загрузки или скачивания файлов с FTP-сервера.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Для работы с FTP-сервером нужно в настройках интернет-центра Keenetic открыть определенный TCP/UDP-порт, который используется для входящих соединений. Для начала нужно выяснить номер порта, который используется сервером. Например, в сетевом накопителе NSA зайдите в веб-конфигураторе в меню в меню Приложения > FTP-сервер. В поле Номер порта указан номер порта, который используется сервером (в нашем примере это порт 21). При необходимости, указанный номер порта вы можете изменить.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Далее нужно настроить интернет-центр серии Keenetic. Подключитесь к веб-конфигуратору устройства. Сначала нужно создать статическую привязку IP-адрес + MAC-адрес для устройства, на которое будет осуществляться проброс портов. Это необходимо для того, чтобы устройство (FTP-сервер) в домашней сети получало всегда постоянный IP-адрес.
Если IP-адрес на этом устройстве уже задан статически, то данный шаг можно пропустить.

Создание статической привязки можно выполнить следующим способом:

Перейдите в меню Системный монитор > Домашняя сеть в разделе Список подключенных устройств, нажмите кнопку Закрепить IP-адрес за устройством.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Откроется окно Регистрация устройства в сети, в котором установив галочку в поле Постоянный IP-адрес и нажмите кнопку Зарегистрировать.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Также регистрацию устройства в сети можно выполнить из меню Домашняя сеть > Устройства, щелкнув по записи устройства.

После того как мы выполнили привязку, устройство будут постоянно получать один и тот же IP-адрес от интернет-центра.
Далее можно перейти непосредственно к настройке проброса портов.

Зайдите в меню Безопасность > Трансляция сетевых адресов (NAT). Нажмите Добавить правило и заполните поля, как показано на скриншоте:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Поясним значения каждого поля.

Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета — интерфейс туннеля (PPPoE, PPTP или L2TP).

Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.

В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов FTP). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.

В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).

Новый номер порта назначения – используется для "подмены порта" (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.

После заполнения нужных полей нажмите кнопку Сохранить.

При необходимости, подобную настройку правила трансляции адресов можно выполнить и через интерфейс командной строки (CLI) устройства командой:

<config>>ip static tcp ISP 21 192.168.1.33 21
<config>>system config-save


Внимание! Настройку межсетевого экрана для проброса порта производить не нужно, т.к. при использовании правила трансляции адресов интернет-центр самостоятельно открывает доступ по указанному порту.

Итак, настройка проброса порта завершена.

 
Также для надежной и корректной работы FTP-подключений необходимо в интернет-центре через веб-конфигуратор в меню Система > Компоненты установить компонент микропрограммы Шлюз прикладного уровня (ALG) для FTP.

 

Подробную информацию по установке компонентов микропрограммы NDMS V2 можно найти в статье: БЗ-2681
 

Примечание. Типовые причины неработоспособности проброса портов.

Ниже указаны причины, которые могут привести к неработоспособности проброса портов, несмотря на корректную настройку данной функции в интернет-центре.

  • В микропрограмме NDMS V2 вашего роутера отсутствует поддержка функция NAT Loopback. В интернет-центрах с микропрограммой второго поколения NDMS V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxx)B20. Выполните обновление компонентов микропрограммы. Процедура обновления компонентов микропрограммы NDMS V2 для интернет-центров серии Keenetic представлена в статье: БЗ-2681
    Чтобы проверить проброс портов нужно обращаться к WAN-порту устройства из Интернета (при обращении из локальной сети проброс портов работать не будет!). Также для проверки проброса портов можно подключить к WAN-порту интернет-центра компьютер и указать в свойствах сетевого подключения статический IP-адрес из той же подсети, что и на WAN-интерфейсе. 
    Также можно воспользоваться интернет-сервисом, предназначенным для проверки открытости порта (например, http://www.wservice.info/?checkport).
    Внимание! Приложение, отвечающее по запрашиваемому порту должно быть активно, чтобы при проверке порт виделся как "открытый". Например, порт для FTP-сервера на самом деле открыт, но если FTP-сервер не запущен, статус порта при проверке будет "закрыт".
  • В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интефрейс. Убедитесь, что выбран именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети:
    • Если вы подключены к Интернет по выделенной линии Ethernet без авторизации или с авторизацией 802.1x, используйте интерфейс Broadband connection (ISP);
    • При наличии авторизации PPPoE, PPTP или L2TP выберите один из следующих интерфейсов [Описание соединения с авторизацией] (PPPoE0, PPTP0 или L2TP0 соответственно);
    • При подключении к беспроводной сети Wi-Fi выберите Wi-Fi client (WifiStation0);
    • При подключении через 3G/4G-модем испозьзуйте [Название оператора] (UsbModem0);
    • При наличии авторизации PPPoE, PPTP или L2TP и необходимости обеспечить доступ к устройству домашней сети не только из Интрернет, но и из локальной сети провайдера, необходимо создать два правила для интерфейса [Описание соединения с авторизацией] (PPPoE0, PPTP0 или L2TP0 соответственно) и для интерфейса Broadband connection (ISP).
  • Для доступа к ресурсам локальной сети из Интернета необходимо наличие "белого" глобального (публичного) IP-адреса на WAN-интерфейсе интернет-центра. Если же на WAN-порту устройства используется "серый" IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.
     
  • В сетевых настройках устройства/компьютера, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен LAN IP-адресу интернет-ценнтра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на устройстве/компьютере вы указываете вручную сетевые настройки. Если же устройство/компьютер является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен LAN IP-адресу интернет-ценнтра Keenetic.
     
  • Некоторые интернет-провайдеры (например, СТРИМ (МТС)) осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21 (FTP) , 80 (HTTP), 25 (POP3) и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.
    При необходимости можно вручную задать другой номер порта, который не будет заблокирован провайдером (например, при блокировке порта 21 на FTP-сервере можно использовать порт 2121).

    Если же изменить номер порта сервиса на вашем локальном сервере/компьютере возможности нет, можно в настройке трансляции адресов использовать "подмену порта" (маппинг порта).

    terrasoft.axd?s=db&sn=eb9beead-9538-4ad9
    В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
    Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
    Эту же настройку можно выполнить через интерфейс командной строки интернет-центра, выполнив команды:

    <config>>ip stаtic tcp ISP 2121 192.168.1.33 21
    <config>>system config-save

Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу техническую поддержку через Систему персональной поддержки, приложив файл конфигурации, файл диагностики и системный журнал (log). Информацию о том, как это сделать, можно найти в статье: БЗ-2330

Была ли вам полезна эта статья?

Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки


Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки