База знаний

Статья: 2794

Настройка удаленного доступа к интернет-центру серии Keenetic на микропрограмме второго поколения NDMS V2

Вопрос:

Как настроить удаленный доступ из Интернета к интерфейсам интернет-центра серии Keenetic на микропрограмме NDMS V2?

Ответ:

Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: БЗ-4937
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: БЗ-4985
 

Для настройки удаленного доступа из внешней сети на интерфейс интернет-центра (через http или telnet) необходимо выполнить указанные ниже действия.

 
Внимание! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
Доступ к устройству из Интернета возможен только при наличии "белого" публичного IP-адреса на внешнем интерфейсе (WAN), через который роутер подключается к глобальной сети.
Доступ к интернет-центру с публичным IP-адресом можно будет получить из любой точки Глобальной сети.
При наличии на WAN-интерфейсе "серого" частного IP-адреса (10.ххх, 172.ххх, 192.ххх) доступ будет блокироваться на вышестоящем оборудовании провайдера. Для подключения услуги публичного IP-адреса обратитесь к вашему провайдеру.
Желательно, чтобы публичный IP-адрес был статический или постоянный. Если же IP-адрес для выхода в Интернет динамический (т.е. меняется каждый раз при новом соединении с провайдером), нужно воспользоваться сервисом динамического DNS (дополнительная информация представлена в статье БЗ-3295).
Важно! Без необходимости не открывайте доступ к веб-конфигуратору или интерфейсу командной строки (CLI) интернет-центра и не разрешайте выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.
 

1. Для настройки удаленного доступа к веб-интерфейсу интернет-центра (через http; по умолчанию используется порт 80) в меню Безопасность > Межсетевой экран создайте следующее правило:



Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения
: Любой
Протокол: TCP/80 (HTTP)
Подобная настройка через интерфейс командной строки (CLI) будет выглядеть так:

(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80


Если вы хотите разрешить удаленный доступ к веб-интерфейсу интернет-центра только с определенного IP-адреса или только для определенной подсети, в этом случае правило межсетевого экрана будет выглядеть следующим образом:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В нашем примере создано правило для интерфейса ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP), нужно создавать правило для этого интерфейса.)

В поле Действие установите значение Разрешить, в поле IP-адрес источника установите значение Один (для доступа из Интернета только с одного указанного IP-адреса) или Подсеть (для доступа с какой-то определенной подсети IP-адресов) и укажите соответственно IP-адрес или подсеть (в нашем примере мы предполагаем, что доступ к веб-интерфейсу интернет-центра будет возможен только с IP-адреса 89.88.87.86). В поле Протокол можно указать конкретный стандартный протокол (в нашем примере это порт TCP/80), через который будет разрешен доступ. В поле Номер порта назначения вы также можете самостоятельно указать нужный номер порта, если он нестандартный. 

 

2. Для удаленного доступа по протоколу telnet (к интерфейсу командной строки CLI интернет-центра) правило межсетевого экрана будет выглядеть так:

 

Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения
: Любой
Протокол: TCP/23 (Telnet)

Подобная настройка через интерфейс командной строки будет выглядеть так:

(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 23


3. Если вам требуется перевести удаленное управление устройством из Интернета на другой порт (например, ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080), в меню Безопасность > Трансляция сетевых адресов в правиле NAT в поле Номер порта нужно указать требуемый внешний номер порта (например, 8080):

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией (PPPoE, L2TP, PPTP), нужно указывать его.)
Протокол: TCP/80
Номер порта: 8080
Перенаправить на адрес: 192.168.1.1 (IP-адрес интернет-центра)
Новый номер порта назначения: 80

Подобная настройка через интерфейс командной строки будет выглядеть так:

<config>>ip stаtic tcp ISP 8080 192.168.1.1 80     /перенаправление с порта 8080 на 80/


4. Чтобы разрешить интернет-центру отвечать на пинг из внешний сети (из Интернета), требуется добавить разрешающее правило в настройках межсетевого экрана в меню Безопасность > Межсетевой экран:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой (если у вас используется глобальный постоянный "белый" IP-адрес, можно указать его)
Протокол: ICMP


Теперь вы сможете подключиться к веб-конфигуратору вашего интернет-центра серии Keenetic из Интернета.

 
Таким образом, пользователь (находящийся в Интернете) сможет получить удаленный доступ к управлению интернет-центром. В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать WAN IP-адрес интернет-центра в глобальной сети (его можно узнать на экране системного монитора Keenetic). Однако WAN IP-адрес может назначаться провайдером динамически, а значит, будет постоянно меняться. В этом случае можно использовать функцию Динамической DNS.
Обращаем ваше внимание, что адрес в браузере нужно начинать с http://, т.е. http://IP-адрес:порт (например, http://89.88.87.86:8080).
Информацию о настройке удаленного доступа на интернет-центр серии Keenetic в случае его подключения к Интернету через 4G-модем Yota LTE (LU150, LU156) можно найти в статье: БЗ-2704

Была ли вам полезна эта статья?

Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки


Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки