Как настроить интернет-центр для прохождения входящих запросов из Интернета в локальную сеть?

По умолчанию в интернет-центрах серии Keenetic запрещены входящие подключения из Интернета к компьютерам или сетевым устройствам локальной/домашней сети. Но устройcтва домашней сети могут сами разрешить необходимые им подключения, используя протокол UPnP . Так, запуск на компьютере программы, которая принимает входящие подключения, часто вызывает автоматическое создание нужных разрешающих правил в Keenetic с помощью UPnP. Для получения же доступа из Интернета к сетевому устройству, UPnP необходимо включить на нем. Чтобы Keenetic принимал настройки по UPnP, необходимо лишь убедиться, что установлен компонент Служба UPnP . Пример настройки UPnP в интернет-центрах серии Keenetic c микропрограммой NDMS V2 вы найдете в статье:
Если по какой-либо причине вы не можете использовать протокол UPnP, то для корректной работы необходимо будет вручную настроить трансляцию сетевых IP-адресов (NAT), чтобы в интернет-центре открыть доступ по портам, которые использует программа, сетевое устройство или сервер.
Если вы точно знаете, какой именно протокол и номер порта используются в вашей программе или сетевом устройстве, проброс порта можно выполнить на основе примера, который приведен ниже в данной статье (показан проброс порта tcp/21 для домашнего ftp-сервера). Посмотреть список общеизвестных портов TCP и UDP, которые используются в различных программах, можно на сайте:
http://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
Если вы не знаете, какой протокол и номер порта используются в вашей программе или сетевом устройстве, можно выполнить проброс всех портов на компьютер или сетевое устройство (в интернет-центре нужно будет создать правило проброса портов без указания номера порта). Такой пример приведен в статье:

Далее рассмотрим пример настройки проброса портов в интернет-центре серии Keenetic (с микропрограммой NDMS V2). Предположим, нужно предоставить доступ для возможности подключения из Интернета к домашнему FTP-серверу, который работает на сетевом накопителе Zyxel NSA220.

Для работы с FTP-сервером нужно в настройках интернет-центра Keenetic открыть определенный TCP/UDP -порт, который используется для входящих соединений. Для начала нужно выяснить номер порта, который используется сервером. В нашем примере на сетевом накопителе для FTP-сервера используется TCP-порт c номером 21.

Переходим к настройке интернет-центра серии Keenetic. устройства. Сначала нужно зарегистрировать устройство домашней сети (FTP-сервер), на которое будет осуществляться проброс портов. При регистрации создается привязка IP-адреса и MAC-адреса устройства. Это необходимо для того, чтобы FTP-сервер в домашней сети получал всегда постоянный IP-адрес. Если на этом устройстве уже вручную указан постоянный IP-адрес, то данный шаг можно пропустить.

Перейдите в меню Домашняя сеть на вкладку Устройства , и щелкните по записи нужного устройства.
Откроется окно Регистрация устройства в сети , в котором установив галочку в поле Постоянный IP-адрес и нажмите кнопку Зарегистрировать .

После того как вы зарегистрируете устройство,оно будет постоянно получать один и тот же IP-адрес от интернет-центра.
Далее можно перейти непосредственно к настройке проброса портов.

Зайдите в меню Безопасность > Трансляция сетевых адресов (NAT) . Нажмите Добавить правило и заполните нужные поля.

Поясним значения каждого поля.

Внимание! Необходимо правильно указать значение поля Интерфейс . В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP) . Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP) , а для проброса порта из Интернета - интерфейс туннеля (PPPoE, PPTP или L2TP).

Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.

В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов FTP ). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.

В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).

Новый номер порта назначения – используется для "подмены порта" (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.

После заполнения нужных полей нажмите кнопку Сохранить .

При необходимости, подобную настройку правила трансляции адресов можно выполнить и через (CLI) устройства командой:

> ip static tcp ISP 21 192.168.1.33 21
> system config-save

Итак, настройка проброса порта завершена.
Внимание! Настройку межсетевого экрана для проброса порта производить не нужно, т.к. при использовании правила трансляции адресов интернет-центр самостоятельно открывает доступ по указанному порту.

Для надежной и корректной работы FTP-подключений необходимо в интернет-центре через веб-конфигуратор в меню Система > Компоненты установить компонент микропрограммы Шлюз прикладного уровня (ALG) для FTP .

Подробную информацию по установке компонентов микропрограммы NDMS V2 можно найти в статье:

Если проброс портов по какой-то причине не заработал, обратитесь к статье «Что делать, если не работает проброс портов?» .

Проброс портов (или по-другому — форвардинг портов, виртуальный сервер) необходим для того чтобы Вы могли извне зайти на свою домашнюю IP-камеру или любое другое устройство, имеющее веб-интерфейс (или другой интерфейс) для работы с ним.

В настройках роутера ZyXEL Keenetic проброс портов называется «Трансляция сетевых адресов (NAT)».

Кроме проброса портов роутер ZyXEL Keenetic способен выполнять функции 4-х портового свитча, раздавать интернет по Wi-Fi, подключать дисковые накопители к его USB-порту и множество других полезных функций. Но сейчас рассмотрим настройку его функцию проброса портов.

Настройка проброса портов — Трансляция сетевых адресов (NAT)

Итак, преступим к настройке. Перед настройкой настоятельно рекомендуется перезагрузить роутер, для исключения влияния возможных накопившихся ошибок (хотя, эта процедура не обязательная)!

Для настройки необходимо зайти на главную страницу роутера. Далее перейти в раздел «Безопасность», где выбрать пункт «Трансляция сетевых адресов (NAT)».

Страница настройки проброса портов ZyXEL Keenetic (нажмите на картинку для увеличения)

После этого добавляем правило трансляции адресов.

Для того, чтобы добавить правило, представим, что у нас есть IP-камера, подключенная к роутеру. Пусть ее IP-адрес будет 192.168.1.50, а ее локальный порт будет 80 (по умолчанию, в большинстве случаев порт IP-камер — 80, хотя бывают и исключения).

Итак, перед нами окно «Настройка правила трансляции адресов». Его поля необходимо заполнить следующим образом.

• Интерфейс – Broadband connection(ISP).
• Поля «Пакеты на адрес» и «маска» – оставляем пустыми.
• Протокол – TCP.
• Порты TCP/UDP — один порт.
• В поле ниже — указать внешний порт, на который будем обращаться из интернета. Т.к. IP-камера имеет у нас IP-адрес 192.168.1.50, наиболее удобно для запоминания взять, например, порт 10050. Порт необходимо выбирать больше 5000, чтобы не было совпадений с портами, используемыми стандартными службами и протоколами.
• Перенаправить на адрес — тут указываем локальный IP-адрес камеры, т.е. 192.168.1.50.
• Новый номер порта назначения – локальный порт IP-камеры. По умолчанию это порт 80.

После этого перезагрузите роутер (не обязательно) и проверьте настроенный проброс портов на IP-камеру из интернета через браузер. Для этого в браузере введите http://<внешний ip-адрес роутера или DynDNS имя>:10050 . В браузере должна отобразиться Ваша IP-камера.

В стоимость услуг по установке систем видеонаблюдения ООО Астарта включает помимо всего прочего и настройку удаленного видеонаблюдения по сети Internet. Но иногда провайдеры тянут время и на момент подписания акта выполненных работ пользователю все еще не выдан статический ip-адрес. Для таких ситуаций и написано это небольшое пособие по пробросу портов для осуществления удаленного видеонаблюдения. Здесь я постараюсь как можно более детально показать процесс настройки роутера на примере ZyXEL Keenetic Start и регистратор Super mini NVR NV1304 (впрочем, справедливо для любого регистратора XVI серии NVR).

Для начала нам необходимо получить у провайдера белый статический ip-адрес.

Небольшое отвлечение: различают серые и белые ip-адреса - серый статичен лишь во внутренней сети провайдера (выдачей таких адресов частенько грешил ростелеком), и выход на такой адрес из внешней сети невозможен; белый же адрес статичен во всей своей красе - другого такого ip-адреса нет более во всей сети Internet - он то нам и нужен.

Итак, получаем у провайдера белый статический ip-адрес и приступаем к настройке роутера.

Для выполнения поставленной задачи нам необходимо пробросить 80, 5050, 5051, 5052 и 5053 порты на регистратор, имеющий адрес в локальной сети 192.168.1.50.
Рассмотрим их подробнее:

• 80 HTTP Port. Необходим для доступа к видеорегистратору через браузер Internet Explorer.
  
• 5050 Device Port - осуществляет передачу видеопотока.
  При доступе к видеорегистратору через браузер Internet Explorer мы пропишем его на странице аутентификации вместе с именем пользователя и паролем.
  При необходимости может быть изменен в настройках видеорегистратора;
• 5051 Default Port: порт по умолчанию. Зарезервирован производителем;
• 5052 Default Port: порт по умолчанию. Зарезервирован производителем;
• 5053 мобильный порт - необходим для передачи видео на мобильные устройства: планшеты, мобильные телефоны.
  Регистраторы XVI серии NVR поддерживают мобильные клиенты под Android, i-Phone, Windows mobile, Symbyan, BlackBerry. Номер его соответствует номеру удаленного порта +3.
  Автоматически изменяется при изменении удаленного порта.

Заходим на роутер: в адресной строке браузера (opera, firefox, ie - любой браузер на Ваш выбор) пишем адрес роутера в локальной сети. Обычно это 192.168.1.1.

Если Вы еще не сменили пароль роутера по умолчанию, то роутер предлагает нам это сделать - игнорируя жмем cancel.

Настраиваем проброс портов

Переходим на вкладку "безопасность/трансляция сетевых адресов NAT":

Здесь мы видим пустое поле и кнопку "добавить правило". Жмем её и перед нами окошко, изображенное на рис.2.

Выбираем интерфейс (у нас broadband connection ISP)

выбираем протокол TCP

выбираем один порт, номер порта: 80, адрес: 192.168.1.1, номер порта назначения: 80 и сохраняем.

те-же действия повторяем для 5050, 5051, 5052 и 5053 портов.

В результате мы должны увидеть картину, изображенную на рис.7.

Настраиваем статику

применяем настройки, выданные провайдером (рис.8)

и проверяем правильность настроек провайдера (рис.9)

проверяем с удаленного компьютера открыв в браузере Internet Explorer страницу с нашим ip-адресом - если IE просит установить надстройку поздравляю, всё работает.

На этом все. Если что-либо Вам не понятно - пишите через форму обратной связи с пометкой "Проброс портов ZyXEL Keenetic Start", с радостью отвечу.