Перенаправление портов — проброс или переадресация

О пробросе портов

Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится.

Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер.

Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.

После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже.

Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов.

При всем этом следует обратить особое внимание на безопасность. Ведь открыв к ресурсам локальной сети через интернет, ими могут попытаться воспользоваться злоумышленники

Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание

Открытие портов на роутере TP-Link

Приветствую всех, кто так или иначе работает с оборудованием tp-link. Сегодня я постараюсь доступно показать, как произвести тонкую настройку маршрутизатора, чтобы иметь полный контроль за каждым устройством, подключенным к вашей локальной сети. Благодаря этой статье вы узнаете, как открыть порты на роутере tp-link и что для этого требуется. Так же для продвинутых пользователей, наверняка, будет интересно, как привязывать устройства по mac -адресу и как ограничивать скорость конкретным пользователям. А главное, ответим на вопрос почему это так необходимо Итак, поехали:

1. Открытие портов

К примеру, нужно запустить игровой сервер CS 1.6, чтобы он был доступен из интернета и ваши друзья могли к нему подключиться. Для этого нужно открыть порт 27015 для компьютера, на котором сервер запущен. То же самое, если вы занимаетесь видеонаблюдением и нужно пробросить 80 порт для видеорегистратора. Часто возникает ситуация, когда нужно открывать порты для каких-либо устройств и сегодня мы разберем, как это правильно настроить на роутере tp-link. Главное условие, чтобы порты не были закрыты на стороне вашего интернет-провайдера, а вы получали от него белый статический ip-адрес. В противном случае, ничего не получится. Этот момент лучше уточнить в технической поддержке вашего интернет-провайдера.

1) Заходим в настройки вашего роутера tp-link по адресу tplinklogin.net , по умолчанию имя пользователя и пароль admin/admin. Идем в раздел «Переадресация», выбираем «Виртуальные серверы». Там хранится список всех правил портов. Нажимаем «Добавить новую…»

2) Прописываем нужный порт и ip компьютера, на который открываем порт. В конце жмём «сохранить«. Новое правило появится в конце списка.

2. Привязка устройств по mac-адресу.

Эта функция позволяет присваивать постоянный локальный ip-адрес устройству, например компьютеру, используя mac-адрес его сетевой карты. Так мы избавим себя от необходимости прописывать ip-адреса на сетевых картах всех компьютеров в сети + пользователи не смогут менять их сами, так как ip будет выдаваться автоматически по привязке к сетевой карте. Так же неоспоримым плюсом является тот факт, что зайдя в настройки маршрутизатора, можно будет легко найти нужного пользователя и при необходимости на него воздействовать

1) Заходим в меню маршрутизатора по адресу 192.168.0.1 и авторизуемся.

2) Выбираем раздел DHCP, затем пункт «Список клиентов DHCP». Здесь показаны все устройства, подключенные к маршрутизатору

Хоть по кабелю, хоть по wifi- неважно

Как видим, второе устройство в списке получает ip-адрес динамически, то есть по окончанию срока действия адреса (аренда), оно может запросто получить другой ip. Копируем его мак-адрес, следуя рисунку ниже:

3) Переходим в пункт «Резервирование адресов» и нажимаем «Добавить новую…»

4) Вставляем mac-адрес в форму и указываем ip, который устройство должно получать.

5) Попросит перезагрузку. Просто жмём ОК.

6) Возвращаемся в раздел «Резервирование адресов» и видим только что созданное правило.

7) Перезагружаем маршрутизатор. После перезагрузки правило будет активировано, и компьютер будет всегда получать локальный статический ip.

3. Контроль скорости пользователей.

Эта функция плавно вытекает из предыдущей, она незаменима, если в вашей сети имеются пользователи, способные полностью «съесть» весь канал интернета. Чтобы не возникло ситуации, когда веб-страницы «грузятся» по полчаса, а видео вообще смотреть невозможно потому, что у кого-то качаются торренты… можно таким пользователям ограничивать скорость, дабы не загоняли канал в потолок.

1) Идем в раздел «Контроль пропускной способности», выбираем пункт «Параметры контроля». Всё делаем как на рисунке ниже:

2) Далее идем в пункт «Список правил», там можно посмотреть существующие правила, так же включать их и выключать выбираем «добавить новую…»

3) Указываем локальный ip компьютера и максимальную для него скорость в кбит/с. Например, я хочу ограничить пользователю скорость до 30 мегабит. Чтобы мегабиты перевести в килобиты воспользуемся конвертером величин. Далее полученный результат 30720 пишем в форму. В конце жмем «Сохранить». Теперь можно быть уверенным, что данный пользователь выше указанного значения скорости не получит:) На этом всё!

Destination NAT

Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Практически применяется в следующих случаях:

• Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
• Перенаправление любого DNS-трафика через маршрутизатор.

Стандартные действия возможные для цепочки dst-nat:

• dst-nat – преобразование адреса и/или порта получателя;
• redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.

Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.

Проброс портов на MikroTik

Пример проброса порта для RDP

Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.

Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.  

Для этого откроем:

IP=>Firewall=>NAT=> “+”.

На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:

Где:

• Chain: dstnat – цепочка правил для IP-адреса назначения;
• Protocol: 6 (tcp) – протокол;
• Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
• In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).

Следующим шагом откроем вкладку “Action”:

• Для поля “Action” указываем значение dst-nat;
• To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
• To Ports – порт на который будут перенаправляться запросы.

Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).

Проброс порта на MikroTik для видеонаблюдения

Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.

Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:

Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:

Откроем пункт меню “Action”:

• Указываем действие dst-nat;
• To Addresses – внутренний IP видеосервера или видеорегистратора.

Проброс портов для нескольких внешних IP

Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:

Создадим новый лист для интерфейсов “ISP”:

• Interfaces;
• Interface List => Lists => “+”.

Name: ISP – произвольное имя для Interface List.

Следующим шагом добавим нужные WAN интерфейсы:

Повторить данный шаг для всех WAN-интерфейсов.

Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:

Так можно настроить проброс портов на MikroTik для нескольких WAN.

Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.

Перенаправление трафика на маршрутизатор

С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.

Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.

Для этого выполним настройку NAT на MikroTik следующим образом.

Откроем: IP=>Firewall=>NAT=> “+”.

Добавим запись:

Перейдем в пункт меню “Action” и укажем действие redirect:

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

• Статические, то есть заданные вручную на каждом устройстве;
• Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Вкратце о работе с портами

Вся работа будет происходить в специализированной панели управления, которая открывается в любом браузере после введения одного из следующих IP-адресов в адресную строку:

• 192.168.0.1
• 192.168.1.1

Также перед работой с портами уточните у вашего провайдера, настроил ли он их. В таком случае самостоятельно менять настройки портов не рекомендуется без веской на то причины.

Этап 1: Предварительная настройка

Изначально вам нужно войти в панель управления роутером. Сделать это можно так:

1. Откройте любой браузер на компьютере. В адресную строку введите один из IP-адресов, приведённых выше. Также нужно учесть, что в это время компьютер должен быть подключён к роутеру либо через кабель, либо через Wi-Fi.
2. Появится форма для ввода логина и пароля. По умолчанию логин и пароль admin. Однако, он может быть изменён провайдером. В таком случае вам нужно посмотреть документы от провайдера, либо внимательно изучить наклейки на корпусе роутера. Если вы там не нашли пароля и логина, то свяжитесь с провайдером.

После входа в панель управления вы должны внести изменение в распределение локальных IP-адресов внутри сети. Рассмотрим эту процедуру на примере роутеров от компании TP-Link:

1. В левом меню раскройте пункт «DHCP». А там перейдите в «Список клиентов DHCP».
2. Найдите и скопируйте значение в поле «MAC-адрес» в центральной таблице. Если в таблице отображено несколько MAC-адресов, то скопируйте тот, который относится к вашему компьютеру. Имя компьютера можно посмотреть в поле «Имя клиента». Запишите куда-нибудь MAC-адрес.

Теперь вам нужно просмотреть рабочий диапазон IP-адресов. Сделать это можно перейдя в пункт «Настройки DHCP».
Сохраните куда-нибудь данные из полей «Начальный IP-адрес» и «Конечный IP-адрес».

Теперь перейдите во вкладку «Резервирование адресов» в левой части экрана.
Нажмите на кнопку «Добавить новую».

В поле «MAC-адрес» впишите значение, которое вы подсмотрели во 2-м шаге.
В поле «Зарезервированный IP-адрес» введите любое значение, которое находится в диапазоне между значениями «Начальный IP-адрес» и «Конечный IP-адрес», которые вы могли видеть на 4-м шаге.
Нажмите на «Сохранить».

Для применения изменений вам нужно только перезагрузить роутер. Это можно сделать как вручную, так и из панели управления роутером. Для этого раскройте пункт «Системные инструменты» в левом меню, а оттуда перейдите в пункт «Перезагрузка». В центральном окне нажмите на кнопку «Перезагрузка».

Этап 2: Открытие портов

После выполнения подготовительного этапа можно перейти непосредственно к самому открытию портов:

1. Раскройте вкладку «Переадресация». В ней нужно выбрать «Виртуальные сервера».
2. Кликните по «Добавление новой записи».

Введите номер в графе «Порт сервиса». Здесь можно ввести любой номер, не больше 65535.
В «IP-адрес» введите адрес компьютера в локальной сети. Если вы проделали все шаги из предыдущей инструкции, то у вас он будет введён по умолчанию.
В поле «Протокол» вы можете выбрать один из предложенных протоколов подключения (DNS, FTP, HTTPS и т.д.). Если вы не очень продвинутый пользователь, то отметьте поставьте в этом пункте значение «Все».
Нажмите «Сохранить».

Для применения настроек перезагрузите роутер.

Как видите операции с открытием портов на компьютере не являются чем-то сложным. В случае возникновения проблем, изучите документацию от провайдера или обратитесь к нему за помощью, совершив звонок в техподдержку.

FreeBSD

FreeBSD отличается тем, что имеет две независимые реализации механизма NAT (а значит, и технологии проброса портов). Первая носит имя natd и, как можно догадаться из названия, представляет собой демон уровня пользователя, который принимает «сырые» пакеты, выполняет необходимые преобразования адресов и отдает их обратно ядру. Вторую принято называть kernel nat, то есть механизм NAT, реализованный в ядре FreeBSD. Он позволяет выполнять преобразование адресов и проброс портов, используя правила брандмауэра ipfw.
Ясно, что вторая реализация производительнее и удобнее в использовании, и поэтому предпочтительнее. Однако kernel nat появился во FreeBSD не так давно, поэтому мы рассмотрим оба подхода на тот случай, если в твоем расп оряжении оказалась машина, использующая устаревшую версию этой операционной системы. Итак, метод номер один: natd, divert и все-все-все. Для активации NAT и проброса портов с помощью демона natd необходимо проделать следующие шаги:

1. Включить natd и ipfw в /etc/rc.conf:

2. Настроить NAT и проброс портов в /etc/natd.conf:

3. Чтобы все пакеты, проходящие через внешний интерфейс (rl1) шлюза,
перенаправлялись в natd и обрабатывались им, добавим правило divert
в /etc/ipfw.conf:

Также разрешим общение всех с внутренним сервером:

Далее можно добавить правила фильтрации. Метод номер два: ядерный NAT. Активация NAT с помощью реализации внутри ядра не требует ничего, кроме правильной настройки брандмауэра с помощью двух-трех правил. Не буду расписывать все в деталях, а просто приведу простой пример, демонстрирующий уже обсуждавшийся выше проброс 80-го порта со шлюза на внутренний сервер:

Правила ‘nat’ имеют несколько опций, большинство из которых совпадает с опциями, используемыми демоном natd. Например, опция same_ports предписывает механизму NAT сохранять оригинальные номера исходящих портов для исходящих пакетов (нужно для правильной работы некоторых RPC-протоколов). Опция rdirect_port имеет тот же синтаксис, что и в файле /etc/natd.conf.

Контроль скорости пользователей

Эта функция необходима для равномерного распределения трафика канала интернета «Ростелекома» между одновременно работающими пользователями. Для выполнения поставленной задачи во вкладке «Контроль пропускной способности» в пункте «Параметры контроля» отмечаем галочкой строку включения контроля полосы пропускания. Для линии «Ростелекома» FTTx о, оставляем значения полос по умолчанию и нажимаем клавишу «Сохранить».

На следующей странице списка правил жмем на клавишу «Добавить». В открывшейся форме прописываем локальный IP-адрес и максимальные значения входной и выходной скорости для выбранного устройства. Эти скорости, выраженные в кбит/с, определяют ширину полосы пропускания. Выполняем команду «Сохранить».

Про UPnP

Этот пункт как добавление для тех, кто хочет знать немного больше, чем ручной проброс. Дело в том, что большая часть современных роутеров поддерживает популярную технологию UPnP, которая делает автоматический проброс портов для многих известных приложений и игр. Так замечали, что тот же Hamachi не требует никаких пробросов, хотя соединение происходит в формате точка-точка извне. Или создание локальной сети в Arma 3 – тоже не требует проброса.

Дело как раз в этой технологии UPnP, которая и делает всю работу за вас. Ее используют не все, но проверить, что все может завестись автоматически, стоит. Как проверить – да просто запустить и посмотреть, работает игра или нет. Продвинутые могут зайти в те же настройки и глянуть пункт UPnP, здесь отображаются все использующие ее приложение. В моем случае прямо сейчас ничто здесь не задействовано:

Вот и все, что можно было рассказать про настройку проброса портов на роутерах TP-Link. Если остались какие-то вопросы – комментарии открыты ниже. Наша команда WiFiGid и лично я Ботан регулярно там отвечаем по мере свободного времени. Пишите, помогайте друг другу, делитесь странными ситуациями и их решением!

Для чего нужно открывать порты на роутере?

Вопрос, который чаще всего задают новички, — для чего вообще необходимо перенаправление портов?

Открыть порты на роутере и выполнить их проброс нужно в том случае, если мы хотим с одного устройства в локальной сети получить доступ к какому-то конкретному сетевому приложению, запущенному на другом. Например, транслировать изображение с IP камеры на ноутбук. Или подключиться к игровому серверу, запущенному на одном из компьютеров.

Если мы наберем в браузере IP адрес роутера TP-Link https://192.168.0.1, то попадем на страницу панели администратора. Однако мы знаем, что маршрутизатор назначает такие же адреса всем остальным устройствам внутри локальной сети — компьютерам, ноутбукам, смартфонам, сетевым камерам, ТВ приставке и так далее. У каждого из них есть свой IP адрес.

1. Представим, что у нас есть веб-камера, подключенная к компьютеру, с которой транслируется изображение по локальной сети через специальную программу (я разбирал такую схему видеонаблюдения в одной из статей)
2. Если мы захотим посмотреть на ноутбуке картинку с нее, то первым делом напрашивается ввести в браузере ip адрес самого компьютера, например «192.168.0.20» (как узнать IP своего компьютера читайте здесь).
3. Однако в этом случае мы просто попадем в его открытые для общего доступа папки, но никакого видео с камеры не увидим

Здесь нам на помощь приходит как раз функция перенаправления портов на wifi роутере. Приведу аналогию с улицей и домами. Вася, Петя и Лена живут в одном доме на одной и той же улице, но в разных квартирах. Если бы у всех ребят в адресе был только дом и улица, то невозможно было бы понять, в какой именно квартире живет каждый из них.

Соответственно, если курьеру на упаковке указать только дом и улицу, то он будет ходить к каждому из жильцов, но не знать точно, кому адресуется посылка. Номер квартиры точно укажет, куда именно ее нужно отнести.

В нашем случае:

• дом и улица — это IP адрес
• номер квартиры — порт
• курьер, которому нужно указать на коробке полный адрес получателя — это роутер, на котором настроен проброс портов.

Добавление правила в Брандмауэр Windows Server 2012 R2

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие 8.х (необходимо открыть порт 1541 для менеджера кластера, порты 1560-1591 для рабочих процессов и порт 1540 для агента сервера).

Некоторые программы и службы при работе через сетевые протоколы используют определенные порты для обмена данными. По умолчанию включенный брандмауэр Windows блокирует подобную сетевую активность. В частности, если попытаться подключиться с клиентской машины к серверу 1С:Предприятие 8.х можно натолкнуться на ошибку:

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

• Статические, то есть заданные вручную на каждом устройстве;
• Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Установка статических адресов

У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:

• Статические, то есть заданные вручную на каждом устройстве;
• Динамические, раздаваемые DHCP сервером из пулла адресов.

При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.

Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.

Ручная переадресация портов на роутере TP-Link и Asus.

Для начала нужно определиться с номером порта, который мы хотим открыть. Например, мы хотим сделать проброс портов для торрента. Идем в настройки программы по уже знакомому пути и смотрим в строку «Порт входящих соединений». Запишите номер из окна для генерации и снимите все галочки кроме пункта «В исключения брандмауэра». Не забудьте применить сделанные изменения.

Теперь нужно узнать MAC-адрес своего устройства. В нашем случае это компьютер и его физический адрес нам понадобиться позже. Нажмите кнопку «Пуск» —  «Панель управления» — «Центр управления сетями и общим доступом» — «Подключение по локальной сети» и нажмите кнопку «Сведения…». В поле «Физический адрес» вы увидите MAC-адрес своего компьютера.

Теперь зайдите в интерфейс маршрутизатора. Здесь первым делом, нам нужно для своего компьютера задать статический IP-адрес. Далее путь для каждого сетевого устройства свой.

TP-Link. В правом меню найдите «Привязка IP- и MAC-адресов» и перейдите на вкладку «Таблица ARP». Здесь отображены все устройства, которые подключены к нашей сети, а в столбце «Состояние» показан статус привязки (несвязанно). Поскольку мы уже знаем MAC-адрес компьютера, то в строке с физическим адресом видим присвоенный ему IP сервером DHCP. Его мы впишем на следующей вкладке.

Поднимитесь на вкладку выше с названием «Параметры привязки» и активируйте «Связывание ARP» и нажмите «Сохранить». Далее следует нажать кнопку «Добавить новую…» и задать параметры необходимые настройки. В новом окне нужно прописать физический адрес компьютера (MAC), присвоенный ему IP и нажать кнопку «Сохранить».

Теперь MAC- и IP- адреса связаны между собой для персонального компьютера. Об этом также свидетельствует вкладка «Таблица ARP». Если у Вас много устройств в сети и вы желаете им всем задать статический IP, то можно в «Таблице ARP» нажать кнопку «Связать все» предварительно активировав «Связывание ARP».

Осталось задать параметры для проброса портов. Зайдите в «Переадресация» (Forwarding) на вкладку «Виртуальные серверы» (Virtual Servers) и нажмите кнопку «Добавить новую» (Add New…). Теперь прописываем известные нам параметры. В поле «Порт сервиса» (Service Port) и «Внутренний порт» (Internal Port) указываем порт торрент-клиента, а в «IP-адрес» присвоенный IP компьютеру. В выпадающем списке «Протокол» (Protocol) выбираем «Все» (All) и в поле «Состояние» (Status) ставим «Включено» и нажимаем «Сохранить».

После этого для компьютера будет зарезервирован прописанный нами порт и P2P клиент сможет обмениваться входящими и исходящими пакетами.

О принципе по которому работает роутер можно узнать здесь.

Asus. Нажмите в боковом меню «Локальная сеть» и перейдите на вкладку «DHCP-сервер». В самом низу страницы активируйте пункт «Включить назначения вручную». Ниже есть поле «Список присвоенных вручную IP-адресов в обход DHCP». Вот он то нам и нужен. В выпадающем списке поля «MAC-адрес» нужно выбрать физический адрес компьютера, который мы узнали заранее. Поскольку у меня включен DHCP, то в поле «IP-адрес» автоматически подставился текущий IP компьютера.

Осталось кликнуть по кружку «Добавить/Удалить» и нажать кнопку «Применить». Роутер перезагрузится и после каждого подключения к сети, компьютер будет иметь один и тот же IP-адрес.

Теперь в административной панели в боковом меню кликните по «Интернет» и перейдите на вкладку «Переадресация портов». В строке «Включить переадресацию портов» переставьте точку в положение «Да».  Далее нужно опуститься в блок «Список переадресованных портов» и в поле «Имя службы» указать uTorrent, поскольку мы открываем порт для этой программы. В строке «Диапазон портов» указываем номер порта P2P клиента, который мы узнали заранее.

В поле «Локальный IP-адрес» выбираем статический IP-адрес компьютера, который мы только что привязали и в строке «Локальный порт» снова указываем порт Torrent-клиента. В выпадающем списке «Протокол» выбираем BOTH (оба протокола). Осталось кликнуть по кружку «Добавить» и кнопку «Применить». После презегрузки порт будет открыт для раздачи и закачки файлов из интернета от программы uTorrent.

Теперь вы имеете представление о том, как настроить проброс портов на роутере TP-Link и Asus. Безусловно автоматический способ намного удобнее, чем ручной и многие люди используют функцию UPnP, но правильнее задавать все настройки в ручную. Однако, это дело каждого и вы вольны выбрать способ, который вам ближе.

Если возникнут какие-то проблемы, то вы всегда можете сбросить установки роутера до заводских и настроить его заново. Если у Вас есть желание дополнить статью, то милости просим в комментарии. Пока!

Что такое проброс порта. Как пробросить порты на роутере

Перенаправление порта — это сопоставление определённого порта на внешнем интерфейсе роутера с определённым портом нужного устройства в локальной сети.

Перенаправление порта является одной из функций механизма NAT (трансляции сетевых адресов). Суть NAT заключается в использовании несколькими устройствами в локальной сети одного внешнего интерфейса.

В домашних сетях внешний интерфейс — это WAN-порт роутера, а сетевые устройства — это компьютеры, планшеты и смартфоны.

А суть перенаправления заключается в том, чтобы предоставить доступ к какому-то устройству в сети из Интернета, используя какой-либо открытый порт роутера.

Как сделать проброс порта на шлюзе (роутере, модеме)

Это то, что в народе называется «как открыть порт на роутере».

Допустим, есть задача предоставить доступ к удалённому рабочему столу компьютера, который подключён к Интернету через роутер. Для этого нужно создать правило перенаправления любого свободного порта WAN-интерфейса роутера на порт 3389 нужного компьютера.

3389 — это порт, который используется по умолчанию для приёма входящих подключений службы сервера удалённых рабочих столов.

После создания такого правила и применения настроек на роутере запросы, поступившие на указанный внешний порт будут перенаправлены на 3389 нужного компьютера в сети.

Для этого на роутере необходимо зайти в настройки перенаправления портов и добавить правило.

Пример настройки перенаправления порта на роутере D-Link.

1 Откройте раздел Advanced (Расширенные настройки).

2 Выберите настройку Port Forwarding (перенаправление портов).

3 Настройте правило перенаправления:

• Укажите любое удобное для вас имя правила;
• Укажите номер публичного порта (или диапазон). Публичный порт — это тот, который будет открыт на роутере для доступа из Интернета через WAN-интерфейс. Если нужно открыть только один порт, укажите один и тот же порт и в качестве начального в диапазоне, и в качестве конечного.В нашем случае нам нужно открыть порт 3389, поэтому мы два раза указали его в верхней строке настроек.
• Укажите IP-адрес компьютера (сервера) в локальной сети, на котором запущена служба, доступ к которой нужно предоставить. Рекомендуется зарезервировать IP-адрес для данного сервера в настройках DHCP-резервирования на роутере, чтобы он не поменялся в дальнейшем. Вместо этого также можно указать IP-адрес вручную в настройках сетевого адаптера на компьютере, проброс до которого вы будете делать на роутере.В нашем примере мы указываем внутренний серый IP-адрес 192.168.1.100, который принадлежит компьютеру с Windows Server 2008 с настроенным сервером удалённых рабочих столов.
• Укажите порт для приёма входящих подключений на компьютере в локальной сети.В нашем случае на сервере для службы Сервер удалённых рабочих столов используется порт по умолчанию 3389.
• Установите флажок слева для включения правила.

4 Нажмите Save Setting (Сохранить настройки)

Проверка работы перенаправления порта

Для проверки работы перенаправления портов нужно подключиться к компьютеру, используя внешний IP-адрес или имя хоста.

Нажмите win+r, введите mstsc и нажмите Enter:

В поле Компьютер dведите внешний IP-адрес роутера (который присвоен провайдером WAN-интерфейсу) либо имя хоста.

Нажмите Подключить:

(Тем самым вы устанавливаете соединение с WAN-портом роутера на 3389. При этом на роутере срабатывает перенаправление порта согласно правилу на внутренний IP-адрес 192.168.1.100 и указанный порт 3389)

Если вы увидите подпись Настройка удалённого сеанса, значит перенаправление порта работает:

В итоге вы должны увидеть рабочий стол удалённого компьютера (сервера удалённых рабочих столов):

Примечание

В веб-интерфейсе маршрутизаторов вместо настройки Port Forwarding может присутствовать настройка Virtual Server. А иногда — и та, и другая.

Имейте в виду, что для публикации одного порта можно использовать как настройку Port Forwarding, так и Virtual Server.

Разница в том, что настройка Виртуальный сервер позволяет переадресовывать (публиковать) только один порт на локальном компьютере, а с помощью настройки Перенаправление

можно пробрасывать и отдельные порты, и диапазоны.

Рекомендуемые к прочтению статьи:

Что делать, если вдруг ничего не заработало?

Есть ещё один момент, который может препятствовать доступу к сервису, который вы должны видеть из интернета. Это Firewall или Брандмауэр. А так же всякого рода антивирусы, имеющие свой Firewall и, порой параноидально, старающиеся любой ценой защитить компьютер пользователя от внешних угроз.

Попробуйте отключить ваш Firewall и проверить, будет ли доступен сервис после этого. Если всё заработает, значит нужно копать именно там.

Что именно и как копать – рассмотрим в одной из следующих статей.

Иногда возникает необходимость доступа извне к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.

Автоматическое переключение портов на роутере TP-Link и Asus.

Я уже говорил, что по умолчанию функция UPnP на маршрутизаторе обычно включена и P2P клиенты неплохо с ней работают. Но если все же возникают неполадки в работе, не будет лишним в этом убедиться. Первым делом нужно войти в интерфейс роутера и перейти на вкладку отвечающую за активацию. У каждой модели, этот путь разный.

TP-Link. «Переадресация» (Forwarding) — «UPnP». Должен быть статус «Включено» (Enabled).

Если данная функция будет не активна, то нажмите кнопку «Включить».

Asus. «Интернет» —  «Подключение» — «Включить UPnP».

После активации этой функции в маршрутизаторе, нужно проверить включена ли функция UPnP в P2P клиенте (uTorrent и DC++). Здесь тоже у каждой программы свой путь.

uTorrent. «Настройки» — «Настройки программы» и вкладка «Соединения». В чекбоксе «Переадресация UPnP» должна стоять галочка (обычно активна по умолчанию).

DC++. Перейдите в настройки и найдите вкладку «Настройки программы». Здесь должен быть отмечен пункт «Фаервол с UPnP».

С каждой новой версией программы, интерфейс может немного отличаться, но принцип думаю понятен. Таким образом активировав функцию UPnP программы будут сами себе открывать и закрывать порты. Обычно uTorrent с функцией UPnP работает без проблем, чего не скажешь о DC++.

Службы, порты и IP-адрес

Первое, что вы должны сделать, это перечислить все внутренние IP-адреса компьютеров, на которых запущены такие службы, как веб-сервер, SSH, CouchPotato, Sick Beard, SABnzbd, qBittorrent, Transmission, Deluge, ShellInABox или Webmin., Затем определите и запишите порты, на которых эти службы прослушивают. Это в основном все, что вам нужно для настройки переадресации портов на маршрутизаторе. Как правило, большинство из вышеперечисленных служб будут работать на вашем ПК медиа-центра, и у большинства людей дома есть только один сервер. Если у вас более одного домашнего сервера, на котором запущена одна и та же служба, убедитесь, что служба настроена на прослушивание разных номеров портов на разных хостах. Наши руководства по вышеперечисленным сервисам объясняют, как изменить номера портов, которые прослушиваются этими сервисами. Помните, что сервисы также могут быть подключенными к Интернету играми (пример: Ages of Empires), а хосты / серверы могут быть вашей игровой консолью (пример: XBOX Live). Когда у вас есть все номера, вы готовы настроить переадресацию портов на вашем маршрутизаторе.

Безопасность

Так как в случае проброса портов будет открыт доступ к устройствам, находящимся внутри вашей локальной сети, особое внимание следует уделить безопасности:

• Для подключения к устройству должен использоваться надежный пароль;
• Если передается конфиденциальная информация, то она должна быть в шифрованном виде.

Особое внимание следует уделить при передаче удаленного доступа к компьютеру. В этом случае злоумышленник может:

В этом случае злоумышленник может:

• Установить на компьютер свои программы;
• Перенастроить локальную сеть;
• Отслеживать и влиять на обмен данными по локальной сети.