Основы переадресации портов
Прежде чем мы настроим переадресацию портов, лучше понять, что это такое. Давайте рассмотрим простую аналогию делового комплекса, состоящего из двух офисных зданий A и B. Административный и торговый отделы находятся в корпусе A, а сервисный и исследовательский отделы – в корпусе B. Каждый из них имеет свой собственный почтовый ящик (1, 2, 3, и 4) в своих соответствующих зданиях. В таком случае уличный адрес офисного комплекса похож на внешний IP-адрес вашей сети. Имя здания (A / B) похоже на внутренний IP-адрес хоста / компьютера, на котором запущена определенная служба. Номер почтового ящика похож на номер порта. Любой пакет (интернет-пакет), полученный на ваш уличный адрес (внешний IP-адрес) для определенного почтового ящика (порта), будет автоматически перенаправлен в правильное здание (внутренний хост) с правильным отделом (службой), который принимает посылки через свой почтовый ящик (порт), Во избежание конфликтов во время маршрутизации две службы не могут работать на одном и том же порту. На следующем рисунке показано схематическое представление переадресации портов.
Схематическое изображение переадресации портов
Зачем открывают порты на роутере
Интернет-канал между провайдером и пользователем можно представить, как пару многоквартирных домов в разных концах улицы. Квартира — пользовательское приложение, а этаж дома — порт. Данные приложений (пакеты) таскает виртуальный почтальон. В варианте подключения без маршрутизатора, когда кабель провайдера напрямую включается в сетевой порт вашего компьютера, проблем с портами нет никаких: пакет с пятого этажа отправителя спокойно переносится почтальоном на пятый же этаж получателя.
Поскольку даже у самого нетребовательного пользователя дома несколько устройств, нуждающихся в подключении к интернету, на сцене появляется маршрутизатор-роутер. И в этом случае картина движения пакетов меняется. В настройках любого роутера, использующего NAT (трансляцию сетевых адресов) все исходящие запросы, по любым портам по умолчанию закрыты. То есть, если не провести специальные настройки, почтальон с пакетом сможет войти в дом, но двери на нужном этаже лифт не откроет.
Простейшая схема сети с трансляцией адресов (NAT)
Поэтому для работы систем видеоконференций, торрент-качалок, сетевых игр, FTP и веб-серверов необходимо настроить и открыть соответствующие порты, о чём и пойдёт речь ниже.
Открываем порты на роутере TP-Link
Для выполнения процедуры, нужно:
- Прописать стандартный IP-адрес маршрутизатора 192.168.1.1 в адресной строке браузера;
- Подтвердить действие клавишей «Enter».
- В панели авторизации указать логин и пароль (как правило, имя юзера и пароль — «admin»).
- В левой части экрана нужно найти ветку «Forwarding->Virtual Servers» и подтвердить действие клавишей «Add New».
- В поле «Service port» указать порт для открытия, а в поле IP Address написать IP-адрес нашего гаджета.
- Строка «Protocol» предназначена для выбора вида подключения — TCP, UDP или ALL.
- Строка «Status» должна содержать значение «Enabled».
- Нужно сохранить настройки клавишей «Save».
Если на вашем ПК нужно соединение для веб-сервера, оно открывается через порт 80. Номер порт для администрирования маршрутизатора поменяется на 8080 (вместо стандартного 80) и для подключения к нему нужно будет вводить адрес http://192.168.1.1:8080 (вместо http://192.168.1.1:80).
Автоматическое переключение портов на роутере TP-Link и Asus.
Я уже говорил, что по умолчанию функция UPnP на маршрутизаторе обычно включена и P2P клиенты неплохо с ней работают. Но если все же возникают неполадки в работе, не будет лишним в этом убедиться. Первым делом нужно войти в интерфейс роутера и перейти на вкладку отвечающую за активацию. У каждой модели, этот путь разный.
TP-Link. «Переадресация» (Forwarding) — «UPnP». Должен быть статус «Включено» (Enabled).
Если данная функция будет не активна, то нажмите кнопку «Включить».
Asus. «Интернет» — «Подключение» — «Включить UPnP».
После активации этой функции в маршрутизаторе, нужно проверить включена ли функция UPnP в P2P клиенте (uTorrent и DC++). Здесь тоже у каждой программы свой путь.
uTorrent. «Настройки» — «Настройки программы» и вкладка «Соединения». В чекбоксе «Переадресация UPnP» должна стоять галочка (обычно активна по умолчанию).
DC++. Перейдите в настройки и найдите вкладку «Настройки программы». Здесь должен быть отмечен пункт «Фаервол с UPnP».
С каждой новой версией программы, интерфейс может немного отличаться, но принцип думаю понятен. Таким образом активировав функцию UPnP программы будут сами себе открывать и закрывать порты. Обычно uTorrent с функцией UPnP работает без проблем, чего не скажешь о DC++.
Порты персонального компьютера
Порт – электронное устройство, выполняемое прямо на материнской плате ПК или на дополнительных платах, устанавливаемых в персональный компьютер. Порты имеют уникальный разъем для подключения внешних устройств – периферии. Предназначены они для обмена данными между ПК и внешними устройствами (принтерами, модемами, цифровыми фотоаппаратами и т. д.). Довольно часто, в литературе можно встретить ещё одно название для портов – интерфейсы.
Все порты можно условно разбить на две группы:
- Внешние — для подключения внешних устройств (принтеры, сканеры, плоттеры, устройства видеоизображения, модемы и т. п.);
- Внутренние — для подключения внутренних устройств (жёсткие диски, платы расширения).
Проброс портов на роутере Asus для видеорегистратора
Давайте посмотрим на реальный пример проброса портов на маршрутизаторе Asus. Как попасть на программу для просмотра картинки с веб-камеры с другого компьютера в сети или видеорегистратора? Необходимо открыть на маршрутизаторе порты, через которые работает данное устройство или программа.
Прежде всего нужно задать для того ПК, на котором работает приложение, статический IP адрес, чтобы он не менялся и проброс не приходилось перенастраивать при каждом новом его включении. На роутере Asus для заходим в раздел «Локальная сеть», вкладка «DCHP-сервер».
Сначала здесь активируем пункт «Включить назначение вручную». После этого в выпадающем списке MAC-адресов выберите компьютер, на котором установлена программа, к которой вы хотите данным пробросом портов обращаться. В нашем случае программа для наблюдения. Как узнать MAC я описывал при разборе защиты соединений через wifi.
И назначьте ему статический ай-пи. Он сам должен сейчас выскочить — тот, который активен в данный момент. Применяем эти настройки, нажав на плюсик и потом на кнопку «Применить».
После этого идем в компьютере по цепочке «Панель управления > Сеть и интернет > Центр управления сетями > Изменение параметров адаптера > Беспроводное соединение». Делаем двойной клик по нему мышью, и переходим в «Свойства > Протокол интернета версии 4 (TCP/IP)». Здесь ставим флажок на «Использовать следующий IP» и задаем:
- IP — тот, который вы назначили (или он сам выскочил, применив текущий адрес) при настройке роутера, у меня получился 192.168.1.225
- Маска — 255.255.255.0
- Шлюз — ip роутера, по умолчанию либо 192.168.1.1 (на нашем Asus), либо 192.168.0.1
В первой проге в разделе веб-вещание даем Имя хоста — ip нашего компа с работающей программой — 192.168.1.225 и порт — 1010.
В нашем случае указывается IP компьютера, так как мы имеем дело с веб-камерой, которая на него установлена. А вот если бы мы обращались к IP камере или видеорегистратору, у которых был бы собственный адрес внутри нашей локальной сети, то вписали бы его.
Что такое проброс портов
В компьютерных сетях портом называют числовой идентификатор от 0 до 65 535, указываемый при запросе на соединение. Стандартные номера портов назначаются серверным службам Центром управления номерами интернета (IANA). Например, веб-серверы обычно используют порт 80, FTP-серверы — порты 20 и 21, SMTP-серверы — порт 25 и 110. Перечень общеизвестных и зарегистрированных организацией IANA портов, а также их краткое описание можно посмотреть на сайте «Википедия» по адресу https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP.
Белым цветом в таблице выделены порты, зарегистрированные IANA, синим — незарегистрированные, а жёлтым — конфликтные порты, имеющие несколько применений наряду с зарегистрированным
Использование портов позволяет компьютерам, ноутбукам, смартфонам одновременно запускать несколько служб/приложений. А переадресация портов сообщает маршрутизатору, на какое устройство внутри сети должны быть направлены входящие соединения и с каким именно приложением на этом устройстве нужно связаться для обмена пакетами данных.
Какая польза от открытия портов роутера?
Если вы собираетесь настроить сервер для чего-то в своей локальной сети, где им необходимо получить к нему доступ из Интернета, вам необходимо открыть порты. Например, для следующих целей необходимо открыть порты:
- Настройте FTP-сервер для удаленного доступа к вашим файлам.
- Настройте VPN-сервер для безопасного доступа к локальной сети.
- Настройте SSH-сервер на своем компьютере, чтобы управлять им удаленно.
- Настройте почтовый сервер или веб-сервер.
- Если вы собираетесь использовать частное облако Nextcloud для синхронизации файлов или папок.
- Если вы собираетесь играть онлайн, в играх необходимо сделать переадресацию портов, потому что мы сами выступаем в роли сервера.
- Если вы собираетесь загружать через eMule, необходимо открыть порты, чтобы другие узлы могли подключиться к вам.
- Если вы собираетесь загружать через BitTorrent, необходимо открыть один или несколько портов, чтобы другие узлы могли соединиться с вами, чтобы вы могли быстрее загружать и выгружать.
- Любое другое использование, которое требует подключения из Интернета к вашей внутренней локальной сети (ПК, сервер, консоль и т. Д.).
Наконец, если вы собираетесь использовать игры на своей консоли, рекомендуется открыть DMZ для консолей, потому что они обычно используют много разных портов для каждой игры, которую мы используем.
Все домашние маршрутизаторы используют NAT для одновременного выхода в Интернет с несколькими устройствами, используя один и тот же общедоступный IP-адрес. Когда компьютер в локальной сети (внутренней сети) пытается получить доступ к Интернету, NAT отвечает за перевод адресов и использование портов TCP / UDP без каких-либо действий, это полностью автоматически и прозрачно для пользователя.
Однако, если связь начинается через Интернет (WAN, внешняя сеть) с локальной сетью, необходимо открыть порт, чтобы правильно перенаправить пакеты к месту назначения. Как вы могли заметить, компьютеры локальной сети используют частную адресацию, которая не маршрутизируется через Интернет. Чтобы сделать их доступными извне, нам нужно будет «открыть порт» в NAT, чтобы все пакеты, которые достигают общедоступного IP-адреса и определенного порта, были правильно перенаправлены их получателю.
Прежде чем мы начнем объяснять, как проверять открытые порты на вашем маршрутизаторе, давайте начнем с объяснения классов IP, которые мы имеем в домашней сети. Чтобы выполнить сканирование портов, чтобы проверить открытые порты на вашем маршрутизаторе, вы должны сделать это в отношении определенного типа IP, в частности публичного IP, который предоставляет нам наш оператор.
Настройка переадресации портов
Сейчас минутка разъяснения. При первичной настройке по умолчанию на всех интернет-центрах внутри работает служба DHCP. Она автоматически раздаёт IP адрес разным устройствам. Но проблема в том, что сама эта служба может иногда менять адреса, а нам это не нужно. Нам нужно настроить статический и постоянный IP для нужного устройства. В противном случае вы в один прекрасный момент постучитесь, а вам не откроют – так как устройство будет иметь другой IP адрес.
Для начала нам нужно подключиться к сети роутера. Это можно сделать по проводу или по Wi-Fi – разницы особой нет. Я выбираю подключение по кабелю. Берём проводок и вставляем один конец в LAN-порт, а другой в сетевую карту компьютера или ноутбука. Если вы уже подключены к сети аппарата, то просто откройте браузер и введите в адресную строку: 192.168.1.1 .
После этого вас попросят ввести логин (admin – по умолчанию) и пароль (admin – по умолчанию). Если данные не подходят – вспоминайте. Также возможно его настраивали работники от провайдера, тогда следует позвонить им.
- Теперь, когда вы попали в самое нутро аппарата, нужно выбрать «Локальная сеть» в левом меню. Теперь выбираем вторую вкладку «DHCP-сервер». Нужно установить галочку, так, чтобы можно было задать IP адреса вручную (смотрите на картинку выше). Теперь из списка MAC-адресов нужно выбрать нужное устройство.
- Если оно не подключено ещё к сети, то можно его вписать вручную. Далее сразу же слева вы увидите подобранный IP адрес, но вы его также можете поменять на любой из диапазона 2-254. Чтобы добавить устройство – нажмите на плюсик.
- Не забудьте в самом конце нажать «Применить».
- В первую очередь нужно знать, какой именно порт нужно открывать. Например, если вы пользуетесь какой-то сетевой программой, например, uTorrent, то посмотреть какой порт нужно открыть – можно в настройках. Поэтому в первую очередь вы должны четко представлять какой именно порт открывать.
- После этого заходим «Интернет» – «Переадресация портов». Теперь включаем служба. Смотрите есть ещё два нижних пункта «Список избранных серверов» – выбрав оттуда вы сразу же получите порт по умолчанию для данных типов-серверов. Есть также отдельная вкладочка «Список избранных игр» – для игроманов.
- Если вы ничего не нашли, то просто сразу же перейдите к заполнению. В «Имя службы» – можете ввести любое понятное название, например «HTTP сервер». Диапазон портов – тут я указал один адрес, но можно указать и несколько. Только значения нужно указывать через двоеточие (Например – 8080:80). Локальный IP-адрес — это как раз тот статический IP устройство, которое мы указали ранее. Я устанавливал адрес 192.168.1.166 и тот же ставлю. У вас может быть другое значение. Локальный порт — это порт, по которому будет идти подключение к внутреннему аппарату, если вы в диапазоне портов указали один порт, то вписываете его. В самом конце указываете протокол, по которому будет осуществлена связь. Нажимаем на плюсик и в конце чуть ниже «Применить».
- Теперь осталось перезагрузить аппарат, для этого в самом верху нажмите на кнопку «Перезагрузка». После этого нужно немного подождать.
Далее сразу же проверьте проброс порта. Если у вас появились какие-то проблемы с программой или компьютером, после этого, то я бы советовал на время отключить антивирус, который может блокировать такое соединение. Если перенаправление не происходит – то проверьте правильность введенных данных в настройках АСУС. Также можете смело писать свои вопросы в комментарииях ниже, и я постараюсь на них ответить.
Брандмауэр
После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.
В настройки брандмауэра проще всего попасть двумя способами:
- Записываем в строке поиска «Брандмауэр Защитника Windows». После ввода первых нескольких букв, находится нужное приложение.
- Выполнить «firewall.cpl». Для этого надо одновременно нажать комбинации клавиш +, в поле поле открыть записываем команду и нажимаем «OK».
В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.
Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.
Два раза щелкаем мышью по пункту «Правила для входящих подключений». После этого в правой колонке, которая называется «Действия» жмем на «Создать правило…».
Выбираем тип правила «Для порта» и жмем далее.
Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через «-«.
С точки зрения безопасности, тут важно выбирать не все локальные порты, а именно указать нужный
Выбираем «Разрешить подключение».
Указываем галочками профили.
Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.
После того как параметры были настроены, жмем кнопку «Готово». Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.
Ручная переадресация портов на роутере TP-Link и Asus.
Для начала нужно определиться с номером порта, который мы хотим открыть. Например, мы хотим сделать проброс портов для торрента. Идем в настройки программы по уже знакомому пути и смотрим в строку «Порт входящих соединений». Запишите номер из окна для генерации и снимите все галочки кроме пункта «В исключения брандмауэра». Не забудьте применить сделанные изменения.
Теперь нужно узнать MAC-адрес своего устройства. В нашем случае это компьютер и его физический адрес нам понадобиться позже. Нажмите кнопку «Пуск» — «Панель управления» — «Центр управления сетями и общим доступом» — «Подключение по локальной сети» и нажмите кнопку «Сведения…». В поле «Физический адрес» вы увидите MAC-адрес своего компьютера.
Теперь зайдите в интерфейс маршрутизатора. Здесь первым делом, нам нужно для своего компьютера задать статический IP-адрес. Далее путь для каждого сетевого устройства свой.
TP-Link. В правом меню найдите «Привязка IP- и MAC-адресов» и перейдите на вкладку «Таблица ARP». Здесь отображены все устройства, которые подключены к нашей сети, а в столбце «Состояние» показан статус привязки (несвязанно). Поскольку мы уже знаем MAC-адрес компьютера, то в строке с физическим адресом видим присвоенный ему IP сервером DHCP. Его мы впишем на следующей вкладке.
Поднимитесь на вкладку выше с названием «Параметры привязки» и активируйте «Связывание ARP» и нажмите «Сохранить». Далее следует нажать кнопку «Добавить новую…» и задать параметры необходимые настройки. В новом окне нужно прописать физический адрес компьютера (MAC), присвоенный ему IP и нажать кнопку «Сохранить».
Теперь MAC- и IP- адреса связаны между собой для персонального компьютера. Об этом также свидетельствует вкладка «Таблица ARP». Если у Вас много устройств в сети и вы желаете им всем задать статический IP, то можно в «Таблице ARP» нажать кнопку «Связать все» предварительно активировав «Связывание ARP».
Осталось задать параметры для проброса портов. Зайдите в «Переадресация» (Forwarding) на вкладку «Виртуальные серверы» (Virtual Servers) и нажмите кнопку «Добавить новую» (Add New…). Теперь прописываем известные нам параметры. В поле «Порт сервиса» (Service Port) и «Внутренний порт» (Internal Port) указываем порт торрент-клиента, а в «IP-адрес» присвоенный IP компьютеру. В выпадающем списке «Протокол» (Protocol) выбираем «Все» (All) и в поле «Состояние» (Status) ставим «Включено» и нажимаем «Сохранить».
После этого для компьютера будет зарезервирован прописанный нами порт и P2P клиент сможет обмениваться входящими и исходящими пакетами.
О принципе по которому работает роутер можно узнать здесь.
Asus. Нажмите в боковом меню «Локальная сеть» и перейдите на вкладку «DHCP-сервер». В самом низу страницы активируйте пункт «Включить назначения вручную». Ниже есть поле «Список присвоенных вручную IP-адресов в обход DHCP». Вот он то нам и нужен. В выпадающем списке поля «MAC-адрес» нужно выбрать физический адрес компьютера, который мы узнали заранее. Поскольку у меня включен DHCP, то в поле «IP-адрес» автоматически подставился текущий IP компьютера.
Осталось кликнуть по кружку «Добавить/Удалить» и нажать кнопку «Применить». Роутер перезагрузится и после каждого подключения к сети, компьютер будет иметь один и тот же IP-адрес.
Теперь в административной панели в боковом меню кликните по «Интернет» и перейдите на вкладку «Переадресация портов». В строке «Включить переадресацию портов» переставьте точку в положение «Да». Далее нужно опуститься в блок «Список переадресованных портов» и в поле «Имя службы» указать uTorrent, поскольку мы открываем порт для этой программы. В строке «Диапазон портов» указываем номер порта P2P клиента, который мы узнали заранее.
В поле «Локальный IP-адрес» выбираем статический IP-адрес компьютера, который мы только что привязали и в строке «Локальный порт» снова указываем порт Torrent-клиента. В выпадающем списке «Протокол» выбираем BOTH (оба протокола). Осталось кликнуть по кружку «Добавить» и кнопку «Применить». После презегрузки порт будет открыт для раздачи и закачки файлов из интернета от программы uTorrent.
Теперь вы имеете представление о том, как настроить проброс портов на роутере TP-Link и Asus. Безусловно автоматический способ намного удобнее, чем ручной и многие люди используют функцию UPnP, но правильнее задавать все настройки в ручную. Однако, это дело каждого и вы вольны выбрать способ, который вам ближе.
Если возникнут какие-то проблемы, то вы всегда можете сбросить установки роутера до заводских и настроить его заново. Если у Вас есть желание дополнить статью, то милости просим в комментарии. Пока!
Решение возможных проблем при пробросе портов
Проблемы при пробросе портов бывают всего двух типов: а) «настроил, но не заработало» и б) «настроил, заработало, работать перестало». И если с проблемой «а» мы разобрались в разделе «Порт не открывается…», то на проблеме «б» стоит остановиться подробнее.
Изменился IP-адрес компьютера-клиента
Когда вы открываете порт при помощи веб-интерфейса роутера, то помимо номера открываемого порта прописываете и сетевой адрес компьютера, для которого порт будет открыт. Обычно, на маршрутизаторе включён DHCP-сервер и компьютеры-клиенты получают от него ip-адреса. Если компьютер будет перезагружен или выключен, а потом — включён, роутер может выдать ему другой адрес, не тот, что был в предыдущем рабочем сеансе. Поскольку открытый порт привязан к другому ip-адресу, работать он не будет.
Чтобы такого не произошло, нужно прописать статические адреса для компьютеров клиентов.
-
Клавишами <Win+R> откройте диалог командной строки и запустите оснастку сетевых подключений ncpa.cpl.
- Откройте свойства сетевого подключения.
-
Вызовите свойства протокола TCP/IPV4
-
Переключитесь с автоматического получения адреса на его ручное выделение и заполните поля с адресом, маской подсети и адресом шлюза. В поле адреса шлюза введите адрес вашего роутера.
- Примените изменения кнопкой «ОК».
Теперь адрес вашего компьютера в сети не будет меняться даже при замене маршрутизатора, а открытые для него порты будут стабильно работать.
Программа, для которой был открыт порт меняет его произвольным образом
Проблема характерна для клиентов пиринговых сетей, в частности, — торрентов. Рассмотрим решение проблемы на примере программы-клиента uTorrent.
По умолчанию, программа клиент при каждом запуске меняет порт исходящих соединений, а так как в настройках роутера порт статический (неизменный), то программа корректно не работает. Чтобы исправить ошибку — достаточно прописать в настройках программы порт в явном виде и запретить случайный выбор порта при старте.
- Запустите программу uTorrent.
- Откройте настройки программы горячей клавишей <Ctrl+P>
-
Перейдите в раздел «Соединение», в нём введите номер порта, который открыт для программы в роутере и отключите чекбокс «Случайный порт при запуске».
- Сохраните изменения клавишей «ОК».
Порт открыт, но прикладные программы не работают через него
Проблема связана с активацией брандмауэра непосредственно в роутере. Простое его включение, без дополнительной настройки полностью блокирует обращение к портам извне. Решением проблемы будет либо тонкая настройка брандмауэра через веб-интерфейс роутера, либо его полное отключение там же.
Отключение встроенного брендмауэра в Web-интерфейсе роутера TP-LINK
Видео: настройка брандмауэра и роутера для проброса портов
Настройка и проброс портов на маршрутизаторах «домашней» серии — несложная работа, которая вполне по плечу новичку. Хотя примеры, которые мы рассмотрели, базируются на веб-интерфейсе роутеров семейства TP-Link, маршрутизаторы других производителей позволяют осуществить проброс портов по аналогии с нашими примерами. Не забывайте, что любой открытый порт — дополнительная лазейка для вредоносных программ и нечистоплотных людей, жадных до чужих данных. Держите порты открытыми ровно столько, сколько это требуется вам для работы, а если в ней случается длительный перерыв — деактивируйте порты. Старайтесь не класть яйца в одну корзину — не настраивайте на одном и том же компьютере порты для онлайн-игр и программу для управления банковским счётом. Будьте бдительны!