Доступ во внешнюю локальную сеть через wi-fi роутер
Предыстория: стоит wi-fi роутер ASUS RT-G32, к нему по WAN подключается витая пара с локальной сетью общежития и интернетом, но при таком соединении доступна только внутренняя сеть между нашими ноутбуками и глобальная сеть.
При подключении через LAN, соответственно имеется внешняя локальная сеть, но без интернета.
Проблема: собственно, сабж, естественно, с интернетом. Как-то раз пытался настроить, получилось так что через LAN порт было все доступно, но часто вылетало соединение, а через пару часов и вовсе перестало подключаться, пришлось вернуть все обратно.
P.S.: прошивку менял, айпи и днс роутер получает автоматом, в системном беспроводном подключении так же стоит автоматические параметры.
Bonus: менее важная, почти незаметная проблема — p2p подключения, делал через port-forwarding, но ничего не выходит, вполне возможно что они по дефолту отключены университетскими админами(так же как отключен доступ в онлайн-игры).
Очень надеюсь на вашу помощь!
Вообщем при статических маршрутах должно быть вот так (если локалка у нас по 10.0.0.х):
1 маршрут:
Ip-адрес сети или хоста: 10.0.0.0;
Сетевая маска: 255.0.0.0;
Шлюз: 172.25.0.1;
2 маршрут:
Ip-адрес сети или хоста: 172.25.103.0;
Сетевая маска: 255.255.255.0;
Шлюз: 172.25.0.1;
3 маршрут:
Ip-адрес сети или хоста: 224.0.0.0;
Сетевая маска: 255.0.0.0;
Шлюз: 172.25.0.1;
Поставил все как вы написали и ни намека на локалку. Что значит «если локалка у нас по 10.0.0.х»?
10.0.0.2 — это вроде как центральный университетский сервер, раз через него прокси подключается
выше спрашивали про локальные адреса, их раздает DHCP — можно добавить мой вручную 192.168.1.4, доперло, исправил в первой строчке 10.0.0.0 на 192.168.1.4, но все равно ничего не изменилось.
Вот так выставь:
Использовать маршруты DHCP — «No».
Включить многоадрессную маршрутизацию — «Yes».
Включить статические маршруты — «Yes».
По WAN на входе локалка + инет.
По LAN и Wi-fi получить то что есть на входе WAN.
Настройки роутера получаем адрес по DHCP или статический.
Использовать ли DNS форвардинг роутера тут на любителя.
В клиентах свойства подключения такие.
1. IP-адрес который выдал роутер по DHCP ну или из того же диапазона, но статически забитый.
2. Шлюз по-молчанию тут указан автоматом или указываем сами IP-адрес роутера.
3. На с чет DNS тут тоже есть варианты. 🙂 Если используем DNS форвардинг роутера (у некоторых производителей роутеров в прошивках бывает глючный DNS форвардинг тогда просто отключаем его) и тогда в DNS будет указан IP-адрес роутера, иначе в DNS у нас пропишутся провайдерские DNS-ки. Ну еще вариант указать самому например DNS сервера Google (8.8.8.8 и 8.8.4.4)
Какие тут могут быть подводные камни? Ну на пример если роутер автоматом по-нормальному маршруты не получает, тогда надо будет прописать их в роутере.
Еще надо глядеть что за настройки у фаервола в роутере что разрешено а что нет и т.д.
Как пробросить ip адрес через роутер
Иногда возникает необходимость доступа извне к устройству, которое расположено в локальной сети. Например, если это IP-видеокамера или сервер используемый для игр, возможно, требуется использовать удаленное управление каким либо из компьютеров. Таких устройств может быть достаточно много в локальной сети. В этой статье разберемся, как осуществляется доступ с помощью проброса портов.
О пробросе портов
Локальная сеть (LAN) организована таким образом, что у устройств, находящихся в ней есть доступ во внешнуюю сеть (WAN), в то время как из глобальной сети получить доступ в локальную не получится. Зачастую требуется открыть доступ к устройствам, находящимся в локальной сети. Например, если у вас есть FTP сервер и нужно, чтобы знакомые могли к нему подключаться, скачивать и обновлять файлы. Для того, чтобы получить доступ к файлам, хранящимся на нем, требуется открыть порты. В этом случае сделать так, чтобы пакеты пришедшие на 21 порт роутера (стандартный порт FTP) перенаправлялись на 21 порт компьютера, находящегося в локальной сети, на котором запущен FTP сервер. Не обязательно, чтобы номер открытого порта на роутере был таким же, как и на сервере.
После перенаправления портов, TCP и (или) UDP пакеты, пришедшие на заданный порт роутера, будут перенаправлены на нужный порт устройства, находящегося в локальной сети. Для этого нужно, чтобы IP-адрес роутера был белый (статический внешний IP-адрес). О белых и серых IP адресах будет рассказано ниже. Вот еще пример — есть несколько видеокамер в локальной сети, у каждой из них свой IP-адрес. С помощью программы удаленного управления можно подключаться к устройствам по определенному порту. Видеокамеры могут быть установлены в локальной сети одного объекта. Если мы хотим получить доступ к ним через интернет, это можно организовать с помощью проброса портов. Теперь разберемся по пунктам как это все должно быть устроено, на что следует обратить внимание.
Внешний IP-адрес
- Внешний статический IP-адрес, который закреплен за вашим роутером. Обычно выдается провайдером за дополнительную плату, в некоторых случаях предоставляется за дополнительную абонентскую плату.
- Внутрисетевой статический. В этом случае к вам подключиться можно только внутри сети провайдера. Извне этот IP-адрес не будет виден.
- Внешний динамический. Этот вариант часто встречается, если вы выходите в интернет через 3G/4G роутер. Вам выдается IP адрес из свободных, но через какое-то время он может измениться, например, после перезагрузки роутера.
- Внутрисетевой динамический. IP-адрес не будет виден из интернета, так же он может измениться со временем.
Внешние IP-адреса называются белыми, в то время как внутренние, к которым нет возможности получить доступ из глобальной сети – серыми.
Узнать свой IP-адрес можно с помощью разных сервисов, например, 2ip.ru, myip.ru, myip.com.
Безопасность
Так как в случае проброса портов будет открыт доступ к устройствам, находящимся внутри вашей локальной сети, особое внимание следует уделить безопасности:
- Для подключения к устройству должен использоваться надежный пароль;
- Если передается конфиденциальная информация, то она должна быть в шифрованном виде.
В этом случае злоумышленник может:
- Установить на компьютер свои программы;
- Перенастроить локальную сеть;
- Отслеживать и влиять на обмен данными по локальной сети.
Подключение
Перед настройкой проброса портов, следует подключиться к роутеру. У роутера обычно по умолчанию IP-адрес 192.168.0.1 или 192.168.1.1. Логин по умолчанию admin, а пароль может быть тоже admin, иногда 1234. Настройки роутера по умолчанию указываются на наклейке с тыльной стороны.
Вводим адрес роутера в браузере. На рисунке фото выше это 192.168.1.1, на запрос имени пользователя и пароля – заполняем соответствующие поля. После этого попадаем в главное меню роутера.
Установка статических адресов
У оборудования, к которому надо дать доступ из внешней сети, могут быть адреса в локальной сети:
- Статические, то есть заданные вручную на каждом устройстве;
- Динамические, раздаваемые DHCP сервером из пулла адресов.
При использовании DHCP сервера, если у устройств заданы статические IP-адреса, следует проследить, чтобы они не были из диапазона раздаваемых динамически. Это для того, чтобы новое устройство, подключенное к сети, случайно не получило такой же IP-адрес.
Если же IP-адрес получен динамически, то следует его закрепить за устройством по MAC адресу. Это делается в настройках DHCP сервера. На рисунке ниже показан пример резервирования адреса. После резервирования, следует перезагрузить маршрутизатор.
Настройка проброса портов
После того, как все подготовили, можно настроить проброс портов на роутере. Это осуществляется путем заполнения таблицы, в которой указаны:
Роутер будет проверять все входящие пакеты. IP-пакеты пришедшие на указанный порт роутера будут перенаправлены на выставленный порт устройства.
В настройках переадресации добваляем новый виртуальный сервер.
Запись настраивается следующим образом:
- Порт сервиса – это как раз тот порт, по которому будут подключаться из интернета;
- Внутренний порт – это порт устройства, к которому надо открыть доступ;
- IP-адрес – это адрес устройства в локальной сети
- Протокол – тут можно выбрать протокол TCP или UDP. Можно выбрать “ВСЕ”, тогда будут перенаправляться оба протокола.
- Состояние – здесь выбираем “включено”. При не надобности, можно отключить проброс, не удаляя запись.
Пункт “стандартный порт сервиса” предназначен только для того, чтобы упростить выбор портов. При выборе нужного сервиса, их номера просто подставятся в поля “порт сервиса” и “внутренний порт”. Ниже будут рассмотрены основные сервисы.
После того как все настройки выполнены, следует их сохранить.
Номера портов
Следует обратить внимание, что номера портов могут задаваться в диапазоне от 0 до 65536.
На компьютере эти порты делятся на следующие группы :
- Системные (от 0 до 1023);
- Пользовательские (от 1024 до 49151);
- Динамические (от 49152 до 65535).
Если для проброса портов вам нужно выбрать любой порт, который будет открыт на роутере, то без особой необходимости желательно не использовать системный диапазон. Лучше всего в таком случае открывать порты на роутере из динамического диапазона.
Стандартные сервисы
Для организации доступа к сервисам, некоторые роутеры помогают правильно выбрать номер порта автоматически. Таким образом, можно сделать так, что при обращении к порту FTP из интернета, обращение переадресовывалось на FTP сервис, запущенный на одном из локальных компьютеров. Рассмотрим основные:
| Сервис | Порт | Пояснение |
| DNS | 53 | Преобразование символьного наименования в IP-адрес |
| FTP | 21 | Хранение и передача файлов |
| GOPHTER | 70 | Хранение и передача документов |
| HTTP | 80 | Получение информации с сайтов |
| NNTP | 119 | Сервер новостей |
| POP3 | 110 | Получение почты |
| PPTP | 1723 | Защищенное соединение |
| SMTP | 25 | Прием и передача почты |
| SOCK | 1080 | Передача минуя межсетевой экран |
| TELNET | 23 | Управление в текстовом виде |
Брандмауэр
После настройки проброса портов на роутере все должно работать. Но то же делать, если все равно не удается подключиться? В таком случае следует проверить настройки антивируса и брандмауэра Windows на компьютере, к которому осуществляется подключение. Возможно они считают подключения подозрительными и не дают доступ. В этом случае в брандмауэре следует прописать правило, разрешающее подключение к заданному порту.
В настройки брандмауэра проще всего попасть двумя способами:
- Записываем в строке поиска “Брандмауэр Защитника Windows”. После ввода первых нескольких букв, находится нужное приложение.
- Выполнить “firewall.cpl”. Для этого надо одновременно нажать комбинации клавиш + , в поле поле открыть записываем команду и нажимаем “OK”.
В дополнительных параметрах выбрать правила для входящих подключений. Там создаем новое правило. Рассмотрим это подробно.
Здесь показано основное окно настроек брандмауэра . Выбираем дополнительные параметры.
Два раза щелкаем мышью по пункту “Правила для входящих подключений”. После этого в правой колонке, которая называется “Действия” жмем на “Создать правило…”.
Выбираем тип правила “Для порта” и жмем далее.
Выбираем необходимый протокол. В большинстве случаев это TCP. Указываем локальный порт, для которого мы ранее настраивали проброс порта на маршрутизаторе. Можно задавать сразу несколько портов через запятую или диапазон через “-“.
Выбираем “Разрешить подключение”.
Указываем галочками профили.
Пишем свое имя для правила. Желательно выбрать такое имя, чтобы потом было легко его найти, в случае если решити отключить это правило или видоизменить. Можно для себя оставить пометку в виде описания, чтобы потом было легче разобраться для чего это правило было создано.
После того как параметры были настроены, жмем кнопку “Готово”. Созданное правило автоматически добавится в список правил для входящих подключений и активизируется. При необходимости его можно редактировать, отключить или удалить.
Отключение брандмауэра
В основном меню брандмауэра имеется пункт “Включение и отключение брандмауэра Защитника Windows”.
Выбрав этот пункт, можно отключить брандмауэр. Но это делать не рекомендуется, разве что для проверки того, что именно брандмауэр влияет на то, что не удается открыть порт.
После проверки не забудьте включить брандмауэр.