NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Что делать, если не работает переадресация портов?".
При настройке проброса (открытия) портов в NAT необходимо наличие "белого" глобального (публичного) IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе устройства используется "серый" IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.
Чтобы проверить работоспособность проброса портов обратитесь к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. начиная с версии 2.01 в Keenetic был добавлен механизм NAT Loopback.
Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ru, http://www.whatsmyip.org/port-scanner/ и др.
Важно! Сервис или приложение, на которое осуществляется проброс портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для проброса порта имеется, статус порта при проверке будет "закрыт".
Ниже указаны типовые причины, которые могут привести к неработоспособности проброса портов, несмотря на правильную настройку данной функции в интернет-центре.
1. В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интерфейс. Нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети.
Если вы подключены к Интернет по выделенной линии Ethernet без авторизации или с авторизацией 802.1x, используйте интерфейс Broadband connection (ISP), при наличии авторизации PPPoE, PPTP или L2TP выберите соответствующий интерфейс, при подключении к беспроводной сети Wi-Fi выберите WifiMastrer/WifiStation, при подключении через 3G/4G-модем используйте UsbModem0.
2. На компьютере используется межсетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите межсетевой экран и проверьте работоспособность проброса портов.
3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас адрес отличный, от того который был настроен на WAN-интерфейсе Keenetic, в этом случае проброс портов работать не будет.
4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21/FTP, 80/HTTP, 25/POP3 и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.
Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).
Если же нет возможности изменить номер порта сервиса, можно в Keenetic в настройке трансляции адресов NAT использовать "подмену порта" (маппинг порта). Например:
В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
Эту же настройку можно выполнить через интерфейс командной строки (CLI) интернет-центра, выполнив команды:
<config> ip stаtic tcp ISP 2121 192.168.1.59 21
<config> system configuration save
5. В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.
6. В интернет-центрах с ОС NDMS V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxxx)B20. Если в вашем устройстве используется более ранняя версия, то в ней отсутствует поддержка NAT Loopback. Выполните обновление компонентов системы. Процедура обновления компонентов NDMS для интернет-центров серии Keenetic представлена в статье: «Установка компонентов операционной системы NDMS через веб-интерфейс»
7. Начиная с версии операционной системы NDMS 2.08 изменилась логика работы NAT для соответствия с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, изменение касается прохождения UDP-трафика. Теперь по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это изменение может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В связи с этим, в интерфейсе командной строки (CLI) интернет-центра была добавлена специальная команда, возвращающая предыдущие настройки:
<config> ip nat udp-port-preserve
<config> system configuration save
Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу службу технической поддержки, приложив файл конфигурации, файл диагностики и логов (системный журнал). Информацию о том, как это сделать, можно найти в статье: «Сохранение файла конфигурации, логов системного журнала и файла диагностики»
Примечание
Начиная с микропрограммы NDMS v2.07.B2 появилась возможность организовывать доступ к интернет-центру при наличии "серого" (частного, внутреннего) IP-адреса на внешнем WAN-интерфейсе роутера.
KeenDNS — это удобный сервис доменных имен для удаленного доступа.
C помощью сервиса KeenDNS можно решить 2 задачи:
- Удаленный доступ к веб-интерфейсу интернет-центра. Информацию вы найдете в статье «Использование сервиса удаленного доступа KeenDNS»;
- Удаленный доступ к ресурсам (сервисам) домашней сети или интернет-центра.
Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре. Этот вариант рассмотрен в статье: «Пример удаленного доступа к ресурсам домашней сети через сервис KeenDNS».