RUS
  1. Keenetic
  2. Архив документации
  3. Удаленный доступ и проброс портов

Настройка удаленного доступа к интернет-центру из Интернета

Обновлено
Подписаться

Как настроить удаленный доступ из Интернета к интерфейсам роутера серии Keenetic?

Внимание! По умолчанию доступ к управлению интернет-центром (к его веб-конфигуратору) из внешней сети (из Интернета) заблокирован. Это реализовано с целью безопасности устройства и локальной сети.
 
Доступ к роутеру из Интернета возможен как при наличии "серого", так и "белого" IP-адреса на внешнем интерфейсе (WAN), через который осуществляется подключение к сети Интернет.
Доступ к веб-конфигуратору интернет-центра можно будет получить из любой точки глобальной сети.
 
Важно! Без необходимости не открывайте доступ к веб-конфигуратору или интерфейсу командной строки (CLI) интернет-центра и не разрешайте выполнение пинг-запросов для всех пользователей со стороны публичной (глобальной) сети.

В случае "серого" частного внутреннего IP-адреса на внешнем интерфейсе (10.ххх, 172.ххх, 192.ххх) нужно воспользоваться нашим сервисом доменных имен KeenDNS (в режиме Через облако). Подробную информацию вы найдете в статье "Использование сервиса удаленного доступа KeenDNS"
Но обращаем ваше внимание, что через службу KeenDNS (в режиме Через облако) возможен доступ только к веб-интерфейсу интернет-центра. Доступ к интерфейсу командной строки (CLI) интернет-центра работать не будет.
 
В случае "белого" публичного IP-адреса желательно, чтобы этот IP-адрес был статический или постоянный. Если же IP-адрес для выхода в Интернет динамический (т.е. меняется каждый раз при новом соединении с провайдером), можно воспользоваться нашим сервисом доменных имен KeenDNS (в режиме Прямой доступ). Подробную информацию вы найдете в статье "Использование сервиса удаленного доступа KeenDNS". Или воспользоваться сервисом динамического DNS (дополнительная информация представлена в статье «Настройка и использование сервиса динамического DNS от No-IP»).
 
Настройка доступа к веб-конфигуратору и командной строке интернет-центра представлена в веб-конфигураторе в меню Система > Параметры в разделе Управление интернет-центром.
 
web.png
 
Включите нужную опцию Доступ к веб-конфигуратору через Интернет и/или Доступ к командной строке через Интернет и затем нажмите кнопку Применить.

Важно! Возможность установить галочки в Доступ к веб-конфигуратору через Интернет и Доступ к командной строке через Интернет появляются лишь в том случае, когда  установлен пароль на учетную запись admin (установить пароль можно в меню Система > Пользователи).

При необходимости можно изменить стандартные порты управления интернет-центром.

Внимание! Удаленный доступ из Интернета к роутеру также можно организовать с помощью правил Межсетевого экрана и эти правила будут иметь БОЛЬШИЙ приоритет.
Таким образом, если у вас доступ к интернет-центру будет разрешен через Межсетевой экран, то установка указанных выше опций в веб-интерфейсе не имеет смысла.

Рассмотрим вариант настройки удаленного доступа из внешней сети на интерфейс интернет-центра (через http или telnet) через правила в межсетевом экране (Firewall) интернет-центра.
 
Подробное описание работы с Межсетевым экраном в интернет-центрах серии Keenetic представлено в статье: «Описание работы с межсетевым экраном»
Различные примеры использования правил Межсетевого экрана в интернет-центрах серии Keenetic можно найти в статье: «Использование правил Межсетевого экрана»
 
Указанные ниже правила нужно будет настроить на внешнем интерфейсе роутера, через который выполняется подключение к Интернету.
 
1. Для настройки удаленного доступа к веб-интерфейсу интернет-центра (через http; по умолчанию используется порт 80) в меню Безопасность > Межсетевой экран создайте следующее правило:



Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/80 (HTTP)
Подобная настройка через интерфейс командной строки (CLI) будет выглядеть так:

(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80


Если вы хотите разрешить удаленный доступ к веб-интерфейсу интернет-центра только с определенного IP-адреса или только для определенной подсети, в этом случае правило межсетевого экрана будет выглядеть следующим образом:

В нашем примере создано правило для интерфейса ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP), нужно создавать правило для этого интерфейса.)

В поле Действие установите значение Разрешить, в поле IP-адрес источника установите значение Один (для доступа из Интернета только с одного указанного IP-адреса) или Подсеть (для доступа с какой-то определенной подсети IP-адресов) и укажите соответственно IP-адрес или подсеть (в нашем примере мы предполагаем, что доступ к веб-интерфейсу интернет-центра будет возможен только с IP-адреса 89.88.87.86). В поле Протокол можно указать конкретный стандартный протокол (в нашем примере это порт TCP/80), через который будет разрешен доступ. В поле Номер порта назначения вы также можете самостоятельно указать нужный номер порта, если он нестандартный. 

 

2. Для удаленного доступа по протоколу telnet (к интерфейсу командной строки CLI интернет-центра) правило межсетевого экрана будет выглядеть так:

Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/23 (Telnet)

Подобная настройка через интерфейс командной строки будет выглядеть так:
(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 23


3. Если вам требуется перевести удаленное управление устройством из Интернета на другой порт (например, ваш провайдер блокирует стандартный порт 80 и вы хотите использовать для доступа к веб-конфигуратору порт 8080), в меню Безопасность > Трансляция сетевых адресов в правиле NAT в поле Номер порта нужно указать требуемый внешний номер порта (например, 8080):

Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией (PPPoE, L2TP, PPTP), нужно указывать его.)
Протокол: TCP/80
Номер порта: 8080
Перенаправить на адрес: 192.168.1.1 (IP-адрес интернет-центра)
Новый номер порта назначения: 80

Подобная настройка через интерфейс командной строки будет выглядеть так:

<config>>ip stаtic tcp ISP 8080 192.168.1.1 80     /перенаправление с порта 8080 на 80/


4. Чтобы разрешить интернет-центру отвечать на пинг из внешний сети (из Интернета), требуется добавить разрешающее правило в настройках межсетевого экрана в меню Безопасность > Межсетевой экран:



Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой (если у вас используется глобальный постоянный "белый" IP-адрес, можно указать его)
Протокол: ICMP


Теперь вы сможете подключиться к веб-конфигуратору вашего интернет-центра серии Keenetic из Интернета.

 
Таким образом, пользователь (находящийся в Интернете) сможет получить удаленный доступ к управлению интернет-центром. В веб-браузере для доступа к веб-конфигуратору интернет-центра нужно использовать WAN IP-адрес интернет-центра в глобальной сети (его можно узнать на экране системного монитора Keenetic). Однако WAN IP-адрес может назначаться провайдером динамически, а значит, будет постоянно меняться. В этом случае можно использовать функцию Динамической DNS.
Обращаем ваше внимание, что адрес в браузере нужно начинать с http://, т.е. http://IP-адрес:порт (например, http://89.88.87.86:8080).
Информацию о настройке удаленного доступа на интернет-центр серии Keenetic в случае его подключения к Интернету через 4G-модем Yota LTE (LU150, LU156) можно найти в статье: «Настройка удаленного доступа на интернет-центр, в случае его подключения к Интернету через 4G-модем Yota LTE (LU150, LU156)»

 

KB-2794

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 34 из 35

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 9
Сортировка Дата Голоса
  • Avatar
    Шабалин Алексей Игоревич

    Странно, но у меня доступ имеется без создания правил, сразу по ip от провайдера.

    2
    Постоянная ссылка
  • Avatar
    Denis Kurkov

    Удаленный доступ к веб-конфигуратору без создания правил возможен, если активирована функция KeenDNS в интернет-центре, а также если вы обращаетесь по WAN IP-адресу из локальной сети (в этом случае срабатывает механизм loopback, т.к. по умолчанию доступ из локальной сети во внешнюю сетевым экраном разрешен).

    0
    Постоянная ссылка
  • Avatar
    Шабалин Алексей Игоревич

    Да KeenDNS включен в режиме прямого доступа, захожу с работы домой. Доступ есть как по KeenDNS, по DynDNS, так и по WAN IP-адресу. Просто при KeenDNS включении прямого доступа выходит сообщение с предупреждением:
    "Открыть доступ из Интернета к веб-конфигуратору можно в разделе «Система». Для удаленного доступа к устройствам домашней сети настройте трансляцию сетевых адресов в разделе «Безопасность».". Трансляция сетевых адресов и межсетевой экран не трогались, а доступ есть, отсюда возникли опасения.

    0
    Постоянная ссылка
  • Avatar
    Sonar Acoustic
    (Изменен )

    Подскажите, для Keenetic Giga функция KeenDNS доступна вообще? (Последняя прошивка, насколько я понимаю, 2.04.xx). И еще, вроде бы есть возможность через облако от зикселя обращаться по красивому адресу не только к роутеру, но и к устройствам в локальной сети за ним. Для Giga такое доступно?

    0
    Постоянная ссылка
  • Avatar
    Denis Kurkov

    Для интернет-центра Keenetic Giga функция KeenDNS недоступна.
    Сервис KeenDNS доступен в интернет-центрах серии Keenetic с операционной системой NDMS v2.07 и выше.
    Действительно с помощью KeenDNS возможно не только удаленно обращаться к веб-конфигуратору интернет-центра (см. статью https://help.keenetic.net/hc/ru/articles/213965569), но и к устройствам или сервисам домашней сети (см. статью https://help.keenetic.net/hc/ru/articles/115000477609) по протоколу http (планируется добавить доступ по https).

    0
    Постоянная ссылка
  • Avatar
    Denis Ka

    Подскажите пожалуйста: в п.3 разрешение делается на 192.168.1.1, а в п.4 обращение идет к адресу 89.88.87.86, как к этому относится? Или разрешение нужно делать на "белый" ip. который можно узнать через http://myip.ru/ ?

    0
    Постоянная ссылка
  • Avatar
    Denis Kurkov
    (Изменен )

    В настройках трансляции адресов (NAT) нужно создать правило для разрешения доступа к веб-конфигуратору интернет-центра (указываем внутренний локальный IP-адрес; в нашем примере это 192.168.1.1).
    А чтобы удаленно подключиться к интернет-центру, нужно обращаться на "белый" (публичный) IP-адрес интернет-центра. Этот IP-адрес можно посмотреть в веб-конфигураторе интернет-центра на экране Системный монитор. Если у вас используется "серый" IP-адрес, используйте функцию KeenDNS (при условии, что ваш роутер поддерживает эту возможность).

    0
    Постоянная ссылка
  • Avatar
    Dms201275
    (Изменен )

    Подскажите, а обмен данными через интернет после подключения к моему маршрутизатору снаружи через порт 80 идет в незашифрованном виде? Или же неявно все шифруется и обмен в реальности идет по Https?

    Меня беспокоит, что изменения в конфигурации роутера при подключении к нему снаружи могут быть перехвачены (включая пароль доступа к маршрутизатору, если я подключаюсь первоначально по http и порту 80).

    0
    Постоянная ссылка
  • Avatar
    Petr Pavlov

    В зашифрованном виде обмен данными идет в случае использования доступа по HTTPS. Подробнее о такой настройке можно прочитать здесь:
    https://help.keenetic.com/hc/ru/articles/360000082605

    0
    Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.