NOTE: Важно!
1. При настройке переадресации портов необходимо наличие белого публичного IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе роутера используется серый IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.
2. Для проверки работоспособности переадресации портов вы можете обратиться к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. в Кинетике по умолчанию в сегменте "Домашняя сеть" включен механизм обратной трансляции адресов (NAT loopback).
3. Сервис или приложение, на которое осуществляется переадресация портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для переадресации порта имеется, статус порта при проверке будет "закрыт".
TIP: Совет: Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ru, http://portscaner.ru/ и др.
Или утилитой nmap, предназначенной для разнообразного настраиваемого сканирования IP-сетей.
Ниже указаны типовые причины, которые могут привести к неработоспособности переадресации портов, несмотря на правильную настройку правила.
1. В правиле переадресации портов неправильно выбран входящий интерфейс. В поле "Вход" нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется удаленный доступ к устройству домашней сети.
В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение. При подключении к Интернету через USB-модем 3G/4G следует указать именно это подключение, а при подключении через WISP, выберите подключение с названием сети, к которой подключается Keenetic.
2. На компьютере используется сетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите это приложжение и проверьте работоспособность переадресации портов.
3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас IP-адрес отличный, от того который используется на WAN-интерфейсе Keenetic, в этом случае переадресация портов работать не будет.
4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам. Например, могут осуществлять фильтрацию по 21/FTP, 80/HTTP, 25/POP3, 1723/PPTP и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.
Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).
Если же нет возможности изменить номер порта сервиса, можно в Keenetic в правиле переадресации портов использовать подмену порта (маппинг порта). Дополнительную информацию вы найдете в статье "Переадресация портов".
5. В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.
6. Некоторые особенности проброса портов для игровых приставок Xbox и PS4 представлены в статье: "Использование Xbox и PS4 при подключении через Keenetic".
7. В операционной системе KeeneticOS логика работы NAT реализована в соответствии с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В этом случае в интерфейсе командной строки (CLI) интернет-центра попробуйте выполнить команды:
CLI: ip nat udp-port-preserve
system configuration save
Внимание! Начиная с версии KeeneticOS 3.5 указанная выше команда ip nat udp-port-preserve была удалена, и указанная настройка выполняется по умолчанию, поэтому данная команда актуальна только для версий от 2.08 до 3.4.12.
8. При переадресации 53-го порта на внутренний DNS-сервер необходимо учитывать, что при наличии компонентов группы Интернет-фильтры, происходит SNAT переадресованных пакетов, так что адресом источника становится ip-адрес Keenetic в домашней сети. Из-за этого могут не синхронизироваться зоны DNS. Поэтому при использовании собственного DNS-сервера в домашней сети Keenetic рекомендуется удалить компоненты группы Интернет-фильтры или изменить номер порта.
9. Если указанные выше рекомендации не помогут и по какой-то причине переадресация портов так и не будет работать, вы можете обратиться в нашу службу технической поддержки, приложив файл self-test. Информацию о том, как это сделать, можно найти в статье "Сохранение файла системы self-test".
TIP: Совет: В интернет-центре Keenetic имеется возможность организовывать доступ к интернет-центру при наличии серого частного IP-адреса на внешнем WAN-интерфейсе роутера. KeenDNS — это удобный сервис доменных имен для удаленного доступа. C помощью этого сервиса можно решить 2 задачи:
— Удаленный доступ к веб-интерфейсу интернет-центра. Информацию вы найдете в статье "Сервис доменных имен KeenDNS";
— Удаленный доступ к ресурсам (сервисам) домашней сети или интернет-центра. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре. Этот вариант рассмотрен в статье "Пример удаленного доступа к ресурсам домашней сети через KeenDNS".