Як налаштувати віддалений доступ з Інтернету до інтерфейсів роутера серії Keenetic?
Для налаштування віддаленого доступу з зовнішньої мережі на інтерфейс інтернет-центру (через http або telnet) необхідно виконати такі дії.
Увага! За замовчуванням доступ до керування інтернет-центром (до його веб-конфігуратору) із зовнішньої мережі (з Інтернету) заблокований. Це зроблено з метою безпеки пристрою і локальної мережі.
Доступ до пристрою з Інтернету можливий тільки при наявності "білої" публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який роутер підключається до глобальної мережі.
Доступ до інтернет-центру з публічною IP-адресою можна буде отримати з будь-якої точки Глобальної мережі.
При наявності на WAN-інтерфейсі "сірої" приватної IP-адреси (10.ххх, 172.ххх, 192.ххх) доступ блокуватиметься на вищому обладнанні провайдера. Для підключення послуги публічної IP-адреси зверніться до вашого провайдера.
Бажано, щоб публічна IP-адреса була статичною або постійною. Якщо ж IP-адреса для виходу в Інтернет динамічна (тобто змінюється кожен раз при новому з'єднанні з провайдером), потрібно скористатися сервісом динамічного DNS (додаткова інформація представлена в статті «Налаштування та використання сервісу динамічної DNS від No-IP»).
Важливо! Без необхідності не відкривайте доступ до веб-конфігуратору або інтерфейсу командного рядка (CLI) інтернет-центру і не дозволяйте виконання пінг-запитів для всіх користувачів з боку публічної (глобальної) мережі.
1. Для налаштування віддаленого доступу до веб-інтерфейсу інтернет-центру (через http; за замовчуванням використовується порт 80) в меню Безпека> Міжмережевий екран створіть наступне правило:
Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP, потрібно вказувати його.)
Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка
Протокол: TCP / 80 (HTTP)
Подібне налаштування через інтерфейс командного рядка (CLI) буде виглядати так:
(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80
|
Якщо Ви бажаєте дозволити віддалений доступ до веб-інтерфейсу інтернет-центру тільки з певної IP-адреси або тільки для певної підмережі, в цьому випадку правило міжмережевого екрану буде виглядати наступним чином:
У нашому прикладі створено правило для інтерфейсу ISP (Інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP), потрібно створювати правило для цього інтерфейсу.)
В полі Дія встановіть значення Дозволити, в полі IP-адреса джерела встановіть значення Одна (для доступу з Інтернету тільки з однієї визначеної IP-адреси) або Підмережа (для доступу з якоїсь певної підмережі IP-адрес) і вкажіть відповідно IP-адресу або підмережу (в нашому прикладі ми припускаємо, що доступ до веб-інтерфейсу інтернет-центру буде можливий тільки з IP-адреси 89.88.87.86). В полі Протокол можна вказати конкретний стандартний протокол (в нашому прикладі це порт TCP / 80), через який буде дозволений доступ. В поле Номер порту призначення Ви також можете самостійно вказати потрібний номер порту, якщо він нестандартний.
2. Для віддаленого доступу по протоколу telnet (до інтерфейсу командного рядка CLI інтернет-центру) правило міжмережевого екрану буде виглядати так:
Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP, потрібно вказувати його.)
Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка
Протокол: TCP / 23 (Telnet)
Подібне налаштування через інтерфейс командного рядка буде виглядати так:
(Config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 23
3. Якщо Вам потрібно перевести віддалене керування пристроєм з Інтернету через інший порт (наприклад, ваш провайдер блокує стандартний порт 80 і Ви бажаєте використовувати для доступу до веб-конфігуратору порт 8080), в меню Безпека> Трансляція мережевих адрес в правилі NAT в полі Номер порту потрібно вказати необхідний зовнішній номер порту (наприклад, 8080):
Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією (PPPoE, L2TP, PPTP), потрібно вказувати його.)
Протокол: TCP / 80
Номер порту: 8080
Перенаправити на адресу: 192.168.1.1 (IP-адреса інтернет-центру)
Новий номер порту призначення: 80
Подібне налаштування через інтерфейс командного рядка буде виглядати так:
<config>>ip stаtic tcp ISP 8080 192.168.1.1 80 /перенаправлення з порту 8080 на 80/ |
4. Щоб дозволити інтернет-центру відповідати на пінг з зовнішньої мережі (з Інтернету), потрібно додати дозволяюче правило в налаштуваннях міжмережевого екрану в меню Безпека> Брандмауер:
Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка (якщо у Вас використовується глобальна постійна "біла" IP-адреса, можна вказати її)
Протокол: ICMP
Тепер Ви зможете підключитися до веб-конфігуратору вашого інтернет-центру серії Keenetic з Інтернету.
KB-2794