Что делать, если не работает проброс портов?

В интернет-центре Keenetic не работает проброс портов в NAT. Какие могут быть причины?



При настройке проброса (открытия) портов в NAT необходимо наличие "белого" глобального (публичного) IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе устройства используется "серый" IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.

Чтобы проверить работоспособность проброса портов нужно обращаться к WAN-интерфейсу роутера из Интернета.
При обращении из локальной сети проброс портов работать не будет!
Также можно воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ruhttp://www.whatsmyip.org/port-scanner/ и др.

Важно! Сервис или приложение, на которое осуществляется проброс портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для проброса порта имеется, статус порта при проверке будет "закрыт".

Ниже указаны типовые причины, которые могут привести к неработоспособности проброса портов, несмотря на правильную настройку данной функции в интернет-центре.

1. В настройках Безопасность > Трансляция сетевых адресов (NAT) выбран неправильный интерфейс. Нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется осуществлять доступ к устройству домашней сети.
Если вы подключены к Интернет по выделенной линии Ethernet без авторизации или с авторизацией 802.1x, используйте интерфейс Broadband connection (ISP), при наличии авторизации PPPoE, PPTP или L2TP выберите соответствующий интерфейс, при подключении к беспроводной сети Wi-Fi выберите WifiMastrer/WifiStation, при подключении через 3G/4G-модем используйте UsbModem0.

2. На компьютере используется межсетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите межсетевой экран и проверьте работоспособность проброса портов.

3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас адрес отличный, от того который был настроен на WAN-интерфейсе Keenetic, в этом случае проброс портов работать не будет.

4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам (например, фильтрацию по 21/FTP, 80/HTTP, 25/POP3 и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.
Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).
Если же нет возможности изменить номер порта сервиса, можно в Keenetic в настройке трансляции адресов NAT использовать "подмену порта" (маппинг порта). Например:
terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В поле Протокол нужно установить значение TCP, а в поле Порты TCP/UDP указать требуемый внешний номер порта (например, 2121).
Таким образом, пользователи из Интернета будут обращаться по порту 2121, а интернет-центр будет эти запросы перенаправлять на сервер, который работает по порту 21.
Эту же настройку можно выполнить через интерфейс командной строки (CLI) интернет-центра, выполнив команды:
<config> ip stаtic tcp ISP 2121 192.168.1.33 21
<config> system config-save

5. В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.

6. В интернет-центрах с ОС NDMS V2 функция NAT Loopback была добавлена, начиная с версии V2.01(xxxx)B20. Если в вашем устройстве используется более ранняя версия, то в ней отсутствует поддержка NAT Loopback. Выполните обновление компонентов системы. Процедура обновления компонентов NDMS для интернет-центров серии Keenetic представлена в статье: «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор»

7. Начиная с версии операционной системы NDMS 2.08 изменилась логика работы NAT для соответствия с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, изменение касается прохождения UDP-трафика. Теперь по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это изменение может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В связи с этим, в интерфейсе командной строки (CLI) интернет-центра была добавлена специальная команда, возвращающая предыдущие настройки:
<config> ip nat udp-port-preserve

 


Если указанные рекомендации не помогут и по какой-то причине проброс портов так и не будет работать, следует обратиться в нашу службу технической поддержки, приложив файл конфигурации, файл диагностики и логов (системный журнал). Информацию о том, как это сделать, можно найти в статье: «Сохранение файла конфигурации, логов системного журнала и файла диагностики»


Примечание

Начиная с микропрограммы NDMS v2.07.B2 появилась возможность организовывать доступ к интернет-центру при наличии "серого" (частного, внутреннего) IP-адреса на внешнем WAN-интерфейсе роутера.
KeenDNS — это удобный сервис доменных имен для удаленного доступа.
C помощью сервиса KeenDNS можно решить 2 задачи:

 

KB-5189

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.