Налаштування віддаленого доступу до інтернет-центру з Інтернету

Як налаштувати віддалений доступ з Інтернету до інтерфейсів роутера серії Keenetic?


 

Детальний опис роботи з Міжмережевим екраном в інтернет-центрах серії Keenetic наведеноо в статті: «Опис роботи з міжмережевим екраном»
Різні приклади використання правил міжмережевого екрану в інтернет-центрах серії Keenetic можна знайти в статті: «Приклади використання правил міжмережевого екрану»
 

Для налаштування віддаленого доступу з зовнішньої мережі на інтерфейс інтернет-центру (через http або telnet) необхідно виконати такі дії.


Увага! За замовчуванням доступ до керування інтернет-центром (до його веб-конфігуратору) із зовнішньої мережі (з Інтернету) заблокований. Це зроблено з метою безпеки пристрою і локальної мережі.
Доступ до пристрою з Інтернету можливий тільки при наявності "білої" публічної IP-адреси на зовнішньому інтерфейсі (WAN), через який роутер підключається до глобальної мережі.

Доступ до інтернет-центру з публічною IP-адресою можна буде отримати з будь-якої точки Глобальної мережі.
При наявності на WAN-інтерфейсі "сірої" приватної IP-адреси (10.ххх, 172.ххх, 192.ххх) доступ блокуватиметься на вищому обладнанні провайдера. Для підключення послуги публічної IP-адреси зверніться до вашого провайдера.
Бажано, щоб публічна IP-адреса була статичною або постійною. Якщо ж IP-адреса для виходу в Інтернет динамічна (тобто змінюється кожен раз при новому з'єднанні з провайдером), потрібно скористатися сервісом динамічного DNS (додаткова інформація представлена ​​в статті «Налаштування та використання сервісу динамічної DNS від No-IP»).
Важливо! Без необхідності не відкривайте доступ до веб-конфігуратору або інтерфейсу командного рядка (CLI) інтернет-центру і не дозволяйте виконання пінг-запитів для всіх користувачів з боку публічної (глобальної) мережі.

 

1. Для налаштування віддаленого доступу до веб-інтерфейсу інтернет-центру (через http; за замовчуванням використовується порт 80) в меню Безпека> Міжмережевий екран створіть наступне правило:



Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP, потрібно вказувати його.)
Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка
Протокол: TCP / 80 (HTTP)
Подібне налаштування через інтерфейс командного рядка (CLI) буде виглядати так:

(config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 80


Якщо Ви бажаєте дозволити віддалений доступ до веб-інтерфейсу інтернет-центру тільки з певної IP-адреси або тільки для певної підмережі, в цьому випадку правило міжмережевого екрану буде виглядати наступним чином:

У нашому прикладі створено правило для інтерфейсу ISP (Інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP), потрібно створювати правило для цього інтерфейсу.)

В полі Дія встановіть значення Дозволити, в полі IP-адреса джерела встановіть значення Одна (для доступу з Інтернету тільки з однієї визначеної IP-адреси) або Підмережа (для доступу з якоїсь певної підмережі IP-адрес) і вкажіть відповідно IP-адресу або підмережу (в нашому прикладі ми припускаємо, що доступ до веб-інтерфейсу інтернет-центру буде можливий тільки з IP-адреси 89.88.87.86). В полі Протокол можна вказати конкретний стандартний протокол (в нашому прикладі це порт TCP / 80), через який буде дозволений доступ. В поле Номер порту призначення Ви також можете самостійно вказати потрібний номер порту, якщо він нестандартний.


2. Для віддаленого доступу по протоколу telnet (до інтерфейсу командного рядка CLI інтернет-центру) правило міжмережевого екрану буде виглядати так:

 

Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією - PPPoE, L2TP або PPTP, потрібно вказувати його.)
Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка
Протокол: TCP / 23 (Telnet)

Подібне налаштування через інтерфейс командного рядка буде виглядати так:

(Config-acl)> permit tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 23

3. Якщо Вам потрібно перевести віддалене керування пристроєм з Інтернету через інший порт (наприклад, ваш провайдер блокує стандартний порт 80 і Ви бажаєте використовувати для доступу до веб-конфігуратору порт 8080), в меню Безпека> Трансляція мережевих адрес в правилі NAT в полі Номер порту потрібно вказати необхідний зовнішній номер порту (наприклад, 8080):

Інтерфейс: ISP (інтерфейс для виходу в Інтернет. Якщо у Вас використовується підключення з авторизацією (PPPoE, L2TP, PPTP), потрібно вказувати його.)
Протокол: TCP / 80
Номер порту: 8080
Перенаправити на адресу: 192.168.1.1 (IP-адреса інтернет-центру)
Новий номер порту призначення: 80

Подібне налаштування через інтерфейс командного рядка буде виглядати так:

<config>>ip stаtic tcp ISP 8080 192.168.1.1 80     /перенаправлення з порту 8080 на 80/


4. Щоб дозволити інтернет-центру відповідати на пінг з зовнішньої мережі (з Інтернету), потрібно додати дозволяюче правило в налаштуваннях міжмережевого екрану в меню Безпека> Брандмауер:



Дія: Дозволити
IP-адреса джерела: Будь-яка
IP-адреса призначення: Будь-яка (якщо у Вас використовується глобальна постійна "біла" IP-адреса, можна вказати її)
Протокол: ICMP


Тепер Ви зможете підключитися до веб-конфігуратору вашого інтернет-центру серії Keenetic з Інтернету.

 
Таким чином, користувач (що знаходиться в Інтернеті) зможе отримати віддалений доступ до керування інтернет-центром. У веб-браузері для доступу до веб-конфігуратора інтернет-центру потрібно використовувати WAN IP-адресу інтернет-центру в глобальній мережі (її можна дізнатися на екрані системного монітора Keenetic). Однак WAN IP-адреса може призначатися провайдером динамічно, а значить, буде постійно змінюватися. В цьому випадку можна використовувати функцію Динамічної DNS.
Звертаємо вашу увагу, що адреси в браузері потрібно починати з http://, тобто http://IP-адреса:порт (наприклад, http://89.88.87.86:8080).
Інформацію про налаштування віддаленого доступу на інтернет-центр серії Keenetic в разі його підключення до Інтернету через 4G-модем Yota LTE (LU150, LU156) можна знайти в статті: «Налаштування віддаленого доступу на інтернет-центр, в разі його підключення до Інтернету через 4G-модем Yota LTE (LU150, LU156)»

 

 

KB-2794

Маєте ще запитання? Надіслати запит

Коментарі

0 коментарів

Будь ласка, увійдіть, щоб залишити коментар.