Как открыть порты на роутере ASUS: переадресация и проброс

Привет, всем! И сегодня мы поговорим о пробросе портов на роутерах ASUS. Так как прошивка ASUSWRT у большинства моделей похожая, то эта инструкция подойдет для многих роутеров ASUS: RT-N12, RT-N65U, RT-AC66U, RT-N11P, RT-N10, RT-N56U, RT-N18U, RT-AX55, RT-AX58U и других. На новых моделях с Wi-Fi 6 и Wi-Fi 6E пункты меню могут выглядеть немного иначе, но логика остается той же: сначала закрепляем локальный IP за нужным устройством, потом создаем правило переадресации порта.

Введение

Данная функция достаточно часто нужна именно системным администраторам. Но и в домашнем использовании она периодически пригождается.

Очень полезная штука, если у вас дома установлена камера видеонаблюдения и вам нужно из интернета просматривать определенные камеры. На самом деле проблема в том, что когда вы подключаетесь к интернету через роутер, то он выступает неким шлюзом и только он имеет внешний IP-адрес. Если хотите чуть лучше понять саму идею, советую отдельно почитать что такое NAT в роутере.

На него попасть достаточно легко, но вот как, например, из интернета попасть на свой компьютер, ноутбук, NAS, сервер или камеру? Вот тут и помогает проброс портов. В маршрутизаторе мы пропишем специальное правило с открытым портом, и при обращении на этот порт извне клиент будет получать доступ к внутреннему устройству по IP.

Очень часто игроманы для улучшения связи или для подключения к серверам в играх пробрасывают порты. Также некоторым пользователям требуется открыть FTP или WEB-сервер. В общем, задач у данной функции очень много. Как открыть порт на роутере ASUS – вот об этом мы и поговорим дальше. Советую прочесть инструкцию до конца, так как я по ходу буду давать некоторые разъяснения, на которые нужно будет обратить внимание.

ВАЖНО! Проброс портов работает только тогда, когда к вашему роутеру реально можно достучаться из интернета. Если провайдер выдал вам серый IP-адрес или подключил через CG-NAT, правило в роутере можно настроить идеально, но снаружи порт все равно не откроется. Сравните WAN IP в настройках роутера с адресом, который показывают сайты «мой IP». Если адреса разные или WAN IP начинается на 10.x.x.x, 100.64.x.x, 172.16-31.x.x или 192.168.x.x, почти наверняка у вас серый IP.

Настройка переадресации портов

Сейчас минутка разъяснения. При первичной настройке по умолчанию на всех интернет-центрах внутри работает служба DHCP. Она автоматически раздает IP-адреса разным устройствам. Но проблема в том, что сама эта служба может иногда менять адреса, а нам это не нужно. Нам нужно настроить статический и постоянный IP для нужного устройства. В противном случае вы в один прекрасный момент постучитесь, а вам не откроют – так как устройство будет иметь другой IP-адрес.

Для простого примера представим IP-камеру с адресом 192.168.1.166. Сегодня мы пробросили внешний порт 8080 именно на этот адрес, все заработало. Завтра роутер перезагрузился, камера получила уже 192.168.1.120, а правило осталось на старом адресе. Снаружи вы будете идти на правильный внешний порт, но роутер будет отправлять запросы «в пустоту». Поэтому закрепление IP – это не лишний шаг, а обязательная основа нормального проброса портов.

Для начала нам нужно подключиться к сети роутера. Это можно сделать по проводу или по Wi-Fi – разницы особой нет. Я выбираю подключение по кабелю. Берем проводок и вставляем один конец в LAN-порт, а другой в сетевую карту компьютера или ноутбука. Если вы уже подключены к сети аппарата, то просто откройте браузер и введите в адресную строку: 192.168.1.1.

На некоторых новых ASUS также можно попробовать адрес router.asus.com. Если ни один адрес не открывается, проверьте, действительно ли вы подключены к этому роутеру, а не к другой Wi-Fi сети. Еще можно посмотреть адрес шлюза в Windows через команду ipconfig. Если с входом есть трудности, у нас есть отдельная инструкция как зайти в настройки роутера ASUS.

После этого вас попросят ввести логин и пароль. На старых моделях часто использовалась пара admin/admin, но на свежих прошивках роутер обычно просит задать свой пароль при первой настройке. Если данные не подходят – вспоминайте, кто настраивал устройство. Также возможно, что роутер настраивали работники от провайдера, тогда следует позвонить им или сделать сброс, если вы готовы заново настраивать интернет.

1. Теперь, когда вы попали в самое нутро аппарата, нужно выбрать «Локальная сеть» в левом меню. Теперь выбираем вторую вкладку «DHCP-сервер». Нужно установить галочку так, чтобы можно было задать IP-адреса вручную (смотрите на картинку выше). Теперь из списка MAC-адресов нужно выбрать нужное устройство.
2. Если оно еще не подключено к сети, то можно вписать его вручную. Далее сразу же слева вы увидите подобранный IP-адрес, но вы его также можете поменять на любой из диапазона 2-254. Чтобы добавить устройство – нажмите на плюсик.

3. Не забудьте в самом конце нажать «Применить».

Если вы не понимаете, какой IP выбрать, оставьте тот, который предлагает роутер, или возьмите свободный адрес из вашей подсети. Например, если роутер имеет адрес 192.168.1.1, то устройство можно закрепить как 192.168.1.166. Главное – не назначайте один и тот же адрес двум разным устройствам. Подробнее про смысл постоянного адреса можно прочитать в статье про статический IP-адрес.

4. В первую очередь нужно знать, какой именно порт нужно открывать. Например, если вы пользуетесь какой-то сетевой программой, например, uTorrent, то посмотреть, какой порт нужно открыть, можно в настройках. Поэтому в первую очередь вы должны четко представлять, какой именно порт открывать. Если вы используете какую-то программу или, например, онлайн-игру, то можно посмотреть, какие порты она использует, в интернете или с помощью программы TCPView – скачиваем программу с официального сайта. Запускаем программу или игру, на которой мы хотим проверить порт. После этого запускаем TCPView и смотрим в столбец Remote Port по нашей программе.
5. После этого заходим «Интернет» – «Переадресация портов». На новых прошивках ASUS этот раздел может называться «WAN» – «Виртуальный сервер / Переадресация портов» или «Virtual Server / Port Forwarding». Теперь включаем службу. Смотрите, есть еще два нижних пункта «Список избранных серверов» – выбрав оттуда, вы сразу же получите порт по умолчанию для данных типов серверов.

6. Есть также отдельная вкладочка «Список избранных игр» – для игроманов.

7. Если вы не нашли свой тип сервера или игру, то придется заполнять вручную. В «Имя службы» можете ввести любое понятное название, например «HTTP сервер». Внешний порт – тут указываем наш основной порт, через который мы будет стучаться на устройство. Можно указать диапазон портов, используя двоеточие (например, 1400:14500), или через запятую написать несколько значений: 80, 8080, 5000. Внутренний порт – его можно не указывать, если он совпадает с внешним, или продублируйте значение внешнего порта. Локальный/Внутренний IP-адрес – это как раз тот статический IP устройства, который мы указали ранее. Я устанавливал адрес 192.168.1.166 и тот же ставлю тут (у вас может быть другое значение). Исходный/Внешний IP не указываем, он нужен для того, чтобы извне (из интернета) иметь доступ к данному порту только с выделенного устройства (со статическим IP). В самом конце указываете протокол UDP, TCP или оба (BOTH), по которому будет осуществлена связь. Нажимаем на плюсик и в конце чуть ниже «Применить».

Разница между внешним и внутренним портом нужна не всем, но знать ее полезно. Например, внутри у камеры веб-интерфейс работает на 80 порту, а снаружи вы не хотите открывать стандартный 80, потому что он слишком очевидный и может конфликтовать с другими сервисами. Тогда внешний порт можно поставить 8080, а внутренний оставить 80. В итоге из интернета вы заходите на ваш_адрес:8080, а роутер отправляет запрос на камеру 192.168.1.166:80.

Не открывайте все подряд. Чем больше портов вы пробрасываете, тем больше поверхность атаки вашей домашней сети. Если устройство старое, давно не обновлялось или имеет стандартный пароль, его лучше не выставлять напрямую в интернет. Для камер, NAS и серверов обязательно меняйте пароли, обновляйте прошивки и открывайте только нужные порты.

8. Еще проверьте одну настройку (она есть на некоторых прошивках). Зайдите в «Администрирование», перейдите во вкладку «Система» и пролистайте вниз до «Конфигурации удаленного доступа».

Здесь важное исправление. Для обычного проброса портов включать удаленный доступ к админке роутера НЕ нужно. Эта функция открывает управление самим роутером из интернета, а нам обычно нужен доступ не к роутеру, а к конкретному внутреннему устройству: камере, серверу, игре или NAS. Если включить удаленное администрирование без необходимости, вы дополнительно выставите панель управления ASUS наружу. Я бы держал этот пункт выключенным, если вы точно не понимаете, зачем он нужен.

9. Если у вас динамический внешний IP (что скорее всего), то вам нужно включить DDNS – эта служба находится в разделе «Интернет» или «WAN». Включаем службу и в строке «Имя хоста» придумываем любое DNS-имя, после этого нажимаем «Применить».

ВНИМАНИЕ! DDNS не будет работать с серым IP-адресом – о серых и белых IP подробно читаем тут.

10. Теперь осталось перезагрузить аппарат, для этого в самом верху нажмите на кнопку «Перезагрузка». После этого нужно немного подождать.

Чтобы проверить проброс, нужно из интернета в адресную строку браузера ввести наш внешний IP-адрес. Если он у вас динамический (как у меня), то вводим DDNS, который мы создали. А после адреса через двоеточие указываем порт. Например:

67.168.89.234:8080
или
wifigidborodach.asuscomm.com:80

Проверять лучше не из той же самой Wi-Fi сети, а именно снаружи. Например, выключите Wi-Fi на телефоне и попробуйте зайти через мобильный интернет. Некоторые роутеры поддерживают NAT Loopback и позволяют открыть внешний адрес изнутри сети, а некоторые нет. Поэтому ситуация «с телефона по Wi-Fi не открывается, а через мобильный интернет открывается» может быть абсолютно нормальной. Если проброс делается для IP-камеры, дополнительно посмотрите нашу инструкцию по настройке IP-камеры видеонаблюдения.

Что проверить, если порт не открывается

Далее сразу же проверьте проброс порта. Если у вас появились какие-то проблемы с программой или компьютером после этого, то я бы советовал на время отключить антивирус, который может блокировать такое соединение. Если перенаправление не происходит – проверьте правильность введенных данных в настройках ASUS. Также можете смело писать свои вопросы в комментариях ниже, и я постараюсь на них ответить.

На практике проброс порта – это не одна галочка, а цепочка условий. Должен быть белый внешний IP, правило в роутере, правильный локальный IP устройства, запущенная программа на нужном порту и разрешение в брандмауэре самого устройства. Если хотя бы одно звено сломано, проверка снаружи покажет «порт закрыт». Поэтому ниже даю короткий чек-лист, чтобы не гадать.

• Проверьте внешний IP. WAN IP в роутере должен совпадать с адресом, который показывают сайты проверки IP. Если не совпадает – скорее всего, у вас серый IP или еще один роутер перед ASUS.
• Проверьте двойной NAT. Если перед ASUS стоит модем, терминал GPON или другой роутер, проброс нужно делать и на нем тоже, или переводить верхнее устройство в режим моста.
• Проверьте локальный IP. Устройство должно иметь тот же IP-адрес, который указан в правиле переадресации.
• Проверьте, что сервис запущен. Если программа, сервер или камера не слушает порт, роутеру просто нечего перенаправлять.
• Проверьте протокол. Для одних задач нужен TCP, для других UDP, а иногда оба сразу. Если указать не тот протокол, проверка может не пройти.
• Проверьте брандмауэр Windows. Даже при правильном пробросе Windows может блокировать входящее подключение.
• Проверьте порт у провайдера. Некоторые провайдеры могут блокировать входящие подключения на популярные порты вроде 80, 25, 445 или 135.

На Windows можно быстро проверить, слушает ли программа нужный порт. Откройте командную строку и выполните команду, заменив 8080 на свой порт:

netstat -ano | findstr “:8080”

Если в ответ тишина, значит на этом порту сейчас никто не слушает. Для локальной проверки можно использовать PowerShell:

Test-NetConnection 192.168.1.166 -Port 8080

На Linux похожая проверка выглядит так:

ss -lntup | grep 8080

Если локально порт открыт, а снаружи закрыт, проблема почти наверняка в роутере, белом IP, двойном NAT или провайдере. Если локально порт закрыт, то сначала разбираемся с самой программой или устройством. Например, веб-сервер должен быть запущен, камера должна иметь включенный веб-доступ, а игровой сервер должен реально работать на том порту, который вы пробрасываете.

Если перед ASUS стоит модем или терминал провайдера

Очень частая домашняя схема: в квартиру приходит оптика, стоит терминал провайдера, а уже к нему подключен ASUS. С точки зрения пользователя все выглядит просто: интернет есть, Wi-Fi есть. Но для проброса портов это может быть двойной NAT. Внешний запрос сначала приходит на терминал провайдера, а уже потом должен попасть на ASUS. Если на первом устройстве нет правила, до ASUS запрос не дойдет.

Есть несколько вариантов решения. Первый – попросить провайдера перевести терминал в режим моста, а подключение к интернету поднять уже на ASUS. Второй – сделать проброс порта на терминале провайдера в сторону WAN-адреса ASUS, а потом уже на ASUS пробросить порт к нужному устройству. Третий – использовать DMZ на верхнем устройстве в сторону ASUS, но это нужно делать аккуратно. Если вы не понимаете, где у вас первый роутер, а где второй, посмотрите общую статью про проброс портов на роутере Ростелеком.

Простой тест двойного NAT. Зайдите в ASUS и посмотрите WAN IP. Если этот адрес начинается с 192.168.x.x, 10.x.x.x или 172.16-31.x.x, значит ASUS получает не настоящий внешний адрес, а локальный адрес от другого устройства. В такой схеме одного правила на ASUS будет мало.

UPnP, DMZ и ручной проброс – что выбрать

На ASUS есть не только ручная переадресация портов, но и другие похожие функции. Самая известная – UPnP. Она позволяет программам и играм автоматически открывать нужные порты на роутере. Это удобно для консолей, игр и некоторых приложений, но менее предсказуемо с точки зрения безопасности. Я бы не включал UPnP без необходимости, особенно если в сети много неизвестных устройств.

DMZ – еще более грубая функция. Она отправляет почти все входящие подключения на одно выбранное устройство. Иногда это помогает для игровой консоли или отдельного тестового сервера, но для обычного компьютера это рискованно. Если устройство плохо защищено, вы фактически выставляете его в интернет целиком. Ручной проброс одного или нескольких нужных портов безопаснее и понятнее, потому что вы открываете только то, что действительно нужно.

Мой совет. Для постоянного доступа к камере, NAS, серверу или программе лучше использовать ручной проброс конкретных портов. UPnP оставляйте только если оно реально нужно играм или консоли. DMZ используйте как временную диагностику, а не как постоянное решение для домашнего компьютера.

Отдельно про IPv6

Все, что мы разбирали выше, в основном относится к IPv4 и NAT. С IPv6 логика другая: у устройства может быть свой глобальный IPv6-адрес, и привычный проброс портов через NAT может не использоваться. Но это не значит, что все открыто само по себе. Доступ все равно регулируется firewall-правилами на роутере и устройстве.

Для обычного домашнего пользователя я бы не начинал с IPv6, если цель – просто открыть порт для камеры или игры. Сначала настройте понятную IPv4-схему, проверьте белый IP и обычный проброс. Если провайдер дает только IPv6 или использует сложную схему с CG-NAT, тогда уже нужно разбираться отдельно. В разных регионах и у разных операторов поддержка IPv6 и входящих подключений может отличаться.

Короткий FAQ

Почему порт закрыт, хотя правило на ASUS создано?

Причин много: серый IP, двойной NAT, неправильный локальный IP, не запущена программа, не тот протокол TCP/UDP, блокировка брандмауэром или провайдером. Начинайте с проверки WAN IP и того, слушает ли устройство нужный порт внутри локальной сети.

 

Нужно ли включать удаленный доступ к роутеру ASUS?

Нет, для обычного проброса портов это не нужно. Удаленный доступ открывает админку самого роутера из интернета, а проброс портов нужен для доступа к внутреннему устройству. Без необходимости эту функцию лучше держать выключенной.

 

DDNS заменяет белый IP?

Нет. DDNS только привязывает красивое имя к вашему текущему внешнему IP-адресу. Если у вас серый IP или CG-NAT, DDNS не заставит входящие подключения доходить до вашего роутера.

 

Можно ли открыть один внешний порт на два устройства?

Нет, один и тот же внешний порт с одним протоколом нельзя одновременно направить на два разных устройства. Но можно использовать разные внешние порты. Например, внешний 8081 на первую камеру, 8082 на вторую, а внутри у обеих может быть 80 порт.

 

Что выбрать – TCP, UDP или BOTH?

Смотрите требования программы, игры или устройства. Веб-интерфейсы и большинство обычных серверов часто используют TCP. Некоторые игры, голосовые сервисы и стриминговые задачи используют UDP. Если точно не знаете и устройство требует оба протокола, выбирайте BOTH, но лучше не открывать лишнее без необходимости.

 

Можно ли проверить порт из своей же Wi-Fi сети?

Иногда можно, если роутер поддерживает NAT Loopback. Но для надежной проверки лучше использовать мобильный интернет или внешний сервис проверки портов. Так вы точно проверяете доступ снаружи, а не внутренний обход роутера.

Видео

YouTube