Переадресация портов на роутере Cudy: инструкция

Всем привет! Ниже я расскажу, как пробросить порты на роутере Cudy. В моем случае мне нужно было выполнить проброс для одной камеры видеонаблюдения. У вас же может быть своя причина. Я постарался описать все максимально подробно, как смог. Надеюсь, статья будет для вас полезна – поехали!

Что нам необходимо знать перед пробросом?

Проброс портов делается для того, чтобы иметь доступ к устройству, которое подключено к локальной сети роутера. Например, я буду показывать на примере камеры видеонаблюдения, подключеннои к маршрутизатору Cudy. У вас же может быть все что угодно – коммутатор, камера, пылесос или что-то еще – это не совсем важно для нас.

Чуть проще и на пальцах: у вас дома есть локальная сеть (обычно 192.168.x.x), и устройства внутри нее видят друг друга напрямую. А интернет – это уже внешняя сеть (WAN). Проброс портов (Port Forwarding) – это правило, которое говорит роутеру: Если снаружи постучались на такой-то порт, перекинь запрос внутрь сети на конкретное устройство и конкретныи порт. Именно поэтому нам так важны IP-адрес устройства, порт и протокол – иначе роутер просто не поймет, куда направлять трафик.

Первое, что нам нужно знать – это наш внешнии IP-адрес. В целом его легко узнать, забив в поиске запрос «Мой IP» – далее вам его покажет хоть Яндекс, хоть Google. Ну или можете воспользоваться любыми сервисами. Далее самое важное – понять, какои именно это IP-адрес – серыи или белыи? От этого будет зависеть, как именно мы будем стучаться на роутер. Читаем – как проверить какой у тебя IP серый или белый (ОБЯЗАТЕЛЬНО ЧИТАЕМ).

В чем нюанс серого IP? В том, что просто так постучаться на него не получится. В таком случае у вас есть два варианта. Первый – попросить у провайдера услугу «белый IP» (часто она платная). Второй – использовать не классический проброс портов, а VPN: вы подключаетесь к домашней сети по VPN и дальше уже заходите к устройству так, словно вы дома.

Еще один важныи момент: даже если у вас белыи IP, он часто бывает динамическим – то есть может меняться. В этом случае проброс будет работать, но только до первого изменения внешнего адреса. Решение тут простое – настраиваем DDNS (чуть ниже покажу). Еще иногда встречается ситуация «двойного NAT» – когда перед вашим Cudy стоит модем/ONU с функцией роутера, или еще один роутер. Тогда внешнии IP на Cudy может быть белым, но доступ с интернета все равно не работает, потому что сверху есть еще один «шлюз». В таких случаях проброс нужно делать на самом верхнем устройстве, или переводить модем в режим моста (Bridge), или включать DMZ на верхнем роутере на адрес Cudy.

Про DMZ подробно читаем тут, если у вас используется модем или оптический терминал для подключения к интернету.

Итак, мы поняли, что у нас за IP, и какой он – серый или белый. Теперь нам нужно понять, какой порт нам нужно пробросить? Это можно узнать из документации вашего устройства, к которому вы и будете пробрасывать порт. В некоторых случаях порт можно назначить в настройках этого аппарата. Например, на некоторых камерах можно просматривать видео через Web-интерфейс по протоколам HTTP – это порт 80, или HTTPS – это 443 порт.

Но тут есть важная оговорка: внешнии порт и внутреннии порт не обязаны совпадать. Часто безопаснее вынести наружу не стандартные 80/443, а, например, 8080/8443 и уже их перекидывать внутрь на 80/443. Во-первых, некоторые провайдеры режут входящие подключения на популярные порты (особенно 80), во-вторых, стандартные порты постоянно сканируют боты. Поэтому лично я обычно делаю так: внешнии порт ставлю нестандартныи, а внутрь отправляю на реальныи порт устройства. Список популярных портов и их назначение можете подсмотреть тут: какие порты за что отвечают.

Некоторые ребята пробрасывают порт до своего компа или сервера, чтобы поиграть в какие-то игры. То есть порт нужно искать, и он зависит от конкретного программного обеспечения, которое установлено на устройстве – будь это камера, сервер или даже ваш ПК. Помимо порта нам также нужно знать – какой протокол использует программное обеспечение устройства (UDP или TCP).

Если вы пробрасываете порт на ПК (например, веб-сервер, RDP, игровои сервер), не забываите про фаервол. Частая ситуация: проброс настроили идеально, а Windows или Linux просто блокирует входящие подключения. Для Windows можете заранее посмотреть, как корректно открыть входящии порт в защитнике: инструкция по открытию портов в Windows 10. На Linux обычно нужно проверять правила ufw/iptables/nftables, а также слушает ли вообще приложение нужный порт (например, команда ss -tulpn или netstat -tulpn).

Подытожим – что нам нужно знать в итоге:

• Внешнии IP.
• Какои у нас внешнии IP – серыи или белыи.
• Порт для конкретного устройства или ПО.
• Протокол.

Небольшои совет по безопасности. Проброс портов – это всегда «окно» извне в вашу сеть. Минимум, что я рекомендую сделать: сменить пароль администратора роутера на сложныи, обновить прошивку, а для камеры/сервера поставить сложныи пароль и по возможности включить шифрование (HTTPS). И еще: никогда не открываите наружу саму панель управления роутером без необходимости. Если нужен удаленныи доступ к настройкам – лучше делать это через VPN, а не через «открытый веб-доступ».

Проброс

Итак, как же нам сделать переадресацию портов на роутере Cudy. Для начала нам нужно зайти в настройки маршрутизатора:

1. Подключаемся к сети роутера и вводим один из адресов:

cudy.net

192.168.10.1

Если есть проблемы со входом в настройки, то читаем мою инструкцию по этой ссылке.

2. Вводим пароль администратора.

1. Сразу проверяем внешнии IP-адрес на странице «System Status» (Статус системы) в блоке «WAN» – строка «IP Address». Нажмите «More Details» (Больше деталей).

2. Итак, если у вас в строчках «Public IP» и «IP Address» – разные адреса, то у вас либо серыи IP (CG-NAT), либо перед Cudy стоит еще один роутер/модем. Если они одинаковые – скорее всего у вас белыи IP.

Почему я делаю на этом акцент? Потому что это самый частый «подводный камень». Люди настраивают проброс, а он не работает, и кажется, что проблема в роутере. На самом деле роутер делает все правильно, но запрос до него просто не доходит. Если у вас есть верхнее устройство (например, оптика с терминалом провайдера), откроите его панель и посмотрите – не раздает ли оно интернет в режиме роутера. В идеале верхнее устройство должно быть в мосту, а Cudy должен получать внешнии адрес напрямую.

ВНИМАНИЕ! Проваидер может выдавать белыи IP, но динамический – он иногда меняется. Если вам нужен стабильныи доступ, проще всего настроить DDNS или заказать у провайдера статическии белыи IP (если такая услуга доступна).

3. В первую очередь нам нужно назначить статическии локальныи IP-адрес для устройства, на которое и будет идти проброс – открываем «Advanced Settings» (Дополнительные настройки).

Зачем вообще нужен статическии локальныи адрес? Потому что если камера/ПК получит новый IP по DHCP после перезагрузки, правило проброса начнет указывать «в никуда». Да, иногда все работает и без этого, но ровно до первого сбоя или смены адреса. Я обычно делаю привязку IP к MAC-адресу – это самый надежныи вариант. Дополнительно можно проверить, что устройство реально доступно по этому адресу: с Windows – командой ping 192.168.10.123, на Android/iOS – просто открыть страницу устройства в браузере внутри домашнего Wi-Fi, на Linux – ping или curl по адресу.

4. В разделе «Security» (Безопасность) – жмем по пункту «IP/MAC Binding».

5. Жмем «Add» (Добавить). Теперь в строке MAC-адреса выбираем наше устройство – оно должно быть подключено к сети роутера. Справа вводим комментарии, чтобы не потерять правило, и слева указываем статическии IP-адрес, который будет постоянно закреплен за этим устройством. Это именно локальныи IP, на который будет идти переадресация. В конце сохраняем и применяем настройки, нажав по кнопке ниже «Save & Apply».

6. Переходим к пробросу – раздел «Network» (Сеть) – «Port Forwards» (Переадресация портов).

7. Через кнопку «Add» (Добавить) – указываем данные:

Name (Имя) – название, которое будет просто отображаться в списке проброса. Тут можно указать все что угодно. Поле незначительное.

Protocol (Протокол) – указываем протокол, который будет использоваться для проброса.

External Port (Внешнии порт) – тот порт, который мы будем использовать для того, чтобы стучаться на устройство извне, из интернета.

Internal IP address (Внутреннии IP-адрес) – адрес устройства, на которое и будем стучаться. В моем случае – это камера.

Internal Port (Внутреннии порт) – обычно он совпадает с внешним, но не всегда. Об этом можно узнать в руководстве к устройству.

Пример из жизни: у камеры внутри сети веб-интерфейс на 80 порту, но наружу я не хочу светить 80. Тогда делаю так: External Port – 8080, Internal Port – 80. В итоге снаружи захожу на «внешнии IP:8080», а внутри запрос попадет в камеру на 80. Точно так же можно вынести наружу 8443 и перекинуть на 443, если у устройства включен HTTPS.

8. Как только все настроите, нажмите «Save & Apply».
9. Теперь проверяем проброс. С любого устройства, не из вашей локальной сети – например, с телефона, подключенного к мобильному интернету – откроите браузер и введите запрос:

Внешний IP-адрес:порт

Например:

113.87.81.201:8080

Если у вас веб-интерфейс работает только по HTTPS, то в браузере лучше вводить полный адрес с протоколом, например «https://внешний IP:порт». И еще момент: проверять проброс из домашнего Wi-Fi иногда бесполезно – не все роутеры нормально поддерживают NAT Loopback (его еще называют Hairpin NAT). Вы правильно сделали, если тестируете с мобильного интернета – так результат будет честным.

У вас же будет свои IP или порт. После этого вы должны сразу же увидеть интерфейс вашего устройства. В моем случае – это камера. Если вы подобного не наблюдаете, то нужно еще раз проверить, чтобы у вас точно был белыи IP.

С какими проблемами вы столкнетесь?

Во-первых, у вас может быть белыи и динамический IP-адрес – это очень популярная ситуация. Поэтому, как только внешнии адрес сменится, вы потеряете доступ к устройству. Что в таком случае делать? В таком случае вам нужно настроить DDNS. То есть вы будете стучаться не по внешнему IP-адресу, а с помощью URL – например:

camera.myrouter01.no-ip.pl

Важно понимать: DDNS – это не «магия», а просто удобное имя, которое всегда обновляется и указывает на ваш текущии внешнии IP. Поэтому после настройки DDNS у вас будет один постоянныи адрес, а роутер будет сам обновлять его при смене IP. Если ваш DDNS перестал обновляться, обычно причина банальная: неправильно введены логин/пароль, истек срок подтверждения хост-нейма у сервиса, или роутеру запрещен выход в интернет по DNS/HTTPS. В таких случаях я сначала проверяю, что в «System Status» интернет реально есть, а потом уже смотрю настройки DDNS.

Про DDNS советую подробно почитать эту статью. Если вы уже поняли, что такое DDNS, то нам нужно эту штуку настроить. Сразу хочу сказать, что есть как платные, так и бесплатные сервисы DDNS. Cudy поддерживает очень много вариантов. Сначала перейдите в раздел «DDNS» в этои же вкладке.

Вам нужно выбрать бесплатныи DDNS-сервис. Например, тот же no-ip.com – предоставляет один бесплатныи хост-нейм для одного аккаунта. Переходим на сайт сервиса, регистрируемся и через их личныи кабинет создаем хост-нейм. Далее уже тут на этои вкладке вводим все необходимые данные для подключения вашего роутера к DDNS.

Применяем настройки и все, теперь вы можете заходить к устройству с помощью DDNS.

Важное предупреждение. Проброс портов – штука небезопасная, если делать ее «в лоб». Я рекомендую: 1) не использовать стандартные внешние порты (80/443), 2) ставить сложные пароли на устройство, 3) по возможности включать HTTPS, 4) не открывать наружу админку роутера, 5) если прошивка позволяет – ограничить доступ по IP (разрешить только ваш рабочии IP или VPN). Иногда самый правильныи вариант – вообще отказаться от проброса и подключаться в дом через VPN.

Что делать, если у меня серый IP?

Тут важно сразу расставить точки над «и»: обычныи DDNS не решает проблему серого IP (CG-NAT). Он просто привязывает имя к вашему внешнему адресу, но входящие соединения по-прежнему не смогут «достучаться» до вас, потому что вы находитесь за общим NAT провайдера. Поэтому если у вас серыи IP, классическии проброс портов чаще всего не заработает, пока проваидер не выдаст вам белыи IP или не настроит индивидуальную переадресацию.

Самые рабочие варианты в этои ситуации такие:

• Заказать белыи IP у провайдера (динамическии или статическии).
• Поднять VPN-сервер (если в вашеи прошивке Cudy есть раздел VPN) и подключаться к дому через VPN. Тогда доступ к камере/серверу будет идти изнутри сети, без проброса портов наружу.
• Использовать обратное подключение (у многих камер есть облачныи P2P-доступ через приложение производителя). Это не «лучше» и не «хуже», просто другои подход, когда камера сама устанавливает соединение с облаком, а вы подключаетесь через него.

Настроить VPN на Cudy (если он есть в вашеи прошивке) можно на вкладке «General Settings» (Основные настройки) – VPN. Здесь выбираем протокол клиента/сервера и вводим параметры. Останавливаться на конкретных протоколах я подробно не буду – это тема отдельная, но сам принцип простой: подключились по VPN и дальше вы как будто дома.

Как подключаться к VPN с разных устройств (общая логика):

• Windows: «Параметры» – «Сеть и Интернет» – «VPN» – «Добавить VPN-подключение», затем «Подключиться».
• Android: «Настроики» – «Сеть и Интернет» – «VPN» – «Добавить VPN» (или импорт конфигурации в приложении, если проваидер дал профиль).
• iOS: «Настроики» – «Основные» – «VPN и управление устройством» – «VPN» – «Добавить конфигурацию VPN».
• Linux: через NetworkManager (графически) или командой nmcli connection import/modify, в зависимости от формата конфигурации.

Если хотите углубиться именно в VPN-тему и понять, как это работает, можете посмотреть пример на другом роутере: OpenVPN на роутере Keenetic. Там подробно расписан принцип, а дальше вы уже примените его к своему Cudy (названия пунктов будут другими, но суть та же).

FAQ – коротко для новичков

• Почему проброс настроил, а с домашнего Wi-Fi не открывается?
  Часто это связано с NAT Loopback (Hairpin NAT). Некоторые роутеры или прошивки не умеют нормально «заворачивать» запросы обратно в локальную сеть. Поэтому всегда тестируите с мобильного интернета или с другого внешнего подключения.
• Проброс сделал, но все равно не открывается. С чего начать проверку?
  Я начинаю с самого простого: 1) белыи ли IP и нет ли двойного NAT, 2) правильныи ли внутреннии IP устройства (не поменялся ли он), 3) слушает ли устройство нужный порт (например, у камеры реально включен веб-доступ), 4) не блокирует ли фаервол на ПК входящие подключения, 5) правильно ли указан протокол (TCP/UDP).
• Можно ли пробрасывать один и тот же порт на два устройства?
  Нет, один внешнии порт может вести только на одно устройство. Но вы можете использовать разные внешние порты: например 8081 на первую камеру и 8082 на вторую, и оба пробросить внутрь на 80.
• Что безопаснее: проброс портов или VPN?
  VPN обычно безопаснее, потому что наружу вы не светите сервисы. Вы сначала авторизуетесь в VPN, попадаете в локальную сеть, и дальше работаете как дома. Проброс портов удобен, но его нужно делать очень аккуратно.

Суть в том, что вы настраиваете VPN на роутере, а потом подключаетесь к локальной сети с помощью VPN и имеете доступ ко всем локальным устройствам сети. Достаточно удобно. На этом все, дорогие друзья. До новых встреч на портале WiFiGiD.RU.

Видео

YouTube