DynDns: что это такое, как работает и как использовать бесплатный динамический DNS

Всем привет! Почему-то в интернете до сих пор мало нормальных статей, которые бы не только объясняли само понятие DDNS, но и нормально показывали настройку на практике. Я решил это исправить и написать более подробную статью с пояснениями, примерами и важными оговорками. Так что советую прочесть инструкцию от начала и до конца – будет полезно. Если у вас останутся вопросы, то пишите в комментариях.

Определение

DDNS, или динамический DNS, – это сервис, который помогает получить доступ к сетевому устройству через интернет, даже если у вас не постоянный, а динамический внешний IP-адрес. Расскажу на примере домашнего маршрутизатора, который есть почти у каждого дома.

Представьте себе, что у нас есть обычный домашний Wi-Fi роутер, который подключен к интернету. При подключении провайдер выдает ему внешний IP-адрес. Аналогично есть и внутренний, или локальный, адрес, но он нам сейчас не нужен.

Дело в том, что адресов IPv4 давно не хватает на всех абонентов, и именно поэтому у провайдеров широко используются динамические адреса и CGNAT. Постоянный, то есть статический, внешний IP сейчас обычно либо идет как отдельная услуга, либо нужен только для специальных задач. Простому домашнему пользователю чаще всего выдают динамический адрес, который может измениться после переподключения, перезагрузки роутера, смены сессии или по внутренним правилам провайдера.

А теперь представим, что вам нужно иметь доступ к вашему маршрутизатору из интернета. Для этого в теории можно зайти на роутер по его внешнему IP-адресу. Чтобы узнать его, достаточно вбить в браузере запрос вроде «Мой IP» или зайти на любой сервис, который показывает ваш публичный адрес.

Если открыть внешний доступ на роутере и вбить этот адрес в браузер, вы сможете попасть в настройки роутера или на другое устройство в своей локальной сети. Проблема в том, что когда внешний IP сменится, доступ по старому адресу пропадет. Очень часто это всплывает при пробросе портов, настройке камер, FTP, домашнего сервера или удаленного рабочего места.

Например, вы поставили в квартире или доме камеры видеонаблюдения и хотите смотреть их из офиса, с дачи или из отпуска. Все работает ровно до тех пор, пока внешний IP не сменился. После этого старый адрес уже бесполезен, и доступ обрывается.

Именно для таких целей и придумали DDNS. Вы используете не цифровой IP-адрес, а постоянное доменное имя, которое автоматически обновляется и «подтягивает» новый внешний IP. В итоге вам не нужно каждый раз узнавать новый адрес вручную.

Таким образом можно настроить:

• Игровой сервер.
• FTP-сервер.
• Удаленный доступ к рабочему месту.
• Камеры видеонаблюдения и видеорегистратор.
• Доступ к панели роутера, если это действительно нужно.

Но тут есть очень важный нюанс, о котором многие статьи почему-то пишут вскользь. DDNS сам по себе не «открывает» вам дорогу из интернета. Он только привязывает доменное имя к вашему текущему внешнему IP. Если до вашего роутера в принципе нельзя достучаться извне, то никакой красивый DDNS-адрес проблему не решит. Именно поэтому следующая глава в этой теме важнее даже самой регистрации в DDNS-сервисе.

Серый и белый IP – в чем отличие

В интернет-индустрии есть два понятия: белый и серый IP-адрес. Белый IP – это публичный адрес, который реально виден в интернете и принадлежит вашему подключению. То есть между вашим роутером и интернетом нет еще одной промежуточной NAT-сети провайдера. Белый адрес может быть как статическим, так и динамическим.

Но некоторые провайдеры выдают не белые, а серые адреса. Это значит, что роутер получает адрес не из интернета напрямую, а из внутренней сети провайдера. После этого уже сам провайдер через свой шлюз выпускает вас во внешний интернет. Такая схема называется CGNAT или операторский NAT.

И вот здесь мы встречаемся с главной проблемой. При сером IP классический DDNS почти бесполезен для прямого входящего доступа. Да, доменное имя обновляться будет, но входящее соединение из интернета до вашего роутера не дойдет, потому что перед вами стоит дополнительный NAT у провайдера.

Если говорить совсем простыми словами, белый IP – это когда у вашего роутера есть свой адрес в интернете. Серый IP – это когда у вашего роутера адрес только внутри сети провайдера, а наружу вы выходите через общий шлюз вместе с другими абонентами. В первом случае DDNS работает так, как и должен. Во втором – домен обновится, но подключиться к вашему дому напрямую снаружи все равно не получится.

Из-за этого в сети и рождается путаница. Человек настраивает DDNS, видит, что домен создан, статус в роутере «нормальный», а доступ из интернета все равно не работает. И он начинает копаться в портах, антивирусе, брандмауэре и настройках камер. Хотя проблема на самом деле не в портах, а в том, что провайдер изначально не дает прямой доступ извне. Более подробно я уже рассказывал об этом отдельно – очень советую почитать в чем разница между белым и серым IP.

Есть и хорошие новости. Даже при сером IP удаленный доступ иногда все равно можно организовать, но уже не классическим DDNS, а через облачные сервисы производителя, VPN, туннели, фирменные приложения или IPv6, если ваш провайдер и устройства это поддерживают. То есть серый IP – это не конец света, а просто ограничение для прямой схемы «домен – роутер – устройство».

Как проверить белый IP-адрес?

Сначала нужно зайти в настройки роутера. Для этого при подключении к локальной сети с любого устройства – компьютер, ноутбук, телефон, планшет или даже телевизор, – нужно открыть браузер и ввести в адресную строку адрес маршрутизатора. Адрес можно подсмотреть на этикетке под корпусом. Очень часто используются IP-адреса 192.168.1.1 или 192.168.0.1.

ПРИМЕЧАНИЕ! Если у вас есть проблемы с этим, то смотрим эту инструкцию.

Далее нужно посмотреть, какой внешний IP-адрес принимает ваш маршрутизатор.

После того как вы нашли адрес в роутере, зайдите в браузер и узнайте, какой IP отображается там. Если адреса совпадают, то у вас, скорее всего, белый IP. Если они разные, то у вас либо серый IP, либо между вами и интернетом есть еще один промежуточный роутер/NAT.

Но я бы не ограничивался только этим сравнением. Обязательно посмотрите еще и сам диапазон WAN-адреса, который показывает роутер. Если там что-то вроде 10.x.x.x, 192.168.x.x, 172.16.x.x – 172.31.x.x или 100.64.x.x – 100.127.x.x, то это точно не белый внешний адрес. В таком случае вы находитесь либо за локальной сетью провайдера, либо за промежуточным устройством. Особенно часто пользователи забывают про диапазон 100.64.0.0/10 – это как раз типичный CGNAT.

ВАЖНО! Совпадение адресов в роутере и на сайте проверки IP почти всегда хороший признак, но не единственный. Если WAN-адрес в роутере сразу попадает в приватный диапазон или в CGNAT-диапазон 100.64.x.x, то классический DDNS для входящих подключений вам не поможет. В этом случае сначала решаем вопрос с провайдером или выбираем альтернативную схему доступа.

Как работает DDNS

1. Вы регистрируетесь на специальном сервисе. Все проходит почти так же, как на любом другом сайте: вводите логин, пароль, почту и подтверждаете аккаунт.
2. Создаете доменное имя, которое будет привязано к вашему внешнему IP-адресу.
3. Вносите данные сервиса в роутер, NAS, камеру, регистратор или специальный клиент обновления.
4. После этого устройство начинает автоматически сообщать DDNS-сервису ваш новый внешний IP, если он изменился.

ПРИМЕЧАНИЕ! Если роутер не поддерживает нужный сервис, то обновлять DDNS можно и с помощью отдельной программы-клиента на компьютере, NAS или сервере. Такой вариант тоже рабочий, но он зависит от того, включено ли устройство, которое обновляет адрес.

5. Дальше вы подключаетесь уже не по цифрам, а по доменному имени.

То есть DDNS – это по сути «переводчик» между меняющимся внешним IP и постоянным доменным именем. Например, вместо того чтобы запоминать и каждый раз искать новый адрес вроде 93.184.44.18, вы заходите по чему-то более человеческому, например myhome.ddns.net. Снаружи все выглядит просто, но внутри сервис постоянно следит за тем, чтобы домен указывал на ваш актуальный внешний адрес.

Тут важно понимать и вторую половину схемы. Сам по себе DDNS только помогает найти ваш роутер или устройство. Но если вы хотите попасть не на роутер, а на камеру, сервер, NAS или удаленный рабочий стол, то дальше почти всегда нужен еще и проброс портов или другой способ публикации сервиса наружу. Про эту часть я тоже советую почитать отдельно – у меня есть подробная инструкция по пробросу портов на роутере.

Когда DDNS вообще не нужен

Это тоже важный вопрос, потому что многие пытаются настраивать DDNS просто «на всякий случай». На части современных роутеров удаленный доступ уже решается через облако производителя. Например, у TP-Link есть TP-Link ID и Tether, у Keenetic есть KeenDNS и облачный режим, у ASUS – свои фирменные механизмы, а у камер и регистраторов часто есть отдельные мобильные приложения с P2P-доступом. В таких сценариях классический DDNS может быть просто не нужен.

Еще один случай – когда вам нужен не удаленный входящий доступ извне, а просто удобное имя внутри дома. Для этого уже обычно используют локальный DNS, статические DHCP-резервации или свои хосты, а не DDNS. Поэтому перед настройкой я советую честно ответить себе на вопрос: «Мне надо зайти домой из интернета по доменному имени или мне просто нужно, чтобы устройство в локальной сети имело понятное имя?» Это две разные задачи.

Как настроить DDNS

Настройка DDNS производится в настройках роутера. Поэтому в первую очередь вам нужно на него зайти. Далее нужно найти раздел DDNS или «Динамический DNS». После этого посмотрите, какие сервисы поддерживает именно ваш маршрутизатор. У некоторых аппаратов список ограниченный, а у других можно использовать более гибкие варианты. В общем схема будет достаточно простой из трех шагов:

1. Заходим в настройки роутера и смотрим, с какими сервисами он умеет работать.
2. Выбираем сервис из представленных – заходим на официальный сайт и регистрируемся.
3. Вводим созданный домен, логин, пароль или ключ обновления в том же окне на роутере.

ШАГ 1: Смотрим представленные сервисы в настройках роутера

TP-Link

D-Link

Keenetic

ASUS

Раздел «Интернет», вкладка «DDNS». Включаем службу. На ASUS часто можно выбрать фирменный домен ASUS или сторонний сервис вроде no-ip.com – зависит от модели и прошивки.

ВНИМАНИЕ! Для классического ASUS DDNS и прямого удаленного доступа у вас должен быть публичный WAN IP. Если роутер пишет, что доменный доступ работать не будет, или предупреждает о private WAN IP, то, скорее всего, у вас серый адрес или двойной NAT.

На ASUS еще важно не путать сам DDNS и удаленный доступ к web-интерфейсу. Даже если DDNS настроен и доменное имя успешно зарегистрировано, вход в панель роутера из интернета надо дополнительно разрешить отдельно. На части моделей это делается через настройки администрирования и удаленного доступа, а сам вход обычно идет по HTTPS и нестандартному порту. Если вы как раз пользуетесь ASUS, может пригодиться и моя отдельная статья про DDNS на ASUS.

Другие модели

Поищите по всем разделам «DDNS», «Динамический DNS» или «Dynamic DNS». Далее вам нужно посмотреть, с какими сервисами работает ваш маршрутизатор. Если никаких жестких ограничений нет, то выбирайте тот сервис, который поддерживается вашим роутером и вам удобен. Есть как бесплатные, так и условно платные варианты.

ШАГ 2: Регистрация

Если вы уже выбрали нужный сервис, то вам нужно зайти на его официальный сайт и зарегистрироваться. После регистрации создаем доменное имя. А в самом конце вводим регистрационные данные и сам DDNS в настройки роутера. Давайте покажу на примере No-IP, так как он все еще используется довольно часто.

1. Заходим на официальный сайт и нажимаем кнопку «Sign Up».

2. Вводим e-mail, пароль и создаем аккаунт.

3. После подтверждения почты создаем hostname. Важное обновление: в бесплатном тарифе No-IP сейчас обычно доступен только один hostname, а не три, как это было в старых инструкциях. Бесплатный hostname нужно подтверждать примерно раз в 30 дней через письмо на почте.

4. После авторизации в личном кабинете создаем hostname и сохраняем его.
5. Если сервис поддерживает DDNS Keys или отдельный токен обновления, я бы по возможности использовал именно их, а не обычный пароль аккаунта – это безопаснее.

Теперь этот адрес можно использовать.

Если ваш роутер вообще не умеет работать с No-IP или другим нужным сервисом, это не значит, что все пропало. На многих сервисах есть специальный клиент обновления, который можно поставить на ПК, NAS или домашний сервер. Он будет сам отправлять на сервис ваш новый внешний IP. Для камер, NAS и самодельных серверов это до сих пор вполне рабочая схема.

ШАГ 3: Настройка в роутере

В разделе DDNS обычно нужно ввести:

• Сам DDNS, который вы создали.
• Имя пользователя и пароль, или DDNS Key/токен – зависит от сервиса и роутера.
• Если используется нестандартный провайдер, может понадобиться адрес сервиса обновления.

В самом конце применяем настройки.

Теперь можно вбить этот адрес в адресную строку браузера и проверить, что происходит. Но здесь есть еще один момент: если вы проверяете изнутри своей же домашней сети, то не каждый роутер умеет корректно открывать собственный внешний DDNS-адрес из LAN. Иногда такая проверка не работает внутри дома, но прекрасно работает с мобильного интернета.

Поэтому я советую проверять правильно: сначала с телефона через мобильный интернет, а не из той же самой домашней сети. Так вы сразу поймете, работает ли входящий доступ извне, а не упираетесь ли вы просто в отсутствие NAT Loopback или в особенности локальной проверки. Для IP-камер и видеонаблюдения логика та же самая – сначала проверяем извне, а потом уже ковыряем сами камеры. По теме камер можете дополнительно посмотреть как подключить IP-камеру через роутер и открыть доступ через интернет.

Если у вас серый IP

Итак, вы все проверили и выяснили, что у вас серый IP. Что делать? Вариантов на самом деле несколько. Самый прямой и правильный – попросить у провайдера белый IPv4, динамический или статический. Иногда это бесплатная опция, иногда платная, иногда доступна только после обращения в поддержку. Если вам нужен прямой доступ к домашнему серверу, NAS, камерам, игровому серверу или пробросу портов, это почти всегда самый надежный путь.

• Попросить у провайдера белый IP.
• Использовать облачный сервис производителя роутера, камеры или регистратора.
• Поднять VPN или туннель, если умеете это настраивать.
• Посмотреть, нет ли у вас рабочего IPv6 – в ряде случаев это тоже решает проблему.

Если говорить совсем просто, DDNS нужен тогда, когда ваш адрес меняется, но он все равно ваш и до него можно достучаться из интернета. Если же адрес не ваш публичный, а общий у провайдера, то нужен уже не «переводчик адресов», а другой путь доступа. Именно поэтому многие современные маршрутизаторы и уходят в облака, relay-схемы и фирменные приложения – они как раз и закрывают эту проблему для людей с серым IP.

Безопасность

Вы должны понимать, что, открывая ваш роутер или домашние сервисы для доступа из интернета, вы рискуете безопасностью. Поэтому в первую очередь зайдите в настройки маршрутизатора и установите для web-интерфейса надежный пароль. Также я бы советовал поменять логин администратора, если роутер это позволяет. Очень часто используют «admin», а это плохая идея.

ПРИМЕЧАНИЕ! Кстати, на некоторых маршрутизаторах нельзя поменять логин администратора, и тогда тем более надо ставить сложный пароль и отключать лишний внешний доступ.

Если вы открываете VPN-сервер, FTP, NAS, регистратор или камеры видеонаблюдения, то там тоже обязательно нужны нормальные логины и пароли. То же самое касается самих камер и регистраторов. Очень плохая идея – оставить заводской пароль и просто опубликовать устройство в интернет через DDNS.

Я бы сказал еще жестче: если вам не нужен доступ к web-интерфейсу роутера извне, то лучше его вообще не открывать. Гораздо безопаснее открывать только то, что действительно нужно, а для административного доступа использовать VPN. То есть не «тащить наружу весь роутер», а заходить домой через защищенный туннель и уже внутри работать с нужными устройствами. Для большинства домашних сценариев это заметно спокойнее.

Еще одна важная мелочь – не оставляйте стандартные порты, если это не обязательно. Это не магическая защита, но банально уменьшает шум от примитивных автоматических сканеров. И обязательно обновляйте прошивку роутера и устройств, которые открываете наружу. Устаревшая прошивка плюс DDNS плюс слабый пароль – это как раз тот набор, который потом приводит к взломам, брутфорсу и странной активности в сети.

ВАЖНО! DDNS не делает подключение безопасным сам по себе. Он только упрощает адресацию. Защита – это уже сильный пароль, отключение лишних сервисов, HTTPS, VPN, обновленная прошивка, аккуратный проброс портов и нормальная проверка того, что именно вы открываете в интернет.

FAQ

DDNS и облако производителя – это одно и то же?
Нет. DDNS просто привязывает доменное имя к вашему меняющемуся внешнему IP. Облако производителя – это отдельная схема удаленного доступа, часто через промежуточные серверы. Иногда облако может работать даже тогда, когда классический DDNS бесполезен из-за серого IP.

 

Можно ли использовать DDNS при сером IP?
Технически домен обновляться может, но прямой входящий доступ до вашего дома в большинстве случаев работать не будет. То есть сам DDNS не решает проблему серого IP. Тут уже нужен белый IP, облако, туннель или VPN-схема.

 

Что лучше – No-IP, фирменный DDNS роутера или KeenDNS?
Если у вас роутер умеет нормальный фирменный сервис и он закрывает именно вашу задачу, то часто это самый удобный путь. Для классического внешнего доступа с белым IP можно использовать и No-IP, и фирменные сервисы. А вот KeenDNS хорош тем, что у Keenetic есть и прямой, и облачный режим.

 

Почему домен пингуется, а камера или роутер не открываются?
Потому что DDNS – это только адрес. Дальше упираемся в порты, правила NAT, firewall, тип IP, работу сервиса на устройстве и саму схему доступа. Очень часто проблема уже не в домене, а в пробросе или сером IP.

 

Нужно ли каждый раз заходить в сервис и обновлять IP вручную?
Нет, в этом и смысл DDNS. Обновление обычно делает сам роутер, NAS, камера или отдельный клиент обновления. Вручную править IP не нужно, если схема настроена правильно.