Что такое Port Triggering в настройках роутера?

Всем привет! Сегодня мы поговорим про то, что же такое «Port Triggering» (Триггер порт) в настройках роутера. Забавно, что даже на русской прошивке настройка часто имеет английское наименование. В статье я подробно описал данную функцию, а также чем она отличается от стандартного проброса портов. Поехали!

Сразу скажу простыми словами: Port Triggering – это временное открытие входящих портов после того, как устройство из вашей локальной сети само сделало исходящий запрос на определенный порт. То есть роутер не держит порт открытым постоянно, а открывает его только после «триггера». Это нужно для некоторых старых игр, программ голосовой связи, видеосвязи, P2P-приложений и сетевых сервисов, которым мало обычного NAT. Для постоянного доступа к камере, серверу, NAS или удаленному рабочему столу чаще используют обычный проброс портов, а не Port Triggering.

Коротко про порты

Давайте сначала коротко расскажу, что же такое порты. Напомню, что роутер выполняет роль шлюза – то есть является связующим звеном между глобальным интернетом и вашей локальной сетью. Если мы вспомним, то роутер имеет сразу два адреса:

• Локальный – например, как у TP-Link 192.168.0.1.
• Глобальный – например, 148.234.58.56.

Подключившись к сети роутера по проводу или по Wi-Fi, компьютер, телефон или любое другое устройство начнет отправлять запросы в интернет. Не буду вдаваться в слишком детальную схему, но роутер постоянно отслеживает соединения, которые уходят из локальной сети наружу. Для этого он использует NAT-таблицу, где запоминает: какое локальное устройство, на какой внешний адрес и через какой порт обратилось. Все как в журнале на проходной: кто вышел, куда пошел и куда потом пропустить ответ.

Это нужно не только для удобства, но и для безопасности. Этим всем занимается NAT вместе с Firewall (он же межсетевой экран или брандмауэр). Если вы подключите кабель от провайдера прямо к компьютеру, то операционная система Windows или Linux также будет иметь на борту файрволл, и он будет заниматься похожей задачей – разрешать нужные соединения и блокировать нежелательные запросы из интернета. Опять же – во имя безопасности, чтобы лишние подключения извне не попадали куда попало.

Очень важный момент: когда вы просто открываете сайт, запускаете мессенджер или игру, роутер обычно сам понимает, куда вернуть ответ. Ему не нужен ручной проброс порта для обычного просмотра сайтов. Проблемы начинаются тогда, когда внешнему серверу или другому пользователю нужно подключиться к вашему устройству из интернета без предварительного понятного запроса. Вот тут уже появляются обычный проброс портов, Port Triggering, UPnP и DMZ.

Советую более детально почитать про порты и про NAT.

Что такое Trigger Protocol?

Такое понятие можно встретить в классической прошивке TP-Link, в разделе «Переадресация» (Forwarding). В русской прошивке немного другое наименование пунктов настроек, поэтому я для понимания буду оставлять сразу два скриншота.

Давайте еще раз я коротко расскажу, что происходит при запросе из локальной сети. Представим, что мы играем в игру, например, в CS или Dota:

1. Ваш компьютер с запущенной игрой делает запрос на сервер игры. В запросе указаны некоторые данные, в том числе порт. Ведь сервер также работает по определенным портам и протоколам.
2. Далее этот запрос получает наш локальный роутер, так как он является шлюзом.
3. Роутер создает запись в NAT-таблице, запоминает локальный IP компьютера, порт и внешний сервер, а потом отправляет запрос в интернет.
4. Через некоторое время роутер получает ответ от сервера. Если ответ подходит под уже созданную запись, маршрутизатор отправляет его обратно нашему компьютеру.

Все происходит быстро, и сама схема очень грубая, но я думаю, сам принцип вы понимаете. Для обычных исходящих соединений роутер сам создает временные правила и сам понимает, как вернуть ответ. Поэтому для браузера, YouTube, Telegram, Steam, обычных обновлений Windows и большинства программ ничего вручную открывать не нужно.

Для того, чтобы в локальную сеть попадали только нужные ответы, и нужны NAT, файрволл и таблица состояний соединений. Если запрос начался изнутри сети, роутер чаще всего пропустит ответ обратно. Если же кто-то из интернета сам пытается постучаться к вашему компьютеру, камере или серверу, роутер по умолчанию такой входящий запрос не знает куда отправить и блокирует его. Именно поэтому для домашнего сервера, камеры видеонаблюдения или игры в режиме хоста часто приходится отдельно настраивать проброс.

Пример из жизни. Вы открыли сайт – это исходящий запрос, и роутер спокойно вернет ответ обратно. А вот если вы подняли сервер Minecraft у себя на компьютере и хотите, чтобы друг подключился к нему из интернета, это уже входящий запрос. Роутер не знает, на какой компьютер его отправить, пока вы не создадите правило. Для такой задачи чаще нужен обычный проброс портов, а не Port Triggering.

И тут мы подошли к понятию переадресация или проброс портов. Если вы кликните по разделу «Переадресация», то увидим похожие настройки, но они немного отличаются от «Port Triggering». При этом вы сразу попадете по умолчанию в подраздел «Виртуальный сервер» (Virtual Servers).

Если присмотреться, то можно заметить, что добавился IP-адрес – это локальный IP-адрес любого устройства, подключенного к сети роутера. Это может быть компьютер, ноутбук, камера видеонаблюдения, телевизор, сервер или даже принтер.

А разница тут есть. Смотрите, чуть выше я очень схематически описал процедуру запроса из локальной сети в глобальную. То есть запрос идет изнутри, роутер запоминает соединение, ждет ответа от сервера, а потом отправляет ответ нужному устройству. В обычном пробросе портов все иначе: вы заранее говорите роутеру, что входящие подключения на конкретный внешний порт нужно всегда отправлять на конкретный локальный IP.

Например, у вас есть IP-камера с локальным адресом 192.168.0.50, и вы хотите подключаться к ней из интернета. Вы создаете правило: внешний порт 8080 отправлять на 192.168.0.50. С этого момента роутер будет знать, куда перенаправлять такие входящие запросы. Это удобно для постоянных сервисов, но и риск выше, потому что порт открыт постоянно, пока правило включено.

В разделе «Переадресация» можно настроить переадресацию портов для определенных задач. Но при этом порт будет доступен постоянно, пока правило активно. Поэтому перед обычным пробросом желательно закрепить за устройством постоянный локальный IP-адрес, иначе сегодня камера может быть 192.168.0.50, а завтра роутер выдаст ей 192.168.0.55, и правило перестанет работать. Более подробно про обычный проброс портов можно почитать тут.

В «Port Triggering» схема проброса или открытия порта немного другая. Там нет пункта IP-адреса. То есть роутер сам временно запоминает устройство, которое первым обратилось наружу на триггерный порт, и после этого открывает для него указанные входящие порты. Для чего это нужно? Если у вас есть конкретное устройство, с которого вы хотите выполнить постоянный проброс, то лучше это делать через «Переадресацию», указав IP устройства. Если же приложению нужно временно открыть входящие порты после исходящего подключения, можно использовать «Триггер портов».

Port Triggering обычно работает только для одного активного устройства по одному правилу в конкретный момент времени. Например, если два компьютера в одной сети одновременно запускают старую игру, которой нужно одно и то же триггерное правило, роутер может открыть входящие порты только для того устройства, которое сработало первым или последним – зависит от модели. Поэтому для постоянного сервера, камеры или удаленного доступа этот способ неудобен.

Теперь пройдемся по пунктам настройки, и вам станет все понятно.

• Триггер порт (Trigger Port) – это тот номер порта, исходящее подключение на который активирует открытие дополнительных входящих портов.
• Триггер протокол (Trigger Protocol) – это протокол, который используется для выходящего подключения. Можно указать TCP, UDP или оба варианта, если прошивка это поддерживает.
• Открытый порт (Incoming Ports) – это именно тот порт или диапазон портов, который роутер временно откроет после срабатывания триггера. Далее данные будут передаваться на то локальное устройство, которое первым активировало правило. Вы можете прописать как конкретный номер, так и диапазон. Можно указывать входы через запятую. Например:

2001-2045, 8080, 80, 2056, 3500-3600

ПРИМЕЧАНИЕ! В некоторых прошивках есть ограничение на количество диапазонов и отдельных портов в одной записи. Если правило не сохраняется, попробуйте разбить его на несколько отдельных правил.

• Открытый протокол (Incoming Protocol) – именно те протоколы, которые открываются для входящих подключений. Чаще всего выбирают TCP, UDP или ALL.
• Состояние – есть два варианта: «Отключено» или «Включено». То есть можно не стирать правило, а временно выключать его.
• Общий порт сервиса (Common Applications) – здесь вы можете найти уже прописанные стандартные правила для конкретных программ или сервисов. В таком случае остальные настройки заполнятся автоматически.

Самое главное – брать номера портов не из головы, а из инструкции к программе или игре. Если разработчик пишет, что программе нужны исходящие порты одни, а входящие другие, тогда Port Triggering может быть полезен. Если в инструкции просто сказано «откройте порт 25565 на компьютере с сервером», то это уже обычный проброс портов. Если приложение поддерживает UPnP и у вас нет строгих требований по безопасности, иногда вообще ничего вручную прописывать не нужно.

Чем Port Triggering отличается от Port Forwarding

Давайте закрепим разницу еще проще. Port Forwarding, он же проброс портов или виртуальный сервер, – это постоянное правило. Вы заранее указываете локальный IP устройства и порт. Роутер всегда отправляет входящие подключения по этому правилу, пока оно включено. Такой вариант подходит для IP-камер, NAS, игровых серверов, удаленного рабочего стола, FTP, веб-сервера и других служб, которые должны быть доступны извне постоянно.

Port Triggering – это временное правило. В нем нет постоянного локального IP, потому что роутер сам определяет устройство по исходящему запросу. Компьютер обратился наружу на триггерный порт – роутер временно открыл входящие порты для этого компьютера. Активность закончилась – через некоторое время правило закрывается. Это безопаснее постоянного проброса, но подходит не для всех задач.

Если не знаете, что выбрать, ориентируйтесь так: для сервера и камеры – обычный проброс портов; для игры или программы, где в инструкции прямо написан Port Triggering – триггер портов; для приставки Xbox/PlayStation или игры без ручной настройки – сначала пробуйте UPnP; DMZ оставляйте как крайний вариант для теста.

Важное условие: белый IP и двойной NAT

Перед тем как настраивать Port Triggering, проброс портов, UPnP или DMZ, нужно понять одну неприятную вещь. Все эти функции нормально помогают только тогда, когда ваш роутер действительно имеет доступный внешний IP-адрес. Если провайдер выдает серый IP или использует CG-NAT, входящие подключения из интернета могут вообще не доходить до вашего роутера. В таком случае вы можете идеально настроить все правила, но снаружи порт все равно будет закрыт.

Проверить это можно так: зайдите в настройки роутера и посмотрите WAN IP. Потом откройте любой сайт проверки IP-адреса и сравните адреса. Если они разные, есть большая вероятность, что вы сидите за NAT провайдера. Также серые адреса часто начинаются с диапазонов 10.x.x.x, 100.64.x.x, 172.16-31.x.x или 192.168.x.x на WAN-интерфейсе. Если видите такое на WAN, обычный проброс снаружи может не заработать.

Если у вас серый IP, варианты такие: заказать у провайдера белый IP, использовать VPN с пробросом портов, облачные функции устройства или специальные сервисы удаленного доступа. Это особенно важно для камер, NAS, игровых серверов и удаленного подключения к компьютеру. Более подробно про белый и серый IP можно почитать тут.

Есть еще двойной NAT внутри квартиры. Например, оптический терминал провайдера уже работает как роутер, а за ним вы поставили свой второй роутер. Тогда входящее подключение сначала упирается в терминал, а только потом во второй роутер. В такой схеме правило нужно настраивать на обоих устройствах: сначала с терминала на второй роутер, потом со второго роутера на компьютер или камеру. Либо переводить первый терминал в режим моста, если провайдер это разрешает.

Про DMZ и UPnP

Давайте еще пройдемся по соседним разделам, чтобы вы имели полное представление о переадресации. Про виртуальный сервер я уже рассказал, а также чем он отличается от «Port Triggering».

Если перейти в подраздел «DMZ», то мы увидим, что тут кроме как указания IP-адреса ничего особенного нет. DMZ в домашних роутерах чаще всего означает не настоящую демилитаризованную зону, как в корпоративных сетях, а режим «DMZ-host». Проще говоря, роутер начинает отправлять почти все входящие запросы из интернета на одно выбранное устройство внутри локальной сети.

Представим себе, что вы подключили сервер к роутеру. К этому серверу вы хотите подключаться из интернета. Например, это игровой сервер. Да, можно прописать конкретные правила для проброса портов. Но что, если вы не знаете точные порты, программа использует много диапазонов, или нужно быстро проверить, блокирует ли роутер входящие подключения? В таком случае некоторые временно включают DMZ на нужный IP.

DMZ не стоит держать включенным постоянно без необходимости. Устройство в DMZ становится намного более открытым для запросов из интернета. Если на компьютере есть уязвимая служба, старый Windows, слабый пароль или отключен файрволл, риск резко растет. Лучше использовать точечный проброс нужных портов, а DMZ включать только для диагностики или хорошо защищенного устройства.

В таком случае можно прописать IP-адрес сервера тут. Тогда этот сервер станет полностью открытым и станет «типа» публичным. Более детально про DMZ можно почитать тут.

UPnP – это функция, которая автоматически открывает и закрывает порты без вашего участия. Здесь можно посмотреть список текущих настроек. Этим часто пользуются игровые приставки, игры, торрент-клиенты, медиасерверы и некоторые программы для связи. Удобство в том, что не нужно вручную искать порты и создавать правила. Минус в том, что любое приложение внутри вашей сети теоретически может попросить роутер открыть порт.

Отключать UPnP или нет – зависит от вашей ситуации. Если у вас дома игровая приставка, несколько игр и нет желания вручную настраивать порты, UPnP может сильно упростить жизнь. Если у вас офисная сеть, много неизвестных устройств или повышенные требования к безопасности, UPnP лучше выключить и открывать только то, что реально нужно. Для обычного домашнего пользователя я бы сначала оставил UPnP включенным, но периодически смотрел список открытых правил.

Более подробно про UPnP можете почитать тут.

Как понять, что именно мне нужно настроить?

Сейчас коротко дам практическую схему, чтобы вы не путались в похожих функциях. Если вы просто сидите в интернете, смотрите фильмы, играете на официальных серверах и пользуетесь мессенджерами, скорее всего, ничего открывать не нужно. Роутер сам справится через NAT и таблицу соединений. Настройка портов нужна только тогда, когда конкретная программа пишет про NAT, закрытые порты, недоступный сервер или невозможность принять входящее соединение.

• Нужно открыть доступ к IP-камере из интернета – используйте обычный проброс портов или облачный сервис камеры.
• Нужно запустить сервер игры у себя на ПК – используйте проброс портов на конкретный IP компьютера.
• Игра или старая программа просит настроить Trigger Port и Incoming Ports – используйте Port Triggering.
• Игровая приставка показывает строгий NAT – сначала попробуйте UPnP, потом уже ручные правила.
• Не знаете точные порты и хотите проверить, виноват ли роутер – можно временно попробовать DMZ, но потом выключить.
• Порт не открывается вообще – проверьте белый IP, двойной NAT и файрволл Windows.

Не открывайте порты «на всякий случай». Каждый открытый порт – это потенциальная дверь в вашу сеть. Если вы не используете правило, выключите его. Если не знаете, зачем программа просит открыть порт, сначала найдите ее официальную инструкцию. Особенно осторожно относитесь к удаленному рабочему столу, старым камерам, NAS и неизвестным сервисам.

Пример настройки Port Triggering

Допустим, у нас есть старая игра или программа, в инструкции к которой написано: исходящий порт 4000, входящие порты 5000-5010, протокол UDP. Тогда в разделе Port Triggering мы создаем правило примерно такого вида:

• Trigger Port – 4000.
• Trigger Protocol – UDP.
• Incoming Ports – 5000-5010.
• Incoming Protocol – UDP.
• Status – Enabled.

После этого правило не будет работать постоянно. Сначала компьютер должен сам обратиться наружу на порт 4000. Роутер увидит этот исходящий запрос и временно откроет входящие порты 5000-5010 для этого компьютера. Когда активность закончится, роутер через некоторое время закроет эти порты. Время жизни такого правила зависит от модели и прошивки роутера.

Если программа использует TCP и UDP одновременно, в протоколе можно выбрать «ALL» или создать отдельные правила, если прошивка не дает выбрать оба варианта сразу. Если правило не работает, проверьте, правильно ли указаны входящие и исходящие порты. Очень частая ошибка – пользователь меняет местами Trigger Port и Incoming Ports, а потом удивляется, почему ничего не открывается.

Что делать, если Port Triggering не работает?

Если вы все настроили, но приложение продолжает ругаться на закрытые порты, проверьте следующие моменты:

• У вас должен быть белый внешний IP, если нужно принимать подключения из интернета.
• Если перед вашим роутером стоит еще один модем-роутер, проверьте двойной NAT.
• Убедитесь, что программа действительно делает исходящий запрос на Trigger Port.
• Проверьте, не перепутаны ли TCP и UDP.
• Проверьте файрволл Windows или антивирусный файрволл на компьютере.
• Если два устройства одновременно используют одно и то же триггерное правило, попробуйте оставить одно устройство.
• Обновите прошивку роутера, если настройка работает нестабильно.
• Попробуйте вместо Port Triggering обычный Port Forwarding, если приложению нужен постоянный входящий порт.

На Windows дополнительно проверьте брандмауэр: «Пуск» – «Безопасность Windows» – «Брандмауэр и защита сети» – «Разрешить работу с приложением через брандмауэр». Если нужной программы нет в списке, добавьте ее или создайте входящее правило для нужного порта. Бывает, что роутер уже все пропускает, а сам компьютер блокирует подключение.

А что с IPv6?

В IPv6 ситуация отличается от привычного IPv4 с NAT. Устройство может получить глобальный IPv6-адрес, и тогда классический NAT может вообще не использоваться. Но это не значит, что все устройства автоматически открыты для интернета. На роутере и в операционной системе все равно работает файрволл, который блокирует лишние входящие подключения.

Port Triggering чаще всего относится именно к IPv4 и NAT-сценариям. Если у вас сеть работает по IPv6, то вместо проброса портов может потребоваться настройка IPv6 Firewall или разрешающее правило для конкретного устройства и порта. Интерфейс зависит от модели роутера. Если вы не используете IPv6 осознанно, лучше не открывайте в нем входящие правила без понимания.

Если у вас программа не работает через IPv4 из-за серого IP, наличие IPv6 иногда может помочь, но только если провайдер выдает нормальный IPv6, устройство его получает, а удаленный клиент тоже может подключаться по IPv6. На практике для новичка проще сначала разобраться с белым IPv4, NAT и обычным пробросом портов.

FAQ по Port Triggering

Port Triggering и проброс портов – это одно и то же?
Нет. Проброс портов постоянно отправляет внешний порт на конкретный локальный IP-адрес. Port Triggering временно открывает входящие порты после исходящего подключения на триггерный порт. Для серверов, камер и NAS чаще нужен обычный проброс. Для некоторых старых игр и программ может подойти Port Triggering.

Почему в Port Triggering нет IP-адреса устройства?
Потому что роутер сам определяет устройство по исходящему запросу. Кто первым обратился наружу на Trigger Port, для того и будут временно открыты Incoming Ports. Это удобно, когда устройство заранее неизвестно, но неудобно, если нужно постоянное правило для конкретного компьютера.

 

Можно ли использовать Port Triggering для IP-камеры?
Обычно нет смысла. Камера чаще всего ждет входящие подключения и сама не делает нужный исходящий «триггер» перед каждым подключением. Для камеры лучше использовать обычный проброс портов, облачное приложение производителя, VPN или белый IP с безопасной настройкой.

 

Что безопаснее: Port Triggering или Port Forwarding?
Port Triggering обычно безопаснее постоянного проброса, потому что порты открываются временно и только после исходящей активности. Но он подходит не для всех задач. Если нужен постоянный доступ к серверу, придется использовать Port Forwarding, но делать это аккуратно: открывать только нужные порты, обновлять устройство и ставить надежные пароли.

 

Нужно ли включать UPnP?
Для домашней сети с игровыми приставками и обычными играми UPnP часто удобно. Для офиса или сети с повышенными требованиями безопасности его лучше выключить и открывать порты вручную. Я бы не включал UPnP там, где есть много неизвестных устройств или где важно строго контролировать входящие подключения.

 

Почему порт закрыт, хотя я все настроил?
Самые частые причины: серый IP у провайдера, двойной NAT, неправильный протокол TCP/UDP, не тот локальный IP, блокировка брандмауэром Windows или приложение вообще не слушает этот порт. Также проверяйте порт только тогда, когда программа запущена. Если сервис не работает на компьютере, проверка порта может показывать «закрыто», даже если правило на роутере создано правильно.

 

Можно ли открывать все порты через DMZ?
Можно, но я не советую держать DMZ включенным постоянно. Это рискованнее, чем открыть один нужный порт. DMZ лучше использовать временно для диагностики: если через DMZ все заработало, значит проблема была в правилах проброса или NAT. После проверки лучше выключить DMZ и настроить точечные правила.