Всем привет! Сегодня мы поговорим про DMZ: что это в роутере, для чего функция нужна и как ее настроить на разных маршрутизаторах. Чтобы не грузить вас тяжелыми понятиями, я лучше расскажу на примере – так будет проще понять. Представим себе, что у вас дома есть камера видеонаблюдения, которая подключена к сети маршрутизатора. Аналогично к ней же подключены все компьютеры, ноутбуки и другие сетевые устройства из дома.
Введение
Теперь представим, что вы хотите уехать в отпуск и при этом из интернета иметь доступ к камере, чтобы следить за тем, что происходит у вас в квартире или доме. Конечно, для этого можно пробросить порт в настройках маршрутизатора, и чаще всего для веб-доступа используют 80 или 8080, хотя на практике устройство может работать и через другие порты – например, 554, 8000, 8899 и так далее. Но что делать, если вы точно не знаете, какой именно входящий порт нужен приложению, регистратору или камере, или устройство использует сразу несколько портов?
Вот тут как раз и вспоминают про DMZ. Но я сразу дам важное уточнение: в домашних роутерах это почти всегда не «настоящая» демилитаризованная зона, как в корпоративных сетях, а режим DMZ-host. Проще говоря, роутер начинает отправлять почти весь входящий трафик из интернета на одно выбранное устройство в локальной сети. Это удобно, когда нужно быстро дать доступ к одному хосту извне, но по безопасности это заметно рискованнее обычного проброса портов. Поэтому для одной камеры или одного сервера я бы сначала попробовал обычный проброс портов на роутере, а уже потом переходил к DMZ.
В таком случае можно попробовать поиграть с настройками Firewall, но можно сделать куда проще и настроить DMZ в роутере. Тогда в DMZ-host добавляется IP-адрес камеры, и она становится доступной из интернета. При этом остальная локальная сеть автоматически наружу не открывается, но сам хост в DMZ получает весь неразобранный входящий трафик с WAN-стороны. Если такое устройство взломают, оно уже может стать точкой входа для атаки на остальные устройства дома, поэтому включать эту функцию «на всякий случай» точно не стоит.
На практике DMZ чаще используют не только для камеры, но и для видеорегистратора, домашнего сервера, игровой приставки, VPN-сервера или второго роутера, который стоит за роутером провайдера. Но тут важно понимать логику: DMZ не чинит все подряд. Если у вас у провайдера серый адрес, если сервис не слушает нужный порт, если на самом устройстве включен свой фаервол и он режет входящие подключения – DMZ это не исправит. Она лишь убирает часть ограничений на стороне самого домашнего роутера.
Я думаю, теперь куда понятнее, что такое DMZ хост в роутере. Но тут есть важная поправка: DMZ или DeMilitarized Zone в обычном домашнем маршрутизаторе – это, как правило, не отдельный выделенный участок сети, а правило переадресации почти всего входящего трафика на один локальный IP-адрес. Не нужно путать данную функцию с гостевой сетью, потому что гостевая сеть изолирует клиентов внутри дома, а DMZ, наоборот, делает выбранное устройство максимально доступным извне. Также для такого хоста обычно становятся доступны почти все входящие порты, которые не заняты другими правилами самого роутера. Поэтому такие устройства должны сами отвечать за безопасность: как минимум задайте сложный пароль, отключите стандартные учетные записи, обновите прошивку и по возможности включите HTTPS или доступ только через фирменное приложение производителя камеры.
Далее я расскажу про настройку демилитаризованной зоны в домашних роутерах. Если у вас будут какие-то вопросы, то пишите в комментариях.
Настройка
Прежде чем приступить к настройке DMZ, скажу несколько моментов. В домашних маршрутизаторах нет полноценной возможности создать классическую демилитаризованную зону, так как данные аппараты для этого не предназначены. Да, подобная настройка есть, но чаще всего она просто делает открытыми входящие порты для одного конкретного устройства внутри сети. Для дома этого обычно хватает. Например, если вам нужно иметь доступ сразу к нескольким камерам, то удобнее и безопаснее подключить их к видеорегистратору, а наружу уже публиковать только сам регистратор. Более подробно по теме камер можете почитать в отдельной инструкции про подключение IP-камеры через роутер.
Все настройки делаются в Web-интерфейсе, куда можно попасть, введя IP или DNS-адрес интернет-центра в адресную строку любого браузера. Чаще всего используются адреса: 192.168.1.1 или 192.168.0.1. Также этот адрес можно посмотреть на этикетке под корпусом самого аппарата.
Если у вас возникнут трудности со входом – смотрите эту инструкцию.
ВНИМАНИЕ! Также для доступа извне вам нужно, чтобы у вас был «белый» IP-адрес. Если вы не знаете, что это, то советую почитать эту статью.
Тут же добавлю важную практику. Если у провайдера у вас не белый, а серый адрес, DMZ и обычный проброс портов снаружи работать не будут – входящее подключение просто не дойдет до вашего роутера. Чаще всего о CGNAT говорит WAN-адрес роутера из диапазонов 10.x.x.x, 192.168.x.x, 172.16.x.x – 172.31.x.x или 100.64.x.x – 100.127.x.x. В таком случае нужно либо заказывать у провайдера внешний адрес, либо использовать облачный сервис производителя, либо настраивать VPN/туннель через внешний сервер. Если адрес у вас внешний, но динамический и меняется, тогда удобно сразу включить DDNS, чтобы не запоминать новый IP после каждого переподключения.
Еще один момент, о который многие спотыкаются: устройству в DMZ лучше заранее закрепить постоянный локальный IP. Иначе сегодня камера получит 192.168.0.50, завтра – 192.168.0.73, а правило останется указывать на старый адрес и все «сломается» без видимой причины. На Windows локальный адрес можно посмотреть командой “ipconfig”, на Linux – “ip addr”, а на Android и iPhone – в свойствах текущей Wi-Fi сети. Но вручную прописывать адрес на самом устройстве я советую только если вы понимаете, что делаете. Для большинства домашних сценариев безопаснее использовать DHCP Reservation или «Постоянный IP-адрес» в самом роутере.
Важно: после включения DMZ проверяйте доступ не из той же самой домашней сети, а через мобильный интернет или другую внешнюю сеть. Иначе можно запутаться: снаружи сервис уже работает, а из дома по внешнему адресу он не открывается из-за отключенного NAT Loopback. Это не всегда признак неправильной настройки DMZ – иногда это просто особенность прошивки роутера.
Если у вас дома стоит схема «роутер провайдера -> ваш роутер», то иногда проблема вообще не в DMZ на вашем аппарате, а в двойном NAT. В такой ситуации внешний трафик сначала упирается в устройство провайдера, и только потом доходит до вашего роутера. Тогда нужно либо переводить провайдерский терминал в мост, либо на первом устройстве делать DMZ на второй роутер, либо настраивать проброс на обоих устройствах. Именно поэтому перед долгим поиском ошибки полезно посмотреть WAN-адрес вашего роутера и сравнить его с адресом, который виден из интернета.
TP-Link
Функция находится в разделе «Переадресация».
«Дополнительные настройки» – «NAT переадресация» – «DMZ». Находим функцию, включаем, вводим IP-адрес устройства и сохраняем параметры. Если хотите, чтобы правило не слетело после переподключения, перед этим лучше закрепить адрес в разделе LAN/DHCP Reservation или «Резервирование адресов».
На роутерах TP-Link DMZ обычно используется именно как «открыть все входящие порты для одного устройства». Это удобно, когда приложение само выбирает порты или когда вы временно тестируете доступ извне. Но для постоянной работы сервера или камеры я бы все же советовал после проверки вернуться к точечному пробросу нужных портов. Так безопаснее, да и потом проще понять, что именно у вас опубликовано наружу.
D-Link
Внизу выбираем «Расширенные настройки» и находим нашу функцию в разделе «Межсетевой экран» или «Firewall and DMZ».
Сервис находим в разделе «Межсетевой экран».
Включаем функцию и вводим адрес устройства. Вы, кстати, можете выбрать адрес из списка уже подключенных клиентов. В конце нажмите «Применить». В некоторых моделях рядом можно увидеть функцию «NAT Loopback» – это не DMZ и не «ускоритель», а возможность обращаться к локальному устройству по его внешнему IP-адресу или доменному имени из той же домашней сети. Если эта опция отключена, бывает так, что камера отлично открывается с мобильного интернета, но не открывается дома по внешнему адресу – и люди ошибочно думают, что DMZ не работает.
Zyxel Keenetic
Прежде чем добавить подключенное устройство, вам нужно его зарегистрировать. Зайдите в раздел «Список устройств», там вы увидите два списка: «Незарегистрированные» и «Зарегистрированные» устройства. Для регистрации устройства нажмите по нужному аппарату.
Введите имя и нажмите на кнопку регистрации.
После этого данное устройство появится в списке «Зарегистрированных» – найдите его там и опять зайдите в настройки. Вам нужно установить галочку «Постоянный IP-адрес».
Заходим в «Переадресацию» и создаем правило:
- Ставим галочку «Включить правило».
- Описание – для удобства назовите «DMZ».
- Вход – здесь нужно указать то подключение, через которое у вас идет интернет.
- Выход – здесь указываем имя устройства, которое вы и добавляете в DMZ.
- Протокол – устанавливаем параметр «TCP/UDP (все порты и ICMP)».
- Расписание работы – тут можно установить режим работы, но чаще всего сервер «Работает постоянно».
В разделе «Домашняя сеть» (имеет значок двух мониторов) переходим во вкладку «Устройства» и выбираем из списка тот аппарат, который у нас будет DMZ-host. Если устройство не подключено, вы можете его добавить – правда, при этом вам нужно точно знать его MAC-адрес.
Вводим описание и обязательно ставим галочку «Постоянный IP-адрес». Также в строке «Доступ в Интернет» должно стоять значение «Разрешен». Нажимаем «Зарегистрировать».
Теперь переходим в раздел «Безопасность» и на вкладке «Трансляция сетевых адресов (NAT)» нажимаем по кнопке «Добавить правило».
Теперь нужно ввести следующие данные:
- Описание – назовите как «DMZ», чтобы не перепутать, но название на самом деле может быть любым.
- Интерфейс – здесь нужно выбрать именно то подключение, через которое у вас идет интернет. Эти данные можно посмотреть в разделе «Интернет».
- Протокол – здесь ставим только одно значение: TCP/UDP (все порты и ICMP).
- Перенаправить на адрес – тут выбираем наш сервер.
Нажимаем по кнопке «Сохранить».
В Keenetic подход к DMZ мне нравится тем, что он сразу подталкивает зарегистрировать устройство и закрепить за ним постоянный адрес. Для домашней сети это реально полезно: меньше шансов забыть, на какой IP указывает правило через месяц. Если после настройки снаружи ничего не открывается, первым делом проверьте не сам роутер, а доступность сервиса на выбранном устройстве внутри локальной сети. Например, если это RDP на Windows, он должен открываться по локальному адресу еще до публикации наружу.
ASUS
На роутерах ASUS нужная функция обычно находится не в разделе «Интернет», а в разделе «WAN» – «DMZ». Включаем функцию, вводим IP-адрес хоста и в конце нажимаем «Применить». Перед этим желательно закрепить устройству постоянный адрес через DHCP Server или ручное назначение в списке клиентов, чтобы после перезагрузки правило не указывало на другой локальный IP.
У ASUS есть и обычный «Виртуальный сервер/Port Forwarding», и именно его я бы рассматривал как основной вариант для постоянного доступа к одной службе. DMZ тут оставляйте для случаев, когда нужно быстро открыть все входящие подключения на один хост или когда приложение использует непредсказуемые порты. И не забывайте, что включенный DMZ не заменяет пароль на устройстве – если снаружи торчит веб-интерфейс камеры или NAS, защищать его все равно придется на самом устройстве.
Netis
Нужная нам функция находится в разделе «Переадресация». Далее включаем хост, вводим IP и сохраняем настройки. Если в вашей модели нет отдельного пункта DMZ на главной странице раздела, поищите его рядом с Virtual Server или Port Triggering – у Netis логика меню часто очень похожая.
Tenda
Заходим в «Расширенные настройки» и находим конфигурацию хоста.
Переводим бегунок во включенное состояние и вводим последнюю цифру локальной машины, для которой все порты будут открыты. В старых интерфейсах Tenda действительно может указываться только последний октет IP-адреса, потому что первые три части сеть уже берет из своих LAN-настроек.
Находим вкладку «Advanced».
Пролистываем до раздела «DMZ Host», включаем (Enabled) и вводим адрес.
На Tenda после включения DMZ я советую сразу проверить две вещи: не меняется ли локальный адрес нужного устройства и не блокирует ли само устройство входящее соединение. Например, на Windows часто мешает встроенный брандмауэр, а на камерах – отдельная галочка удаленного доступа в их собственном меню. То есть сам роутер уже «открыл проход», а конечное устройство по факту все равно никого не пускает.
LinkSys
На старых моделях конфигуратор по открытию всех портов часто находится в разделе «Application & Gaming», а на более новых – в «Security» или «DMZ». Включаем функцию (Enabled). Здесь настройки немного отличаются от других аппаратов. В строке «Source IP Address» можно установить диапазон внешних адресов, которые будут иметь доступ к выделенному устройству в сети. Чаще всего указывается параметр «Any IP Address» (все IP-адреса), но для лучшей безопасности при возможности лучше ограничить источник конкретным внешним адресом или диапазоном.
Для конфигурации в строке «Destination» указываем IP- или MAC-адрес устройства. Вы также можете посмотреть все подключенные аппараты, нажав на кнопку «DHCP Client Table» или открыв список клиентов в интерфейсе роутера. После настройки нажмите на «Save Settings».
Что проверить, если DMZ не работает
Если после всех настроек доступа извне нет, не спешите сразу заново сбрасывать роутер. Сначала проверьте, открывается ли нужный сервис внутри локальной сети по внутреннему IP. Если у вас камера, попробуйте зайти на нее с телефона, подключенного к домашнему Wi-Fi. Если это ПК на Windows, убедитесь, что нужная служба реально запущена, а порт слушается. Если изнутри сети уже ничего не работает, проблема точно не в DMZ.
Дальше проверьте WAN-адрес роутера. Если он серый, входящие подключения снаружи не дойдут. После этого убедитесь, что правило DMZ указывает на актуальный IP-адрес, а не на старый адрес устройства. Еще одна частая ошибка – тестировать внешний доступ из той же домашней сети. Для чистой проверки отключите Wi-Fi на смартфоне и попробуйте открыть сервис через мобильный интернет. Если с мобильной сети все заработало, а из дома по внешнему адресу нет – значит, дело может быть в NAT Loopback, а не в поломке настройки.
И последнее: смотрите на безопасность самого устройства в DMZ. Для камеры, NAS, мини-сервера или компьютера обязательно обновите прошивку или систему, смените стандартный логин и пароль, отключите ненужные сервисы и по возможности оставьте наружу только то, что реально используется. На текущий день для постоянного удаленного доступа я все чаще советую не DMZ, а VPN или фирменное облако устройства. DMZ хороша как инструмент для диагностики и для отдельных нестандартных случаев, но держать в ней обычный домашний компьютер постоянно я бы точно не стал.
FAQ
Можно ли держать в DMZ обычный домашний компьютер?
Технически – да, но я бы так не делал без реальной необходимости. Когда ПК оказывается в DMZ, на него начинает приходить почти весь входящий трафик из интернета. Если у вас слабый пароль, старые службы или отключены обновления, риски заметно растут. Для игр, удаленного рабочего стола или одной конкретной службы почти всегда безопаснее открыть только нужные порты.
DMZ лучше, чем проброс портов?
Нет, это не «улучшенная» версия проброса портов. Скорее наоборот: DMZ – это грубый и быстрый способ отдать весь входящий трафик одному устройству. Она полезна, когда вы не знаете точный набор портов или временно проверяете работу сервиса. Но для постоянной настройки я бы начинал именно с адресного проброса нужных портов.
Почему с мобильного интернета устройство открывается, а из дома по внешнему адресу – нет?
Обычно причина в NAT Loopback или hairpin NAT. То есть снаружи все уже работает, а вот сам роутер не умеет корректно завернуть ваш запрос обратно внутрь сети по внешнему IP или доменному имени. В такой ситуации проверьте доступ из другой сети, используйте локальный адрес внутри дома или ищите в прошивке опцию NAT Loopback.
Спасибо огромное. Все настроилось. Очень сильно радуюсь
Короче, есть у меня сосед и мы с ним пилим интернет. Вот эта функция очень помогает в таких ситуациях – ни он ко мне не лезет , я к нему спокойно как админ. ПОльзуйтесь!
настроил а теперь ничгео вообще не работает!!!((( Поменял уже 3 роутера, а эта штука все равно не выключается.
А где найти IP адрес камеры? Я купил ее на АЛИ. Роутер NETIS
Да не угадать. И у netis много роутеров, и камер много, и даже на АЛИ. Суть – смотреть конкретно по своим моделям.