Как пробросить порты на роутере Keenetic: 4 простых шага

Всем привет! Сегодня я расскажу вам про проброс портов на роутере Keenetic и версии ZyXEL Keenetic. Я постарался описать все как можно подробнее, если у вас будут возникать какие-то вопросы при прочтении, то пишите в комментариях. Если вы не знаете, что такое порты, то читаем эту статью.

ПРИМЕЧАНИЕ! Инструкции подходят для большинства моделей ZyXEL Keenetic и Keenetic: OMNI 2, VIVA, GIGA, 4G, Lite, Start, Air, Extra, Duo, Speedster, Ultra и другие. Но названия разделов могут немного отличаться в зависимости от версии прошивки. Логика везде одна: сначала закрепляем устройство в домашней сети, потом создаем правило переадресации порта.

Сразу уточню важную вещь. На старых устройствах чаще встречается название ZyXEL Keenetic, а новые модели обычно идут уже просто как Keenetic. Это не ошибка: брендовая история менялась, но для обычного пользователя смысл настройки остался тем же. Если у вас в меню другие названия пунктов, ищите похожие разделы: «Домашняя сеть», «Список устройств», «Переадресация портов», «NAT», «Безопасность», «Сетевые правила». В этой статье я оставляю старые и новые варианты интерфейса, чтобы не потерялись владельцы разных моделей.

Проброс портов нужен не всегда. Если вы просто открываете сайты, играете на чужих серверах, смотрите YouTube или пользуетесь мессенджерами, ничего пробрасывать не нужно. Проброс нужен тогда, когда к вашему устройству должны подключаться извне: к игровому серверу, камере, NAS, веб-серверу, FTP, RDP или другому сервису внутри домашней сети.

ШАГ 1: Вход в настройки роутера

Все настройки мы будем производить через обычный Web-интерфейс, куда можно попасть с обычного браузера. Вы можете делать настройки с любого устройства – будь это компьютер, ноутбук, телефон или даже телевизор. Но удобнее всего делать это с компьютера или ноутбука, который подключен к роутеру по кабелю или Wi-Fi. Откройте браузер и в адресную строку впишите один из предложенных адресов (или перейдите по ссылкам):

• 192.168.1.1
• my.keenetic.net

Далее вам нужно будет вписать логин и пароль. На старых моделях и старых прошивках могли встречаться стандартные варианты вроде admin/admin или admin/1234. На новых прошивках пароль администратора обычно задается при первичной настройке, поэтому универсальной пары «логин-пароль» уже может не быть. Всю информацию по входу в админку маршрутизатора можно подсмотреть на этикетке, которая находится на нижней части аппарата, или вспомнить пароль, который вы задавали при первой настройке.

Если адрес 192.168.1.1 не открывается, это еще не значит, что роутер сломан. У некоторых Keenetic в вашей сети может быть другой адрес, например 192.168.0.1 или 192.168.2.1, особенно если устройство работает не главным роутером, а точкой доступа или усилителем. В Windows можно нажать Win + R, ввести cmd, выполнить команду ipconfig и посмотреть строку «Основной шлюз». Именно этот адрес чаще всего и будет адресом вашего роутера. Если не знаете, как зайти в настройки, у нас есть отдельная подробная инструкция: как зайти в настройки роутера.

Как открыть порты в роутере ZyXEL Keenetic? Далее мы и будем этим заниматься, но прежде чем мы начнем, давайте будем правильно использовать это понятие. На маршрутизаторе все же не открывают, а именно пробрасывают (переадресовывают или перенаправляют) порты. Роутеру сами эти порты не нужны, а их используют конечные приложения или даже устройства, которые находятся в локальной сети. Интернет-центр в этом плане выступает неким проливом, через который идет трафик. Открывают же порты уже на конечном устройстве. Например, на компьютере – об этом я также расскажу чуть ниже. Надеюсь, с этим понятием мы разобрались.

Простыми словами: если порт закрыт на компьютере, роутер его не спасет. Если порт открыт на компьютере, но не проброшен на роутере, из интернета до него тоже не достучаться. Если порт проброшен, но провайдер выдал серый IP, подключение снаружи опять может не заработать. Поэтому настройка обычно состоит из трех частей: устройство внутри сети имеет постоянный локальный IP, на роутере есть правило переадресации, а на самом устройстве запущена программа и разрешено входящее подключение.

ШАГ 2: Проверка белого IP и условий для проброса

Перед UPnP и ручными правилами я бы сначала проверил внешний IP. Это самый частый камень преткновения. Классический проброс портов работает только тогда, когда ваш роутер имеет доступный из интернета белый IP-адрес на внешнем интерфейсе. Если провайдер выдал серый адрес или использует CG-NAT, обычный проброс порта на домашнем роутере не откроет доступ из интернета.

Проверка простая. В настройках Keenetic откройте страницу подключения к интернету и посмотрите IP-адрес, который получил роутер на WAN-интерфейсе. Потом зайдите на любой сайт проверки внешнего IP и сравните адрес. Если адрес на сайте и адрес в роутере совпадают, шанс на рабочий проброс есть. Если отличаются, или на WAN у роутера адрес начинается на 10.x.x.x, 172.16-31.x.x, 192.168.x.x или 100.64-127.x.x, скорее всего вы за NAT провайдера.

При сером IP ручной проброс портов может быть настроен идеально, но снаружи он все равно не заработает. Варианты решения: заказать у провайдера белый IP, использовать VPN с пробросом портов, настроить KeenDNS в подходящем режиме для веб-доступа или применить другой способ удаленного подключения.

ШАГ 3: Проверка или включение UPnP (Universal Plug and Play)

Для начала давайте разберем понятие UPnP на примере. Вообще по умолчанию на роутерах, в том числе на ZyXEL Keenetic, входящие подключения из интернета контролируются межсетевым экраном и NAT. Это сделано для безопасности в локальной сети. Технология UPnP позволяет автоматически делать проброс порта через роутер при запуске программ на компьютере, телефоне или даже телевизоре.

Например, запустили вы Torrent на компьютере. На роутере автоматически идет проброс этого порта. Когда вы программу закрываете, то порт и проброс закрываются. Аналогично это касается некоторых программ, игр, приставок и приложений, которые умеют работать с UPnP. По сути UPnP помогает приложениям самим попросить роутер открыть нужный входящий порт без ручной настройки.

Но UPnP – это палка о двух концах. С одной стороны, удобно: не нужно вручную искать порт, выбирать TCP или UDP и создавать правило. С другой стороны, любое приложение в вашей локальной сети при включенном UPnP потенциально может попросить роутер открыть входящий порт. Для домашней сети это часто приемлемо, особенно если вам нужны игры, торренты или приставка, но на «боевых» сетях и в офисах я бы включал UPnP только осознанно. Если вы настраиваете камеру, сервер или удаленный рабочий стол, ручное правило обычно понятнее и безопаснее.

Прежде чем мы приступим, еще пару слов. Иногда даже при включенной функции UPnP некоторые программы могут не работать. А возможно, вам нужно пробросить порты для работы отдельных устройств, например, для работы выделенного сервера или для доступа к камере видеонаблюдения. В таком случае проброс нужно делать вручную, а это описано в следующем шаге. В любом случае вам нужно проверить, что данная функция включена, поэтому не пропускайте этот шаг.

Новая прошивка

В меню выберите раздел «Общие настройки» и далее выберите «Изменить набор компонентов». Убедитесь, что служба включена и установлена.

В новых версиях интерфейса Keenetic компоненты могут называться чуть иначе, но смысл тот же: нужно, чтобы в системе был установлен компонент UPnP. После установки компонента проверьте настройки приложений, ради которых вы включаете UPnP. Например, в торрент-клиенте или игре может быть отдельная галочка «Использовать UPnP» или «Автоматически открывать порт». Если сама программа не просит роутер открыть порт, один только установленный компонент ничего не сделает.

Старая прошивка

1. Кликните по шестеренке.

2. Перейдите на вкладку «Обновление» и в списке найдите нашу службу. Если она включена, то рядом будет стоять галочка, а состояние будет в режиме «Установлен».

3. Если вы хотите включить функцию, то включите галочку, а если хотите выключить, то уберите.

4. Для того чтобы изменения вступили в силу, нужно нажать на кнопку установки в самом низу.

ШАГ 4: Проброс портов

Для начала вам нужно выяснить, какой именно порт, а также протокол использует ваша программа или устройство. Список разных популярных портов можно посмотреть в PDF-файлике ниже.

Не открывайте порт «наугад». У одной программы может быть TCP, у другой UDP, у третьей сразу оба протокола. Например, для удаленного рабочего стола Windows обычно используется TCP 3389, для FTP – TCP 21, а игровые серверы часто любят UDP или сразу несколько портов. Если в инструкции к программе написано «TCP/UDP», на Keenetic обычно создают два отдельных правила: одно для TCP, второе для UDP. Если указан диапазон, например 27015-27020, выбираем диапазон, а не один порт.

Не пробрасывайте наружу все порты сразу и не используйте DMZ просто потому, что «так быстрее». Это резко снижает безопасность устройства в локальной сети. Если нужно открыть один сервис, открывайте только его порт и только на конкретное устройство.

Новая прошивка

В качестве примера я буду настраивать проброс порта для компьютера – для работы с удаленным рабочим столом из-под Windows. Для этого используется порт 3389 протокола TCP.

1. В разделе «Мои сети и Wi-Fi» нажмите на «Список устройств».

2. Вам нужно произвести регистрацию аппарата, на который вы будете пробрасывать порт. Просто нажмите по нему.

3. Для начала просто вводим название и кликаем по кнопке регистрации.

4. Этот аппарат появился в списке ниже, опять жмем по нему.

5. Установите галочку, как на картинке ниже, чтобы устройство всегда имело один IP-адрес. Далее ниже в разделе «Переадресация портов» кликаем «Добавить правило».

Закрепление IP-адреса – очень важный момент. Сегодня компьютер может получить от роутера адрес 192.168.1.35, а завтра после перезагрузки – 192.168.1.41. Если правило проброса осталось на старый адрес, входящие подключения уйдут не туда. Поэтому перед созданием правила всегда регистрируем устройство и включаем постоянный IP. Это особенно важно для камер, NAS, серверов и компьютеров, к которым вы планируете подключаться из интернета.

6. А теперь пройдемся по всем важным пунктам:

• Описание – вводим любое понятное вам название.
• Вход – тут указываем то подключение, которое вы используете для интернета. Указываем именно то, которое вы создавали в самом начале при первой настройке интернет-центра.
• Выход – указываем наше зарегистрированное устройство, на которое будет идти проброс портов.
• Протокол – указываем TCP или UDP. Если вам нужно создать правило сразу для двух протоколов, то придется создавать две отдельные настройки.
• Тип правила – указываем один порт или диапазон, а ниже вводим значение.
• Порт назначения – используется для подмены порта. Например, снаружи можно открыть 8080, а внутри направить на 80.

7. Сохраняем правило.

Про «порт назначения» еще раз простыми словами. Допустим, внутри локальной сети у камеры веб-интерфейс работает на 80 порту. Но снаружи вы не хотите использовать 80, или этот порт уже занят. Тогда внешний порт можно указать 8080, а порт назначения – 80. В итоге из интернета вы обращаетесь к внешнему адресу с портом 8080, а Keenetic перенаправляет запрос на 80 порт камеры внутри сети.

Старая прошивка

Я покажу пример проброса для подключения к FTP-серверу. То есть внутри локальной сети к роутеру еще будет подключен системный блок, на котором будет расположен FTP. Для этого будет использоваться 21 порт с протоколом TCP.

1. Для начала нам нужно зарегистрировать устройство, которое подключено к сети – это нужно для того, чтобы этому аппарату выдавался постоянный IP-адрес. Нажмите по значку «Домашняя сеть».

2. На вкладке «Устройства» нажимаем по нашему аппарату. Устанавливаем галочку «Постоянный IP-адрес». Можно также ввести название. Кликаем «Применить».

3. Нажимаем по значку щита.

4. На первой вкладке «NAT» нажимаем по кнопке добавления правила.

5. А теперь давайте пройдемся по всем пунктам:

• Выключить – можно включать и выключать проброс в любое время.
• Рабочее расписание – задаете расписание включенного или выключенного проброса.
• Описание – сюда можно вводить все что пожелаете, но лучше указать понятное название.
• Интерфейс – это то подключение, через которое у вас течет интернет. Его можно посмотреть в разделе «Интернет» (значок планетки), на вкладке «Подключения». Для PPPoE используется свое подключение. Для динамического IP – «Broadband connection (ISP)».
• Протокол – можно выбрать из списка, как сделал это я. Или указать порт вручную, для этого выберите тип «TCP» или «UDP». После этого ниже в поле «Открыть» выбираем или диапазон портов, или конкретный вход.
• Перенаправлять на адрес – указываем зарегистрированное наше устройство.
• Новый номер порта назначения – используется для подмены портов. Часто используется при маппинге. Например, при использовании внешнего порта 2121 можно перенаправлять его на внутренний 21. Нам он в примере не нужен, но на практике функция полезная.

ПРИМЕЧАНИЕ! Если вам нужно открыть какой-то порт для TCP и UDP протоколов, то нужно создавать два правила.

6. Сохраняем правило. В моем случае нужно также включить компонент («Система» – «Обновление»), который работает с FTP. Возможно, для вашей задачи понадобится какой-то другой компонент, поэтому можете пробежать глазами по компонентам, если у вас не будет что-то работать.

ШАГ 5: Открытие портов на компьютере с ОС Windows

Если вы пробрасывали порты для определенной программы или приложения, то на Windows вам нужно их открыть – по этому поводу есть детальная инструкция тут.

Это очень частая ошибка: на Keenetic правило создано, внешний IP белый, все вроде правильно, но программа на компьютере все равно недоступна. А причина банальная – порт блокирует брандмауэр Windows или сама программа не слушает этот порт. Для проверки на Windows можно открыть командную строку от имени администратора и выполнить команду netstat -aon. Если нужного порта в состоянии LISTENING нет, значит приложение не запущено или слушает другой порт.

Для проверки снаружи используйте мобильный интернет на телефоне или сторонний онлайн-сервис проверки портов. Из той же домашней Wi-Fi сети проверка может быть некорректной, потому что не все роутеры одинаково хорошо обрабатывают обращение к своему внешнему адресу изнутри локальной сети.

Решение проблем с удаленным доступом

Если вы делали проброс на ваш компьютер для определенного приложения, то больше ничего делать не нужно. Если же вы делали проброс для доступа к серверу, компьютеру, камере видеонаблюдения, то вам нужно еще зайти на эти устройства. И тут встает несколько проблем.

Скорее всего, ваш провайдер постоянно меняет вам внешний IP-адрес, то есть он является динамическим. Это значит, что в какой-то момент IP поменяется, и доступ к выделенному устройству оборвется. В таком случае вам поможет DDNS (или динамический DNS).

Но DDNS можно использовать только, если ваш провайдер использует динамический белый IP. Если же ваш провайдер использует серый IP, то классический проброс портов через внешний адрес не сработает. На Keenetic в некоторых сценариях может помочь служба KeenDNS, но важно понимать ее ограничения. В облачном режиме KeenDNS хорошо подходит для доступа к веб-интерфейсам по HTTP/HTTPS, например к панели роутера, камеры или домашнего веб-сервера. Для RDP, FTP, RTSP, Telnet и других не веб-протоколов облачный режим KeenDNS может не подойти.

Если нужен именно удаленный рабочий стол Windows, я бы не советовал просто открывать 3389 порт в интернет без дополнительной защиты. Этот порт активно сканируют, и слабый пароль быстро станет проблемой. Безопаснее использовать VPN, ограничение доступа по IP, нестандартный внешний порт или другие защитные меры. Для камеры видеонаблюдения ситуация похожая: лучше не выставлять старую камеру напрямую в интернет, если у нее слабая прошивка, старый пароль и нет нормальных обновлений.

Есть еще одна проблема, с которой вы можете столкнуться. Например, если вы пытаетесь пробросить какой-то порт, а он уже используется. В таком случае не обязательно сразу использовать DMZ. Чаще помогает подмена порта: внешний порт ставим один, а внутренний порт назначения оставляем тем, который нужен устройству. Например, снаружи используем 8081, а внутрь перенаправляем на 80. DMZ стоит применять только в крайнем случае, когда вы точно понимаете риски.

Все эти темы уже описаны в отдельных статьях:

• Что такое серый и белый IP.
• Что такое DDNS и как его настроить.
• Что такое DMZ и как его настроить

Короткая проверка: почему порт не открылся?

Если после всех действий порт все равно закрыт, я бы шел по чек-листу, а не начинал хаотично менять все настройки подряд.

• Проверьте, что на WAN-интерфейсе Keenetic белый IP, а не серый адрес провайдера.
• Проверьте, что устройство зарегистрировано в домашней сети и имеет постоянный локальный IP.
• Убедитесь, что выбрали правильный интернет-интерфейс в правиле NAT.
• Проверьте протокол: TCP и UDP – это разные правила.
• Проверьте, что нужная программа или сервис действительно запущены на конечном устройстве.
• Откройте порт в брандмауэре Windows или в защите самого устройства.
• Проверьте порт снаружи – через мобильный интернет или внешний сервис, а не из той же домашней сети.
• Уточните у провайдера, не блокирует ли он входящие подключения на нужном порту.

Некоторые провайдеры могут фильтровать популярные входящие порты, например 21, 25, 80 или другие. В таком случае можно попробовать внешний порт с другим номером и перенаправить его на нужный внутренний порт. Например, снаружи 2121, внутри 21 для FTP.

FAQ для новичков

Чем отличается открытие порта от проброса порта? Открытие порта обычно делают на конечном устройстве, например в брандмауэре Windows. Проброс порта делают на роутере, чтобы входящий трафик из интернета попал на нужный компьютер, камеру или сервер внутри локальной сети.

 

Нужно ли включать UPnP? Если вам нужно быстро помочь играм, торрентам или приставке, UPnP может быть удобен. Если настраиваете постоянный доступ к серверу, камере или удаленному рабочему столу, лучше создать ручное правило и понимать, какой порт открыт.

 

Почему порт закрыт, хотя правило на роутере есть? Причин много: серый IP у провайдера, неправильный протокол, не тот локальный IP, программа не запущена, порт закрыт на компьютере, провайдер блокирует входящий трафик или вы проверяете порт из той же домашней сети.

 

Можно ли пробросить один и тот же внешний порт на два устройства? Нет, один внешний порт на одном внешнем IP нельзя одновременно отправить на два разных устройства. Используйте разные внешние порты: например, 8081 на первую камеру и 8082 на вторую, а внутри обе могут работать на 80 порту.

 

Когда использовать DMZ? Только в крайнем случае и лучше временно для диагностики. DMZ пробрасывает на устройство слишком много входящего трафика, поэтому устройство должно быть хорошо защищено. Для обычной задачи безопаснее открыть один конкретный порт.

Если у вас еще остались вопросы, или я что-то не написал, то смело пишите в комментариях, я или кто-то из моей команды обязательно вам поможет. Всем добра!

Видео

YouTube