Как пробросить порты на роутере ZyXEL Keenetic: 4 простых шага


Как пробросить порты на роутере ZyXEL Keenetic: 4 простых шага

Удаленное управление роутером может потребоваться каждому пользователю. К примеру, возникнет необходимость войти в маршрутизатор из другой подсети или из интернета. Может понадобиться просмотреть статистику, внести корректировки в настройки, поставить запрет на доступ или открыть его, при этом пребывая в другом населенном пункте. Для этого и существуют способы удаленного подключения к роутеру. Управлять через интернет можно любым устройством: D-Link, Huawei, Xiaomi, ZTE.

Введение

Известно, что интернет-центры серии Keenetic отличаются своей надёжностью и стабильностью работы. Но иногда необходимо удалённо, внести какие-то изменения в работу локальной сети, к примеру пробросить порты, или убедиться что интернет-центр находится в глобальной сети и отвечает на (ICMP Echo-Request) запросы по протоколу ICMP, в простонародье ping запросы. Для организации удалёного доступа к интернет-центру необходимо открыть внешний доступ к WEB интерфейсу по протоколу HTTP, а для получения (ICMP Echo-Reply) ответов, или ping ответов, необходимо разрешить отвечать на ping запросы. Как это сделать описанно ниже. Инструкция релевантна для всей серии Keenetic(ов) с микропрограммой второго поколения NDMS V2.
Для демонстрации, мы организовали локальную сеть с адресным пространством 192.168.1.1 — 192.168.1.254 на основе Zyxel Keenetic LIte 2 —
№1
. К данной сети подключили другой интернет-центр Zyxel Keenetic Lite 2 (ZYXEL KEENETIC LITE II)
№2
с внутренним адресным пространством 192.168.0.1 — 192.168.0.254. К Keenetic(y)
№2
мы и откроем внешний доступ и разрешим прохождение пинг запросов.

Zyxel Keenetic ping

Для начала, зайдем в Keenetic №2
и во вкладке Интернет/ Подключения/ Brodband connection присвоим ему статический IP 192.168.1.5. Маску подсети 255.255.255.0 и основной шлюз 192.168.1.1 Далее зайдём во вкладку Безопасность/ Межсетевой экран и создадим правило для интерфейса «Broadband connection (ISP)», так как мы подключены к Keentic(y)
№1
через этот интерфейс. Чтобы создать правило, необходимо нажать кнопку «добавить правило». Во всплывшем окне разрешить прохождение пакетов по протоколу ICMP Теперь перейдём в локальную сеть Keenetic(a)
№1
и пропингуем адрес
192.168.1.5
. Для этого запустим программу
cmd.exe
. В WIN7 нажать
WinKey+r
, в всплывшем окне введём
cmd.exe
и нажмём ввод. В появившемся чёрном окне введём команду
ping 192.168.1.5
. Утилита «ping» сообщает, что узел по данному адресу доступен и показывает время прохождения пакетов.

Zyxel Keenetic удалённый доступ

Открываем удалённый доступ. Заходим в WEB интерфейс Keenetic(а) №2
. Переходим во вкладку Безопасность/ Межсетевой экран. Выбираем закладку Трансляция сетевых адресов (NAT). Нажимаем кнопку «добавить правило». Во всплывшем окне выбираем:

  • Интерфейс:
    Broadband connection (ISP)
  • Протокол:
    TCP
  • Порты TCP/UDP:
    Один порт 8080
  • Перенаправить на адрес:
    192.168.0.1
  • Новый номер порта назначения:
    80

По сути, мы пробросили порты Keenetic(a) на самого себя в локальной сети.

Остаётся проверить, всё ли правильно работает. Перейдём в локальную сеть
№1
и в браузере наберём адрес https://192.168.1.5:8080.
8080
— это номер внешнего порта через который мы получим доступ ко внутреннему порту
80
. Выходит приглашение ввести логин и пароль, а это значит, что внешний доступ есть и мы всё сделали правильно.

You have no rights to post comments

Как настроить роутер

Перед тем как удаленно подключиться к роутеру, понадобится выполнить некоторые настройки устройства.

Чтобы попасть в веб-интерфейс прибора, нужно:

  • Открыть браузер и в адресной строке ввести IP-адрес маршрутизатора.
  • Когда перед вами откроется новое окно с полями для ввода данных, нужно вписать логин и пароль.

Последующие настройки будут зависеть непосредственно от того, разрешит ли пользователь подключение к роутеру с любого внешнего IP либо с конкретного адреса. К примеру, ваш маршрутизатор установлен дома, а вам необходимо получить доступ к параметрам с работы. Если адрес рабочего ПК статический (постоянный), значит, отдаем предпочтение второму способу. Если неизвестно, откуда именно будет выполняться подключение, лучше выбрать первый способ.

Настройка удаленного доступа на роутере ZyXel В» RouteWorld. Мир маршрутов. Наш мир.

Поехали. Заходим на интерфейс роутера. На данный момент роутеры линейки Keenetic

имеют следующий адрес для входа —
my.keenetic.net
, но старые версии прошивок могут не понимать, что вы от них хотите. В этом случае смотрим наклейку на роутере, где написан IP-адрес для входа на интерфейс. Если такой наклейки нет, то с помощью команды
arp -a
посмотрите корневой адрес сети.

В данном случае это 192.168.1.1

, но подсеть может быть и другой. К слову, MAC-адрес указанный здесь будет отличным от того, который транслируется WAN-интерфейсом, ну это так, к слову.Отлично, мы знаем адрес интерфейса роутера. Заходим туда.Если роутер новый, то первым делом вам предложат задать пароль для входа. Пусть это будет дефолтный
admin
, потом вы в любое время сможете его поменять на какой-то другой. Причем сделать это следует в обязательном порядке, учитывая наличие удаленного доступа (даже в случае частичного — с конкретного IP-адреса или пула).И вот мы на главной странице настроек. Если роутер был сброшен до дефолта, то вас сначала спросят, хотите ли вы воспользоваться мастером быстрой настройки или веб-конфигуратором. Выбирайте второе.

Далее нам нужен раздел Безопасность
, где и будут происходить все дальнейшие манипуляции.Начнем с самого простого. Заходим во вкладку
Трансляция сетевых адресом (NAT)
.

На приведенном скриншоте правило уже создано, поэтому отдельно покажу, как оно создается:

Отмечу, что в примере для статьи адрес роутера
192.168.88.1
! В качестве интерфейса выбираем активное интернет соединение, в данном случае это дефолтный
Broadband connection (ISP)
, действующим протоколом для соединения будет
TCP/80
, адрес перенаправления может быть другим, в случае если IP роутера, например
192.168.88.1
или какой-либо другой заданный пользователем. Номер порта выбираем по умолчанию
80
.В интерфейсе командной строки это будет выглядеть следующим образом:

Особенностью данной настройки является то, что на WAN-порт роутера может стучаться любой IP-адрес. Это не всегда нужно и безопасно, особенно в случае, если у интерфейса остается стандартный заводской пароль вида admin/admin. Поэтому рассмотрим второй вариант.В этом случае правило NAT

создавать уже не нужно, достаточно создать правило для
Межсетевого экрана Firewall
в меню
Безопасность => Межсетевой экран
.

Здесь мы создаем правило для интерфейса ISP
(активный интерфейс для подключения к сети).В поле
Действие
мы ставим
Разрешить
, в поле же
IP-адрес источника
установите значение
Один
для доступа к интерфейсу только с одного указанного адреса или
Подсеть
, если требуется указать целую подсеть или пул IP-адресов. В конкретном примере мы указали определенный IP-адрес. В поле
Протокол
выбираем уже знакомый
TCP/80
, через который будет разрешен доступ на роутер. Номер порта назначения мы также оставляем по умолчанию со стандартным значением
80
.Для особых ценителей Зюхели приготовили сюрприз в виде протокола
telnet
. Правило будет выглядеть так:

Отличия от настроек удаленки на графический интерфейс в номере протокола и порта назначения, здесь мы выставляем не 80, а
23
.

Настройка DyDNS — подмена IP адреса

Кроме фирменной службы, в Zyxel Keenetic предусмотрели и работу со сторонними давно существующими сервисами DDNS. В одной из них мы должны будем предварительно завести учетную запись, например в популярном no-ip — хотя, и он сейчас свободно предоставляет услуги только в демо-режиме.

Использование данного способа удаленного подключения к маршрутизатору будет работать только при наличии БЕЛОГО внешнего IP адреса.

DDNS сервисы в старой панели управления

Настройка подмены динамических адресов в черных руотерах Zyxel Keentic находится в меню «Интернет», вкладка «DyDNS». Здесь нам предлагается выбрать из списка одного из поставщиков услуг:

  • No-Ip
  • DNS-Master

Выбираем тот, где зарегистрировались и оплатили услуги. И вводим данные для подключения к нему — Доменное имя, Логин и Пароль. И также ставим галочку на «Определять мой IP автоматически».

Для применения настроек к своему интернет-подключению ставим флажок на «Broadband Connection» и жмем на кнопку «Применить настройки». После этого по указанному веб-адресу вы будете попадать в страницу входа в админку роутера.

Установка и настройка роутера

1. Требования первого пункта по IP адресу (либо «пробросу» портов) — сугубо организационные и решаются с домашним провайдером на стадии заключения договора подключения к сети Интернет. Если провайдер не предоставляет такой услуги, то описанными в этой статье способами получить доступ из интернета к роутеру и домашней локальной сети невозможно.

2. Подробно установка системы opkg (в том числе и ssh сервера dropbear) описана в статье «Установка системы opkg.» Сервер dropbear может быть запущен не только на порту по умолчанию (порт 22), но и на любом другом. Чтобы изменить порт по умолчанию (22), прослушиваемый сервером dropbear на нужный порт (например 45017), через PuTTy по ssh заходим на роутер и любым удобным способом корректируем файл /media/DISK_A1/system/etc/init.d/S10dropbear . Строка запуска dropbear в секции «start» должна выглядеть так:

Чтобы изменения вступили в силу — перегружаем роутер. После перезагрузки роутер будет доступен из домашней сети по установленному порту 45017 (не забудьте откорректировать свойства соединения в PuTTy ). Для еще бОльшей защиты и удобства возможно настроить авторизацию по приватным ключам.

3. Для настройки доступа из интернета к роутеру по ssh протоколу добавляем в автозапуск следующие строки:

Первое правило позволяет роутеру принимать входящие соединения по порту 45017, второе правило необходимо для нормального хождения пакетов внутри роутера между интерфейсами. В «автозапуск» их можно добавить двумя способами:

Второй способ является бОлее правильным. Главное отличие между ними:

Чтобы изменения вступили в силу — необходимо перегрузить роутер.

На этом настройка Zyxel Keenetic/Keenetic Giga закончена, проверяем доступность роутера по ssh из интернета и переходим к настройке удаленной машины, с которой планируем подключаться к домашней сети.

Установка и настройка клиентского компьютера

Настройка доступа на Unix клиенте

4.1 Если на удаленном компе стоит *nix, то ssh туннель может быть установлен с помощью программы ssh из состава openssh. Использование:

«keenetic.zapto.org -p 45017» — внешнее доменное имя (IP адрес) роутера и порт, на котором запущен dropbear. Следующая часть -L8890:192.168.1.39:80 -L8891:192.168.1.1:9091 означает, что после установки ssh соединения с роутером и до момента завершения этого соединения, локальный порт 8890 клиентского компьютера будет проброшен на 192.168.1.39:80 и локальный порт 8891 клиентского компьютера будет проброшен на 192.168.1.1:9091. При необходимости/желании иметь более продвинутые функции или GUI интерфейс — обратите внимание на программы:

Доступ через сервис KeenDNS.

Управление видеокамерой извне можно организовать по доменному имени четвертого уровня. Оно выглядит примерно так: camera.mymodem3.keenetic.pro. Здесь используется безопасный веб-протокол HTTPS. Для такого варианта подключения можно применить даже “серый” адрес, который в предыдущих вариантах не был использован в целях безопасности. Выберите в настройках роутера свободное имя KeenDNS и установите соединение с этой службой.

Следует добавить, что процедура подключения на самом деле намного проще, чем может показаться при чтении текста. Выполняйте последовательно перечисленные действия и работайте удаленно с полученным видео. Обычно производители видеокамер предлагают свое программное обеспечение для одновременного просмотра всех устройств.

Добавить комментарий Отменить ответ

Удаленный доступ через SSH к командной строке Keenetic

Начиная с версии операционной системы KeeneticOS 2.12 был добавлен сервер SSH (Secure Shell — безопасная оболочка ), с помощью которого можно безопасно подключаться к командной строке интернет-центра. Рассмотрим далее настройку интернет-центра для осуществления удаленного подключения к его интерфейсу командной строки (CLI).

Для работы сервера SSH нужно в интернет-центре предварительно установить компонент системы «Сервер SSH». Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

После установки компонента сервер SSH будет включен автоматически. Доступ к нему разрешен в локальных интерфейсах с уровнем безопасности private. Информацию об уровнях доступа, которые определяют уровень безопасности (логику работы сетевого экрана), вы найдете в статье: «Настройка правил межсетевого экрана из командного интерфейса».

Чтобы разрешить доступ из внешних сетей, нужно серверу SSH установить публичный уровень безопасности, выполнив в интерфейсе командной строки интернет-центра команды:

Чтобы избежать нежелательных попыток взлома со стороны ботов, случайных Black/Grey Hat хакеров, а также для случаев когда на стандартном порту уже работает SSH-сервер в OPKG-подсистеме, рекомендуется сменить стандартный порт сервера. Порт, на котором работает сервер, по умолчанию стандартный — с номером 22. Его можно поменять на один из неиспользуемых номеров (например, на 2022):

Теперь пользователи, имеющие право доступа к командной строке Keenetic, смогут обратиться из SSH-клиента на внешний IP-адрес интернет-центра по порту 2022 и получить доступ к его командной строке в зашифрованном безопасном канале.

Для сохранения настройки нужно выполнить команду:

Подключение к серверу SSH

Для подключения к Keenetic по протоколу SSH можно воспользоваться любой терминальной программой с поддержкой данного типа подключений. Например, бесплатным клиентом PuTTY.

Скачайте, установите и запустите на компьютере терминальный клиент PuTTY. В поле «Connection type» (Тип соединения) укажите тип подключения «SSH». Введите в поле «Host Name or IP address» (Имя хоста или IP-адрес) сетевое имя или IP-адрес устройства (локальный IP при подключении из домашней сети или публичный «белый» WAN IP при подключении из Интернета), а в поле «Port» (Порт) – номер порта, по которому будет осуществляться подключение (по умолчанию протокол SSH использует порт 22, в нашем примере используется порт 2022).

После нажатия кнопки «Open» (Соединиться) появится запрос логина и пароля для авторизации на устройстве. Введите данные учетной записи администратора. После успешного ввода логина и пароля администратора появится приглашение командной строки роутера.

Также легко установить SSH-подключение из дистрибутива ОС Linux. Например, для подключения клиента SSH, с именем пользователя admin, следует использовать команду:

Если ваши ключи скомпрометированы, сервер SSH может сгенерировать новые. Эта процедура происходит автоматически при установке компонента системы, но может также быть запущена по команде ip ssh keygen , где вместо

Если вы сменили ключи на сервере, то на клиенте, который их запомнил автоматически, следует выполнить очистку. В Linux-дистрибутивах для этого можно использовать приложение ssh-keygen с ключом -R (важен регистр, поскольку ключ -r служит для печати на экран хэш-значений сохраненных ключей):

TIP: Примечание

Начиная с версии KeeneticOS 2.11, незащищенные telnet-сессии управления интернет-центром через командную строку автоматически завершаются через 3 минуты неактивности пользователя. Значением этого таймаута можно управлять, но установить бесконечную продолжительность сессии нет возможности.

Для сессии SSH-подключения по умолчанию установлен таймаут 300 секунд (5 минут). При необходимости это значение можно увеличить. Данный параметр может принимать значение до 2 32 -1 секунд включительно.

Пользователи, считающие этот материал полезным: 13 из 15

Доступ к роутеру Zyxel Keenetic из интернета через KeenDNS

При использовании мы можем из интернета напрямую, без соединения с маршрутизатором, воспользоваться настроенным через него в сети и скачать нужные документы. А также просто войти в администраторскую панель и что-то скорректировать в конфигурациях WiFi.

Для его работы прежде всего нужно разрешить удаленное подключение к маршрутизатору Zyxel Keenetic

  1. Идем в рубрику «Система»
  2. Активируем «Доступ к веб-конфигуратору через Интернет»
  3. И сохраняемся кнопкой «Применить»

Настройка KeenDNS Zyxel для внешнего доступа

Начиная с прошивки версии NDMS v2.07.B2 в роутерах Zyxel Keenetic появился компонент для удаленного доступа к домашней сетью, который называется KeenDNS

. В нем используются преимущества технологий DDNS, благодаря чему у роутера Zyxel Keenetic появляется постоянный интернет-адрес и для удаленного доступа к нему теперь не нужен . К слову, до недавнего времени у Zyxel Keenetic не было собственного функционала по подмене динамических и серых IP адресов, как у или D-Link. Приходилось пользоваться уже существующими DDNS сервисами — о них речь пойдет в последней части статьи.

С его помощью мы получаем:

  • Удаленный вход в панель администратора к настройкам маршрутизатора
  • Доступ к ресурсам сети без ввода IP адреса — , дисковому накопителю, видеокамере и т.д.

Настройка KeenDNS на старой версии ПО Zyxel Keenetic

Для работы KeenDNS нужно убедиться, что данный модуль присутствует на роутере — проверить это или загрузить его можно в разделе «Система», где нужно открыть вкладку «Обновление» и нажать на кнопку «Показать компоненты»

Здесь должен присутствовать «Модуль управления маршрутизатором через облачную службу», если его нет, то попробуйте установить еще раз, иначе вы столкнетесь с проблемой, что KeenDNS не работает.

После его установки и активации соответствующий раздел «KeenDNS» появится в меню «Приложения».

Здесь нужно ввести желаемый адрес для нашего маршрутизатора, по которому он будет доступен из интернета, и нажать на «Проверить». Отобразится список доступных для регистрации имен.

Выбираем понравившееся и жмем все ту же кнопку — нас попросят включить облачную службу Zyxel — подтверждаем это.

И на следующем шаге выбираем режим работы KeenDNS:

  • Прямой доступ — для тех, у кого белый айпишник. Но при таком раскладе нам и так не нужен был бы никакой DDNS, поэтому этот пункт не для нас
  • Через облако — а вот это наш вариант — выбираем его и сохраняем.

KeenDNS в новой прошивке Keenetic

Теперь посмотрим, как настроить KeenDNS в обновленной микропрограмме в маршрутизаторах Keenetic. Находится он в разделе «Сетевые правила — Доменное имя». Тут просто придумываем свой адрес и жмем «Зарегистрировать»

На следующем шаге выбираем домен, по которому будет доступен наш роутер Keenetic. На выбор доступно два варианта:

  • keenetic.LINK
  • keenetic.PRO

Разницы никакой — берите, какой больше нравится. Обратите внимание, что он сразу будет защищен сертификатом SSL, чтобы ваши данные авторизации никуда не уплыли — очень классное решение.

И конце, так же, как и в старой админке, активируем подключение через облако и разрешаем доступ из Интернета

В добавок к этому чуть ниже можно открыть доступ к зарегистрированным устройствам локальной сети

Управление со смартфона

Через мобильное приложение Keenetic

Вдобавок к тому, что веб-интерфейс KeeneticOS прекрасно оптимизирован для экранов смартфонов, для мобильного управления одиночным интернет-центром, Wi-Fi-системой или территориально распределенными инсталляциями мы предлагаем удобное приложение для iOS и Android. Теперь интернет-центры можно подключать к мобильному управлению удаленно, семейные профили позволяют назначать правила доступа в интернет сразу для групп устройств, а облачная статистика поможет проанализировать трафик за большие периоды времени. О событиях и статусах вас известят пуш-уведомления.

Список интернет-центров теперь не привязан к конкретному мобильному телефону. Вся информация о ваших устройствах будет храниться в облаке, и при замене смартфона уже не потребуется заново их добавлять.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *