Что делать, если не работает переадресация портов?
Важно
При настройке переадресации портов необходимо наличие белого публичного IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе роутера используется серый IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.
Для проверки работоспособности переадресации портов вы можете обратиться к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. в Кинетике по умолчанию в сегменте "Домашняя сеть" включен механизм обратной трансляции адресов (NAT loopback).
Сервис или приложение, на которое осуществляется переадресация портов, должно быть запущено, чтобы при проверке порт виделся как "
открытый
". Например, если FTP-сервер не запущен, а правило NAT для переадресации порта имеется, статус порта при проверке будет "закрыт
".
Подсказка
Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ru, http://portscaner.ru/ и др.
Или утилитой Nmap, предназначенной для разнообразного настраиваемого сканирования IP-сетей.
Ниже указаны типовые причины, которые могут привести к неработоспособности переадресации портов, несмотря на правильную настройку правила.
В правиле переадресации портов неправильно выбран входящий интерфейс. В поле "Вход" нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется удаленный доступ к устройству домашней сети.
В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение. При подключении к Интернету через USB-модем 3G/4G следует указать именно это подключение, а при подключении через WISP, выберите подключение с названием сети, к которой подключается Keenetic.
На компьютере используется сетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите это приложжение и проверьте работоспособность переадресации портов.
Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас IP-адрес отличный, от того который используется на WAN-интерфейсе Keenetic, в этом случае переадресация портов работать не будет.
Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам. Например, могут осуществлять фильтрацию по
21/FTP
,80/HTTP
,25/POP3
,1723/PPTP
и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта
21
у провайдера на FTP-сервере можно использовать порт2121
).Если же нет возможности изменить номер порта сервиса, можно в Keenetic в правиле переадресации портов использовать подмену порта (маппинг порта). Дополнительную информацию вы найдете в статье "Переадресация портов".
В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию
192.168.1.1
). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.6. Некоторые особенности проброса портов для игровых приставок Xbox и PS4 представлены в статье: "Использование Xbox и PS4 при подключении через Keenetic".
В операционной системе KeeneticOS логика работы NAT реализована в соответствии с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В этом случае в интерфейсе командной строки (CLI) интернет-центра попробуйте выполнить команды:
ip nat udp-port-preserve system configuration save
При переадресации
53-го порта
на внутренний DNS-сервер необходимо учитывать, что при наличии компонентов группы Интернет-фильтры, происходит SNAT переадресованных пакетов, так что адресом источника становится ip-адрес Keenetic в домашней сети. Из-за этого могут не синхронизироваться зоны DNS. Поэтому при использовании собственного DNS-сервера в домашней сети Keenetic рекомендуется удалить компоненты группы Интернет-фильтры или изменить номер порта.Если указанные выше рекомендации не помогут и по какой-то причине переадресация портов так и не будет работать, вы можете обратиться в нашу службу поддержки help@keenetic.ru, приложив файл self-test. Информацию о том, как это сделать, можно найти в статье "Сохранение файла системы self-test".
Подсказка
В интернет-центре Keenetic имеется возможность организовывать доступ к интернет-центру при наличии серого частного IP-адреса на внешнем WAN-интерфейсе роутера. KeenDNS — это удобный сервис доменных имен для удаленного доступа. C помощью этого сервиса можно решить 2 задачи:
Удаленный доступ к веб-интерфейсу интернет-центра. Информацию вы найдете в статье "Сервис доменных имен KeenDNS";
Удаленный доступ к ресурсам (сервисам) домашней сети или интернет-центра. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре. Этот вариант рассмотрен в статье "Пример удаленного доступа к ресурсам домашней сети через KeenDNS".