Skip to main content

Руководство пользователя

Что делать, если не работает переадресация портов?

Важно

  • При настройке переадресации портов необходимо наличие белого публичного IP-адреса на WAN-интерфейсе интернет-центра, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе роутера используется серый IP-адрес из частной подсети, проброс портов работать не будет. Например, в сети Yota используются IP-адреса из частной подсети.

  • Для проверки работоспособности переадресации портов вы можете обратиться к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. в Кинетике по умолчанию в сегменте "Домашняя сеть" включен механизм обратной трансляции адресов (NAT loopback).

  • Сервис или приложение, на которое осуществляется переадресация портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для переадресации порта имеется, статус порта при проверке будет "закрыт".

Подсказка

Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: http://portscan.ru,  http://portscaner.ru/ и др.

Или утилитой Nmap, предназначенной для разнообразного настраиваемого сканирования IP-сетей.

Ниже указаны типовые причины, которые могут привести к неработоспособности переадресации портов, несмотря на правильную настройку правила.

  1. В правиле переадресации портов неправильно выбран входящий интерфейс. В поле "Вход" нужно выбрать именно тот интерфейс, через который Keenetic получает доступ в Интернет и через который планируется удаленный доступ к устройству домашней сети.

    В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение. При подключении к Интернету через USB-модем 3G/4G следует указать именно это подключение, а при подключении через WISP, выберите подключение с названием сети, к которой подключается Keenetic.

  2. На компьютере используется сетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите это приложжение и проверьте работоспособность переадресации портов.

  3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.net. Если сервис определил у вас IP-адрес отличный, от того который используется на WAN-интерфейсе Keenetic, в этом случае переадресация портов работать не будет.

  4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам. Например, могут осуществлять фильтрацию по 21/FTP80/HTTP25/POP31723/PPTP и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.

    Если существует такая возможность, нужно изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).

    Если же нет возможности изменить номер порта сервиса, можно в Keenetic в правиле переадресации портов использовать подмену порта (маппинг порта). Дополнительную информацию вы найдете в статье "Переадресация портов".

  5. В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу интернет-центра Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу интернет-центра Keenetic.

  6. 6. Некоторые особенности проброса портов для игровых приставок Xbox и PS4 представлены в статье: "Использование Xbox и PS4 при подключении через Keenetic".

  7. В операционной системе KeeneticOS логика работы NAT реализована в соответствии с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В этом случае в интерфейсе командной строки (CLI) интернет-центра попробуйте выполнить команды:

    ip nat udp-port-preserve
    system configuration save
  8. При переадресации 53-го порта на внутренний DNS-сервер необходимо учитывать, что при наличии компонентов группы Интернет-фильтры, происходит SNAT переадресованных пакетов, так что адресом источника становится ip-адрес Keenetic в домашней сети. Из-за этого могут не синхронизироваться зоны DNS. Поэтому при использовании собственного DNS-сервера в домашней сети Keenetic рекомендуется удалить компоненты группы Интернет-фильтры или изменить номер порта.

  9. Если указанные выше рекомендации не помогут и по какой-то причине переадресация портов так и не будет работать, вы можете обратиться в нашу службу поддержки help@keenetic.ru, приложив файл self-test. Информацию о том, как это сделать, можно найти в статье "Сохранение файла системы self-test".

Подсказка

В интернет-центре Keenetic имеется возможность организовывать доступ к интернет-центру при наличии серого частного IP-адреса на внешнем WAN-интерфейсе роутера. KeenDNS — это удобный сервис доменных имен для удаленного доступа. C помощью этого сервиса можно решить 2 задачи:

  • Удаленный доступ к веб-интерфейсу интернет-центра. Информацию вы найдете в статье "Сервис доменных имен KeenDNS";

  • Удаленный доступ к ресурсам (сервисам) домашней сети или интернет-центра. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в интернет-центре. Этот вариант рассмотрен в статье "Пример удаленного доступа к ресурсам домашней сети через KeenDNS".