Skip to main content

Руководство пользователя

Что делать, если не работает переадресация портов?

Важно

  • При настройке переадресации портов необходимо наличие "белого" публичного IP-адреса на WAN-интерфейсе роутера, через который осуществляется подключение к Интернету. Если же на WAN-интерфейсе роутера используется "серый" частный IP-адрес, проброс портов работать не будет.

  • Для проверки работоспособности переадресации портов вы можете обратиться к WAN-интерфейсу роутера из Интернета. Также это можно сделать из локальной сети, т.к. в Кинетике по умолчанию в сегменте "Домашняя сеть" включен механизм обратной трансляции адресов (NAT loopback).

  • Сервис или приложение, на которое осуществляется переадресация портов, должно быть запущено, чтобы при проверке порт виделся как "открытый". Например, если FTP-сервер не запущен, а правило NAT для переадресации порта имеется, статус порта при проверке будет "закрыт".

Подсказка

Вы можете воспользоваться специальными интернет-сервисами, предназначенными для проверки открытости портов. Например: https://dnschecker.org/port-scanner.php, https://portchecker.co/ и др.

Или утилитой Nmap, предназначенной для разнообразного настраиваемого сканирования IP-сетей.

Ниже указаны типовые причины, которые могут привести к неработоспособности переадресации портов, несмотря на правильную настройку правила.

  1. В правиле переадресации портов неправильно выбран входящий интерфейс. В поле "Вход" нужно выбрать именно тот интерфейс, через который роутер получает доступ в Интернет и через который планируется удаленный доступ к устройству домашней сети.

    В большинстве случаев следует выбирать интерфейс "Провайдер". Если у вас подключение к Интернету осуществляется через PPPoE, PPTP или L2TP, нужно выбрать соответствующее подключение. При подключении к Интернету через USB-модем 3G/4G следует указать именно это подключение, а при подключении через WISP, выберите подключение с названием сети, к которой подключается интернет-центр.

  2. На компьютере используется сетевой экран (брандмауэр, Firewall) или специальное ПО для защиты в Интернете. Временно отключите это приложение и проверьте работоспособность переадресации портов.

  3. Некоторые провайдеры в своей сети используют "скрытый NAT". Нужно убедиться, что вы выходите в Интернет именно с тем IP-адресом, который вам выдал провайдер и который используется на WAN-интерфейсе Keenetic. Иногда возникают ситуации, когда провайдер предоставляет клиенту публичный IP-адрес, но на деле в Интернет он выходит с другим IP-адресом. Обратитесь к интернет-сервису myip.rumyip.com (или другим подобным). Если сервис определил у вас IP-адрес отличный, от того который используется на WAN-интерфейсе Keenetic, в этом случае переадресация портов работать не будет.

  4. Некоторые провайдеры осуществляют фильтрацию входящего трафика пользователей по стандартным протоколам и портам. Например, могут осуществлять фильтрацию по 21/FTP80/HTTP25/POP31723/PPTP и другим портам). В связи с этим необходимо точно знать, осуществляет ли провайдер блокировку трафика по каким-то портам.

    Если существует такая возможность, можно попробовать изменить номер порта и вручную задать другой номер, который не будет заблокирован провайдером (например, при блокировке порта 21 у провайдера на FTP-сервере можно использовать порт 2121).

    Если же нет возможности изменить номер порта сервиса, можно в роутере в правиле переадресации портов использовать подмену порта (маппинг порта). Дополнительную информацию вы найдете в статье "Переадресация портов".

  5. В сетевых настройках хоста, на который осуществляется проброс портов, необходимо, чтобы IP-адрес шлюза по умолчанию был равен локальному IP-адресу роутера Keenetic (по умолчанию 192.168.1.1). Это актуально, если на хосте вы указываете вручную сетевые настройки подключения. Если же хост является DHCP-клиентом, т.е. получает автоматически IP-адрес, маску подсети, шлюз по умолчанию и DNS-адреса, в этом случае шлюз по умолчанию будет равен локальному IP-адресу роутера Keenetic.

  6. 6. Некоторые особенности проброса портов для игровых приставок Xbox и PS4 представлены в статье: "Использование Xbox и PS4 при подключении через Keenetic".

  7. В операционной системе KeeneticOS логика работы NAT реализована в соответствии с документом RFC 4787 "Network Address Translation (NAT) Behavioral Requirements for Unicast UDP". В частности, по умолчанию UDP-порт источника при прохождении NAT изменяется на произвольный, отличный от исходного. Это может вызвать проблемы с прохождением UDP-трафика через NAT у некоторых провайдеров, не знающих о данном RFC. В этом случае в интерфейсе командной строки (CLI) роутера попробуйте выполнить команды:

    ip nat udp-port-preserve
system configuration save

    Предупреждение

    Начиная с версии KeeneticOS 3.5 команда ip nat udp-port-preserve была удалена, и данная настройка выполняется по умолчанию, поэтому указанная команда актуальна только для версий от 2.08 до 3.4.12.

  8. При переадресации 53-го порта на внутренний DNS-сервер необходимо учитывать, что при наличии компонентов группы Интернет-фильтры, происходит SNAT переадресованных пакетов, так что адресом источника становится IP-адрес Keenetic в домашней сети. Из-за этого могут не синхронизироваться зоны DNS. Поэтому при использовании собственного DNS-сервера в домашней сети Keenetic рекомендуется удалить компоненты группы Интернет-фильтры или изменить номер порта.

  9. Если указанные выше рекомендации не помогут и по какой-то причине переадресация портов так и не будет работать, вы можете обратиться в нашу службу поддержки help@keenetic.ru, приложив файл self-test.txt с роутера. Информацию о том, как это сделать, можно найти в статье "Сохранение файла системы self-test".

Подсказка

В Keenetic имеется возможность организовывать доступ к интернет-центру при наличии "серого" частного IP-адреса на внешнем WAN-интерфейсе роутера. KeenDNS — это удобный сервис доменных имен для удаленного доступа. C помощью этого сервиса можно решить 2 задачи:

  • Удаленный доступ к веб-интерфейсу интернет-центра. Информацию вы найдете в статье "Сервис доменных имен KeenDNS";

  • Удаленный доступ к ресурсам (сервисам) домашней сети или интернет-центра. Например, доступ к устройству с веб-интерфейсом — сетевому накопителю, веб-камере, серверу, или к интерфейсу торрент-клиента Transmission, работающего в роутере. Этот вариант рассмотрен в статье "Удаленный доступ к веб-сервисам домашней сети через KeenDNS".

В этом разделе: