Проброс Портов Для Vpn Сервера • Настройка клиента

Служба синхронизации времени использует порт 123 для соединения с сервером, поэтому необходимо разрешить доступ: Чтобы все машины подсети клиента, речь идёт о Windows машинах, могли ходить в туннель и видеть подсети за туннелем накидываем маршруты для этих подсетей на местный офисный роутер. Возможно для вашей задачи понадобится какой-то другой компонент, поэтому можете пробежать глазами по компонентам, если у вас не будет что-то работать.

Краткое предисловие

Не люблю наливать воды, но обычно пишу к своим статьям такие краткие введения – тупо для того, чтобы мы понимали, что и для чего это делаем. Если не хочется читать – смело пропускаем и идем по инструкции дальше.

А теперь очень мало теории – для чего это все нужно делать? Разбираем типичную домашнюю ситуацию:

• У вас дома есть роутер
• Все устройства через него выходят в интернет
• Вы создаете сервер игры или программы на свое компьютере
• Ваш друг Вася из своего дома хочет подключиться к этому серверу
• Он набирает ваш внешний IP адрес, но ничего не получается

Объяснение – Вася обращается по внешнему IP адресу к вашему роутеру, на котором не запущен сервер игры. А сервер запущен на компьютере, который расположен для Васи ЗА роутером. Т.е. нужно сделать так, чтобы по определенным порта наш роутер переадресовывал часть внешних запросов на компьютер и отдавал ответ обратно.

Т.е. через проброс мы создаем переадресацию по заданному порту на нужное устройство в локальной сети через роутер при внешнем обращении.

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

В настройках виртуального сервера обязательно нужно указать номер внешнего порта и статичный IP-адрес компьютера или другого сетевого устройства. Если у вас не выходит разобраться в проблеме, пишите мне!

Проброс портов на роутере: как пробросить порты и что это такое?

Инструкция

Внимание! Основная идея проброса одинакова для любой модели TP-Link. Но сами интерфейсы настройки, адреса входа, а тем более логины и пароли для доступа к настройщику могут различаться. Я лишь даю основную идею на своем роутере, а вы уже смотрите на нашем сайте готовые инструкции по входу в настройки в случае возникновения каких-то вопросов.

Для начала определимся, что и куда мы будем перенаправлять:

• Нужно узнать IP адрес компьютера или ноутбука, на котором мы будем запускать сервер игры
• Нужно уточнить порт нашей программы или сервера
• Далее заходим в настройки роутера
• Задаем правило переадресации

Шаг 1 – Локальный IP

На этом шаге узнаем IP адрес нашего компьютера. Способов его узнать – выше крыши. Если у вас есть свой – используем. Я лишь попытаюсь показать вам его абсолютно для любой Windows. Если вы делаете проброс на другую операционную систему или даже телефон – просто немного погуглите этот вопрос или задайте его в комментариях.

А я показываю как узнать свой IP на «десятки» (для «семерки» аналогично):

Шаг 2 – Порт

Определить какой порт нужно прокидывать – навскидку и не скажешь точной инструкции. Некоторые программы и игры наверняка показывают свой порт, некоторые серверы даже позволяют его выставлять, а некоторые, напротив, прячут глубоко и их можно разыскать только на каких-то форумах. Если доступно выставление порта – ставим и запоминаем, если не знаете – гуглите. Тут просто так не поможешь.

Для примера в нашем случае будем пробрасывать порт – 4444.

Шаг 3 – Вход в настройки роутера

Здесь не все так однозначно. Обычная процедура входа для TP-Link:

Если не можете войти – ищите инструкцию на нашем сайте под свою конкретную модель. У нас запасены таковые почти под каждое устройство, а чего нет, регулярно добавляем. Как итог вы должны попасть на базовую страницу веб-конфигуратора своего маршрутизатора:

Шаг 4 – Пробрасываем порт

Теперь делаем сам проброс. Интерфейсы могут различаться, но текст обычно такой:

Пусть $FAKE_PORT — обманный порт на внешнем интерфейсе шлюза, подключившись к которому мы должны попасть на адрес $LAN_IP и порт $SRV_PORT . — Начальный IP-адрес Start IP Address начальное значение диапазона адресного пространства, из которого DHCP-сервер будет раздавать IP-адреса;. Перед тем, как пробрасывать порт, нам нужно выделить адресное пространство в своей домашней сети, которое мы сможем задействовать для наших сетевых сервисов, к которым необходимо получить доступ из интернета.

Проброс портов

На шлюз приходит пакет, который мы должны перенаправить на нужный сервер в локальной сети перед принятием решения о маршрутизации, то есть — в цепочке PREROUTING таблицы nat.

Рассмотрим пример

Если входящий пакет пришёл извне на шлюз (1.2.3.4), но предназначен веб-серверу (порт 80), то адрес назначения подменяется на локальный адрес 192.168.1.50. И впоследствии маршрутизатор передаст пакет в локальную сеть.

Дальше принимается решение о маршрутизации. В результате пакет пойдёт по цепочке FORWARD таблицы filter, поэтому в неё надо добавить разрешающее правило. Оно может выглядеть, например, так:

Рассмотрим пример

Пропустить пакет, который пришёл на внешний интерфейс, уходит с внутреннего интерфейса и предназначен веб-серверу (192.168.1.50:80) локальной сети.

С одной стороны, этих двух правил уже достаточно для того, чтобы любые клиенты за пределами локальной сети успешно подключались к внутреннему серверу. С другой — а что будет, если попытается подключиться клиент из локальной сети? Подключение просто не состоится: стороны не поймут друг друга.

Допустим, 192.168.1.31 — ip-адрес клиента внутри локальной сети.

1. Пользователь вводит в адресную строку браузера адрес example.com;
2. Сервер обращается к DNS и разрешает имя example.com в адрес 1.2.3.4;
3. Маршрутизатор понимает, что это внешний адрес и отправляет пакет на шлюз;
4. Шлюз, в соответствии с нашим правилом, подменяет в пакете адрес 1.2.3.4 на 192.168.1.50, после чего отправляет пакет серверу;
5. Веб-сервер видит, что клиент находится в этой же локальной сети (обратный адрес пакета — 192.168.1.31) и пытается передать данные напрямую клиенту, в обход шлюза;
6. Клиент игнорирует ответ, потому что он приходит не с 1.2.3.4, а с 192.168.1.50;
7. Клиент и сервер ждут, но связи и обмена данными нет.

Первый — разграничивать обращения к серверу изнутри и извне, для этого создать на локальном DNS-сервере А-запись для example.com указывающую на 192.168.1.50

Второй — с помощью того же iptables заменить обратный адрес пакета.
Правило должно быть добавлено после принятия решения о маршрутизации и перед непосредственной отсылкой пакета. То есть — в цепочке POSTROUTING таблицы nat.

Рассмотрим пример

Если пакет предназначен веб-серверу, то обратный адрес клиента заменяется на внутренний адрес шлюза.
Этим мы гарантируем, что ответный пакет пойдёт через шлюз.

Надо дополнительно отметить, что это правило важно только для внутренних клиентов. Ответ внешним клиентам пойдёт через шлюз в любом случае.

Но, пока что, для нормальной работы этого недостаточно. Предположим, что в качестве клиента выступает сам шлюз.
В соответствии с нашими предыдущими правилами он будет гонять трафик от себя к себе и представлять исходящие пакеты транзитными.

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

Если все сделано правильно, после перезагрузки ПК адрес остается неизменным, а с пробросом портов на роутере не будет проблем. Если у вас не выходит разобраться в проблеме, пишите мне!

Как выполнить проброс портов на маршрутизаторе