Настройка удаленного доступа на роутере ZyXel
Поехали. Заходим на интерфейс роутера. На данный момент роутеры линейки Keenetic имеют следующий адрес для входа - my.keenetic.net, но старые версии прошивок могут не понимать, что вы от них хотите. В этом случае смотрим наклейку на роутере, где написан IP-адрес для входа на интерфейс. Если такой наклейки нет, то с помощью команды arp -a посмотрите корневой адрес сети.
В данном случае это 192.168.1.1, но подсеть может быть и другой. К слову, MAC-адрес указанный здесь будет отличным от того, который транслируется WAN-интерфейсом, ну это так, к слову.
Отлично, мы знаем адрес интерфейса роутера. Заходим туда.
Если роутер новый, то первым делом вам предложат задать пароль для входа. Пусть это будет дефолтный admin, потом вы в любое время сможете его поменять на какой-то другой. Причем сделать это следует в обязательном порядке, учитывая наличие удаленного доступа (даже в случае частичного - с конкретного IP-адреса или пула).
И вот мы на главной странице настроек. Если роутер был сброшен до дефолта, то вас сначала спросят, хотите ли вы воспользоваться мастером быстрой настройки или веб-конфигуратором. Выбирайте второе.
Далее нам нужен раздел Безопасность, где и будут происходить все дальнейшие манипуляции.
Начнем с самого простого. Заходим во вкладку Трансляция сетевых адресом (NAT).
На приведенном скриншоте правило уже создано, поэтому отдельно покажу, как оно создается:
Отмечу, что в примере для статьи адрес роутера 192.168.88.1!
В качестве интерфейса выбираем активное интернет соединение, в данном случае это дефолтный Broadband connection (ISP), действующим протоколом для соединения будет TCP/80, адрес перенаправления может быть другим, в случае если IP роутера, например 192.168.88.1 или какой-либо другой заданный пользователем. Номер порта выбираем по умолчанию 80.
В интерфейсе командной строки это будет выглядеть следующим образом:
<config>> ip static tcp ISP 80 192.168.88.1 80 /проброс порта 80/Особенностью данной настройки является то, что на WAN-порт роутера может стучаться любой IP-адрес. Это не всегда нужно и безопасно, особенно в случае, если у интерфейса остается стандартный заводской пароль вида admin/admin. Поэтому рассмотрим второй вариант.
В этом случае правило NAT создавать уже не нужно, достаточно создать правило для Межсетевого экрана Firewall в меню Безопасность => Межсетевой экран.
Здесь мы создаем правило для интерфейса ISP (активный интерфейс для подключения к сети).
В поле Действие мы ставим Разрешить, в поле же IP-адрес источника установите значение Один для доступа к интерфейсу только с одного указанного адреса или Подсеть, если требуется указать целую подсеть или пул IP-адресов. В конкретном примере мы указали определенный IP-адрес. В поле Протокол выбираем уже знакомый TCP/80, через который будет разрешен доступ на роутер. Номер порта назначения мы также оставляем по умолчанию со стандартным значением 80.
Для особых ценителей Зюхели приготовили сюрприз в виде протокола telnet. Правило будет выглядеть так:
Отличия от настроек удаленки на графический интерфейс в номере протокола и порта назначения, здесь мы выставляем не 80, а 23.
<config>ip static tcp ISP 23 192.168.88.1 23 /проброс порта 23/Бывают случаи, что провайдер (нас это не касается, но вдруг кому-то пригодится) блокирует стандартный 80-ый порт, поэтому в таком случае нужно выставить кастомный порт:
В интерфейсе командной строки это будет выглядеть следующим образом:
<config>ip static tcp ISP 8080 192.168.88.1 80 /перенаправление с порта 8080 на 80/Также иногда полезно иметь возможность пропинговать роутер, некоторые марки имеют такую возможность по умолчанию, но вот Зюхелям для этого требуется правило в настройках Межсетевого экрана Firewall. Идем в Безопасность => Межсетевой экран.
Это правило разрешает пинговать IP-адрес роутера из любого источника. Это не всегда безопасно, поэтому давайте подумаем прежде, чем делать это.
