Решил выделить сей очерк в отдельную заметку, т.к открывать порты в штатном брандмауэре windows приходиться часто. В данном случае рассмотрим как нам открыть необходимые для работы VPN порты, под протокол L2TP и PPTP.
Напомню, для работы протокола PPTP необходим лишь один открытый порт 1723 (TCP) . Для работы протокола L2TP необходимы 2 открытых порта это 1701 (TCP) и 500 (UDP) .
У нас на самом деле 2 пути, это открыть порты через штатный интерфейс, либо через командную строку. Рассмотрим оба.
Открытие портов брандмауэра через интерфейс
Переходим в Пуск -> Выполнить -> WF.msc либо Пуск -> Администрирование -> Брандмауэр Windows в режиме повышенной безопасности.
Далее в нашем случае переходим в раздел Правила для входящих соединений . Видим список уже созданных, но нам надо создать свое правило. Для этого нажимаем в правом меню Создать правило..
На вкладке действия выбираем пункт Разрешить подключения
На вкладке Профиль оставляем так как есть, т.е все галочки. На последней вкладке в поле Имя вносим запись обзывающую наше новое правило. Допустим PPTP. Ну и в принципе все.
Тут на самом деле все быстрее и проще, но необходимо знать и немного понять конструкцию команды netsh. Запускаем командную строку от имени администратора. Как это сделать если вы вдруг не знаете можно посмотреть . Ну и набираем команду которая создаст правило «L2TP_TCP» открыв в фаерволе порт 1701 протокола TCP в входящих подключениях.
netsh advfirewall firewall add rule name=L2TP_TCP protocol=TCP localport=1701 action=allow dir=IN
Таким же образом строим конструкцию на добавление правила для 500 UDP порта.
netsh advfirewall firewall add rule name=L2TP_UDP protocol=UDP localport=500 action=allow dir=IN
При успешном выполнении команды вы увидите бодрое ОК.
Также незабываем, что для работы PPTP протокола необходимо открывать порт не только для управляющей сессии 1723 (TCP) но и необходимо разрешить работу GRE протоколу. Для этого есть команда:
netsh advfirewall firewall add rule name=All_GRE protocol=47 dir=in action=allow
Интернет - не только веб-сёрфинг. Онлайн-игры, пиринговые сети, VPN, VOiP-телефония… Все это требует не только активного соединения, но и открытых портов, причём для каждого сервиса - своих. Возможно, что вы хотите обустроить хостинг своего сайта, запустив на домашнем ПК веб-сервер. Это тоже требует открытия портов. Если вы купили новый роутер, с вероятностью 100% порты будут закрыты. Проброс портов (port forwarding) на разных моделях маршрутизаторов происходит по-разному, но на оборудовании SOHO (техника для дома и малого офиса) - доступен неподготовленному пользователю.
Зачем открывают порты на роутере
Интернет-канал между провайдером и пользователем можно представить, как пару многоквартирных домов в разных концах улицы. Квартира - пользовательское приложение, а этаж дома - порт. Данные приложений (пакеты) таскает виртуальный почтальон. В варианте подключения без маршрутизатора, когда кабель провайдера напрямую включается в сетевой порт вашего компьютера, проблем с портами нет никаких: пакет с пятого этажа отправителя спокойно переносится почтальоном на пятый же этаж получателя.
Поскольку даже у самого нетребовательного пользователя дома несколько устройств, нуждающихся в подключении к интернету, на сцене появляется маршрутизатор-роутер. И в этом случае картина движения пакетов меняется. В настройках любого роутера, использующего NAT (трансляцию сетевых адресов) все исходящие запросы, по любым портам по умолчанию закрыты. То есть, если не провести специальные настройки, почтальон с пакетом сможет войти в дом, но двери на нужном этаже лифт не откроет.
Простейшая схема сети с трансляцией адресов (NAT)
Поэтому для работы систем видеоконференций, торрент-качалок, сетевых игр, FTP и веб-серверов необходимо настроить и открыть соответствующие порты, о чём и пойдёт речь ниже.
Предварительная настройка, как узнать сетевой адрес роутера
Первое, что нужно сделать - определить адрес роутера в домашней сети. Это несложно.
Вызов оснастки сетевых подключений
Просмотр состояние сетевого адаптера в «оснастке сетевых подключений»
Просмотр адреса шлюза (роутера) в сведениях о сетевом адаптере
Видео: как легко узнать IP адрес Wi-Fi роутера
Как открыть порты на роутере самостоятельно
Как уже говорилось выше, в заводских настройках любого роутера нет никаких настроек портов и все исходящие запросы блокируются. Чтобы открыть порт (один или несколько), нужно через веб-интерфейс маршрутизатора произвести нужные настройки.
Следует отметить, что открытие того или иного порта настраивается не для маршрутизатора, а для клиента (компьютера), который к роутеру подключён. Если в вашей домашней сети пятеро пользователей, которым нужно открыть порт №20 (к примеру), в соответствующем разделе веб-интерфейса надо будет внести пять записей с настройками, отдельно для каждого компьютера.
Для TP-Link
На роутерах семейства TP-Link открыть и настроить порт, можно при помощи простой пошаговой инструкции.
Web-интерфейс роутера TP-LINK, главный экран
Добавление порта через Web-интерфейс роутера TP-LINK
Ввод параметров порта добавленного порта в Web-интерфейсе роутера TP-LINK
Если вы открываете для компьютера порт 80, например, для запуска веб-сервера, то для того, чтобы попасть в веб-интерфейс роутера, в конце адреса нужно будет добавить порт 8080, вот так: «192.168.1.1:8080». Это произойдёт потому, что по умолчанию через порт 80 открывается доступ к веб-интерфейсу роутера. Если вы открыли этот порт для своих целей, роутер автоматом сменит свой порт доступа на 8080.
Видео: открытие портов на роутере TP-Link
Порт не открывается - что делать?
Возможность открыть тот или иной порт зависит также от политики интернет-провайдера, услуг, доступных в рамках вашего тарифного плана, а также инфраструктуры сети. Особенно это касается абонентов, живущих в многоквартирных домах. С целью снижения расходов на прокладку сети в рамках дома/подъезда, провайдер устанавливает в них недорогие маршрутизаторы, а чтобы такие устройства могли стабильно работать с большим количеством подключённых пользователей - существенно ограничивает возможности.
Наивно ожидать от такого «железа» приличного быстродействия
В частности - блокируются порты, используемые торрент-трекерами, IP-адреса выделяются «серые» (из адресного пространства внутридомового маршрутизатора). Таким образом, чтобы настроить проброс портов, пользователю нужно настроить не свой, домашний роутер, а внутриподъездный, что на практике - неосуществимо.
Решением проблемы будет переход на более дорогой тарифный план, где ограничений не будет либо подключение услуги постоянного (статического) IP-адреса, что сделает возможным конфигурирование портов с домашнего маршрутизатора.
Убедитесь также, что установленные на клиентских компьютерах программы-брандмауэры или антивирусные пакеты, которые защищают интернет-соединение в реальном времени не блокируют обращение к портам извне.
Если манипуляции с открытием портов вы пробуете проделывать в корпоративной сети (на работе) и у вас ничего не получается - ларчик открывается просто. Ваш заботливый системный администратор заблокировал их, чтобы вы не отвлекались на глупости в рабочее время.
Как поменять или добавить порт в роутер
Все изменения в конфигурации портов вносятся через веб-интерфейс роутера. Возможно также конфигурировать роутер через Telnet, но умеющий такое делать пользователь эту статью читать не станет. Рассмотрим добавление порта на примере веб-интерфейса роутера семейства TP-Link.
Список открытых портов в Web-интерфейсе роутера TP-LINK
Изменяя данные или добавляя новый порт, следите за тем, чтобы не внести несколько записей с одинаковым номером порта. Система позволит это сделать, т. к. «защиты от дурака» в интерфейсе роутера нет, но из-за конфликта ресурсов ни одна запись работать не будет.
Решение возможных проблем при пробросе портов
Проблемы при пробросе портов бывают всего двух типов: а) «настроил, но не заработало» и б) «настроил, заработало, работать перестало». И если с проблемой «а» мы разобрались в разделе «Порт не открывается…», то на проблеме «б» стоит остановиться подробнее.
Изменился IP-адрес компьютера-клиента
Когда вы открываете порт при помощи веб-интерфейса роутера, то помимо номера открываемого порта прописываете и сетевой адрес компьютера, для которого порт будет открыт. Обычно, на маршрутизаторе включён DHCP-сервер и компьютеры-клиенты получают от него ip-адреса. Если компьютер будет перезагружен или выключен, а потом - включён, роутер может выдать ему другой адрес, не тот, что был в предыдущем рабочем сеансе. Поскольку открытый порт привязан к другому ip-адресу, работать он не будет.
Чтобы такого не произошло, нужно прописать статические адреса для компьютеров клиентов.
Вызов окна сетевых подключений через командную строку Windows
Вызов настроек TCP/IP из свойств сетевого адаптера
Ввод данных статического адреса TCP/IP. В качестве адреса шлюза используется адрес роутера
Теперь адрес вашего компьютера в сети не будет меняться даже при замене маршрутизатора, а открытые для него порты будут стабильно работать.
Программа, для которой был открыт порт меняет его произвольным образом
Проблема характерна для клиентов пиринговых сетей, в частности, — торрентов. Рассмотрим решение проблемы на примере программы-клиента uTorrent.
По умолчанию, программа клиент при каждом запуске меняет порт исходящих соединений, а так как в настройках роутера порт статический (неизменный), то программа корректно не работает. Чтобы исправить ошибку - достаточно прописать в настройках программы порт в явном виде и запретить случайный выбор порта при старте.
Настройки параметров соединения клиента пиринговых сетейuTorrent
Порт открыт, но прикладные программы не работают через него
Проблема связана с активацией брандмауэра непосредственно в роутере. Простое его включение, без дополнительной настройки полностью блокирует обращение к портам извне. Решением проблемы будет либо тонкая настройка брандмауэра через веб-интерфейс роутера, либо его полное отключение там же.
Отключение встроенного брендмауэра в Web-интерфейсе роутера TP-LINK
Видео: настройка брандмауэра и роутера для проброса портов
Если вы отключили брандмауэр в маршрутизаторе, — обязательно активируйте его на клиентских компьютерах. Это может быть либо встроенный в ОС Windows Defender, либо одна из многочисленных сторонних программ с расширенными возможностями, к примеру - Eset Smart Security.
Настройка и проброс портов на маршрутизаторах «домашней» серии - несложная работа, которая вполне по плечу новичку. Хотя примеры, которые мы рассмотрели, базируются на веб-интерфейсе роутеров семейства TP-Link, маршрутизаторы других производителей позволяют осуществить проброс портов по аналогии с нашими примерами. Не забывайте, что любой открытый порт - дополнительная лазейка для вредоносных программ и нечистоплотных людей, жадных до чужих данных. Держите порты открытыми ровно столько, сколько это требуется вам для работы, а если в ней случается длительный перерыв - деактивируйте порты. Старайтесь не класть яйца в одну корзину - не настраивайте на одном и том же компьютере порты для онлайн-игр и программу для управления банковским счётом. Будьте бдительны!
Когда возникает необходимость открыть порт Windows? Тогда, когда встроенная программа сетевой защиты компьютера – брандмауэр Windows, известный также как Firewall, блокирует работу того или иного приложения. Часто под такие запреты попадают игры, которым требуется выход в интернет, или другие полезные программы. Чтобы открыть порт, выполните следующее.
Изменить настройки брандмауэра можно в соответствующем разделе «Панели управления», откуда нужно зайти в раздел «Система и безопасность», а затем в «Брандмауэр Windows». Либо нажмите комбинацию «Win+R» и введите «firewall.cpl» в открывшемся окне «Выполнить», и вы быстро попадете на нужную страницу. В последних версиях Windows найти желаемую программу или раздел «Панели управления» можно через «Поиск» в меню рабочего стола. Дальше вас интересует лишь раздел «Дополнительные параметры», находящийся в левой части окна настроек. Затем в окне «Брандмауэр Windows в режиме повышенной безопасности» найдите «Правила для входящих подключений» и кликните по ним. Появится список уже имеющихся правил, но вам предстоит создать новое. Чтобы сделать это, нажмите «Создать правило» в окне «Действия» (находится в правой части экрана). Теперь мастер подключений поможет вам настроить порт, последовательно предлагая установить его параметры. В окне «Тип правила» вам нужно выбрать пункт «Для порта» и нажать «Далее». В окне «Протоколы и порты» определите два параметра – тип протокола и порт. Если вы знаете конкретный номер порта, который вам необходим, укажите его в графе «Определенные локальные порты». Допустимо также обозначить диапазон, например, 1244-1250. Что касается протокола, то обычно требуется TCP, но иногда UDP-порт тоже необходим. В этой ситуации нужно будет поочередно создать два правила. Нажав «Далее», вы перейдете к следующему этапу настроек. Выберите «Разрешить подключение» в окне «Действие», нажмите «Далее», и не меняя параметры в следующем окне «Профиль», снова жмите «Далее». Последнее действие – придумать имя для порта и при желании описание, так как через некоторое время вы можете и не вспомнить, что это за порт. И не забудьте про кнопку «Готово». Процедура открытия порта совершенно одинакова для Windows Vista, 7, 8 и 8.1. Если у вас Windows XP, добраться к нужным настройкам можно через «Пуск» – «Сетевое окружение», затем необходимо нажать «Сетевые задачи» – «Просмотр сетевых подключений». Щелкнув правой кнопкой мышки на значке интернет-подключения, выберите «Свойства» – «Дополнительно» – «Параметры». Откройте новый порт, нажав «Добавить», потом введите имя или IP-адрес порта в соответствующей графе. Укажите номера (любые цифры) портов в полях «Внешний порт» и «Внутренний порт», затем тип порта и нажмите «Ок».Про порты, и прояснит ситуацию.
Все уже давно используют имитаторы (локальной сети ), после того, как некоторые провайдеры в начале нового десятилетия, отключи всех своих абонентов от локальной сети, оставив им только подключение по каналу "Интернет".
Именно с того момента и пошла популяризация имитаторов , так как без них, с соседом невозможно было по-играть в какую-нибудь игрушку. И с того момента вопрос про "открытие портов " становился более популярным , и многие "псевдо-сис.админы" пытались выложить актуальное руководство как открыть порты на своем железе. Но не все знают что да как это сделать правильно.
Что же такое "Открытый порт " ? Да все гениальное просто - любой компьютер в сети имеет определенный идентификатор (имя, MAC-адрес, IP ), так вот, по IP на роутер поступает определенный пакет, но не просто поступает по IP , а по специальному каналу (порту ), через который, программа отправляет/принимает запросы из внешней сети. По стандарту, этот пакет дальше роутера не пройдет, так как по умолчанию (далее дефолту), порт по которому работает программа - закрыт, а что принять пакет, его нужно открыть.
То, что пишут в интернете - можно открыть порты, независимо от того, какое сетевое оборудование стоит - все это бред! Любой знающий сис.админ скажет - что IP делятся на два вида - "Белый " и "Серый ", и только на одном можно открыть порты, что бы принимать "пакеты" из вне. Серый - это когда IP может переходить из рук-в-руки множество количество раз (он же именуется как динамический ), Белый - или реальный (по другому статический ) можно быть присвоен только на одного пользователя, и не будет переходить из рук-в-руки.
Именно по "Белому" IP и стоит открывать порты на своем оборудовании. Что бы получить свой "Белый" IP необходимо обратить к своему провайдеру, и после этого, он назначит IP на Вас. Данная услуга везде является платной, и в зависимости от региона может составлять от 50 рублей/месяц .
Допустим, мы купили реальный IP у своего провайдера, и теперь необходимо приступить к настройке. Разберемся с настройками на 4-х популярных моделях роутеров (ASUS/TP-Link/D-Link/Zyxel ):
Настройка роутера ASUS
Открываем порты на реальном (белом) IP в роутере ASUS
Примечание: настройка производилась на оборудовании ASUS RT-N12 C1 с микропрограммой 3.0.0.4.260 (черный интерфейс)
- 192.168.1.1 ), с логином и паролем (admin/admin
- В левом меню выбираем "Интернет " (или WAN ) -> Переадресация портов (или Virtual Server/Port Forwarding )
- Включаем данную опцию, поставив галочку напротив "Включить переадресацию портов: Да ".
- Выбираем из готовых шаблонов заданные порты, или вписываем свои:
- Имя службы - можно быть любое
- Диапазон портов - можно ввести как один порт (например 80) так и диапазон (27000:27099)
- Локальный IP
- Конечный порт - так же как и в "Диапазон" нужно вводить в зависимости от того, что сначала ввели - один или диапазон.
- Протокол - TCP/UDP/BOTH /OTHER - выбрать один (TCP/UDP порты выбирают)
- После ввода данных нажимаем на плюсик (слева от формы заполнения).
- А после ввода данных, нажимаем "Сохранить".
Настройка роутера D-Link
Открываем порты на реальном (белом) IP в роутере D-link
Примечание: настройка производится на роутере D-link DIR 615 с белым интерфейсом новейшей микропрограммы 2.5.20 .
- Подключаемся к своему роутеру через браузер (192.168.0.1 . или в некоторых 192.168.1.1 ), с логином и паролем (admin/admin ). Узнать об этом можно на обратной стороне роутера или в инструкции к нему.
- В левом меню выбираем Межсетевой экран/Виртуальные серверы .
- Выбираем из готовых шаблонов, или вписываем свои (выбрав пункт "Costom
"):
- Имя службы - можно быть любое
- Протокол - выбираем нужный протокол.
- Внешний порт (начальный)
- Внутренний порт (начальный)
- Внутренний IP
- Применить ", а после через "Система " - выбрать пункт "", и только после этого порты должны открыться.
Настройка роутера TP-Link
Открываем порты на реальном (белом) IP в роутере TP-Link
TP-LINK TL-WR940N / TL-WR941ND с микропрограммой 3.13.31 .
- Подключаемся к своему роутеру через браузер (192.168.0.1/192.168.1.1 ), с логином и паролем (admin/admin ). Узнать об этом можно на обратной стороне роутера или в инструкции к нему.
- В левом меню выбираем Переадресация (Forwarding ) -> Виртуальные сервера (Virtual Server ).
- После открытия раздела «Виртуальные серверы
» перед вами должна появиться страница со списком открытых портов. Для того чтобы открыть нужный вам порт здесь нужно нажать на кнопку «Добавить новый» и заполняем форму:
- Порт сервиса – внешний порт. Здесь нужно ввести порт (или диапазон портов через знак дефиз, например, 10100-10200)
- Внутренний порт – внутренний порт, который будет использоваться программами на вашем компьютере.
- IP адрес
- Протокол
- Состояние (Status ) – статус порта.
- После ввода данных можно нажать "Сохранить " (Save ).
Настройка роутера ZyXEL
Открываем порты на реальном (белом) IP в роутере ZyXEL
Примечание: настройка производится на роутере ZyXEL Keenetic с микропрограммой 2.0 .
- Подключаемся к своему роутеру через браузер (192.168.0.1/192.168.1.1 ), с логином и паролем (admin/admin или admin/1234 ). Узнать об этом можно на обратной стороне роутера или в инструкции к нему.
- В левом меню выбираем «Безопасность» (в виде щита) -> .
- После открытия раздела «Трансляция сетевых адресов (NAT)
» нажимаем на кнопку «Добавить» и добавляем по шаблону:
- Интерфейс
– выбираем необходимый интерфейс.
Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета - интерфейс туннеля (PPPoE, PPTP или L2TP). - Протокол – можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов FTP). При выборе в поле Протокол значения TCP или UDP вы можете в полях
- Порты TCP/UDP - указать номер порта или диапазон портов.
- Перенаправить на адрес - указываем локальный IP адрес компьютера.
- Интерфейс
– выбираем необходимый интерфейс.
- После ввода данных можно нажать "Сохранить ".
Подводя итоги можно сделать такой вывод - что для проброса портов и сохранения своих нервных клеток, лучше сразу купить у своего провайдера статический (белый) IP , так как на сером - проброс портов не удастся сделать. Если все удалось сделать, то видимость портов можно проверить на , или на . Из эксперимента с роутерами, мне удалось правильно все сделать только на трех из четырех маршрутизаторах (кроме Zyxel).