No Image

Как подключиться к локальной сети через интернет

СОДЕРЖАНИЕ
151 просмотров
16 декабря 2019

Существует множество причин, по которым необходимо получить доступ к собственной локальной сети из глобальной сети интернет: кому-то необходимо подключиться, чтобы была возможность просматривать удаленной файлы и папки, некоторым нужен доступ к системам безопасности, камерам и прочим объектам, кто-то «поднял» веб-сервер и не хочет платить за хостинг, а кому-то нужен совет по настройке компьютера с удаленным подключением. Причин множество, также, как и вариантов решения проблемы.

Постановка задачи

Согласно теории сети, для доступа к ресурсам сервера или отдельно взятого компьютера используются два основных параметра — это IP адрес и порт, на котором работает служба, обеспечивающая подключение к ресурсу по определенному протоколу. Поэтому необходима осознанная настройка маршрутизатора, компьютера и сервера, для обеспечения совместной работы и корректного доступа.

Общепринятыми стандартами доступ по каждому протоколу происходит по следующим портам:

  • Веб-сервер или доступ по HTTP протоколу. Удаленное подключение обеспечивается по TCP портам 80 и 8080.
  • Защищенная передача данных к веб-серверу — 443 порт.
  • Основной протокол для передачи файлов или FTP использует порт 21.
  • Защищенный протокол для доступа из терминала SSH по порту 22. Обычно используется для выполнения настроек устройств.
  • Открытый протокол для подключения к удаленному терминалу TCP — порт 23.
  • Доступ к почтовым серверам SMTP и POP3 используют порты 25 и 110 соответственно.

Специализированные программы используют свои собственные порты, например, чтобы получить доступ из интернета в локальную сеть используя программу VNC нужно открыть порт 5900, Radmin — 4899, а для подключения к встроенной службе удаленного рабочего стола Windows (RDC) — 3389.

Стоит отметить, что открытие портов на сервере добавляет уязвимости и привлекает злоумышленников. Поэтому открытие портов производится исключительно по мере необходимости, т.е. если нет необходимости в использовании доступа по протоколу, то и порт, используемой службой необходимо закрыть. Хорошей практикой является такая, что изначально закрывается доступ к любой службе, а по мере необходимости производится настройка доступа к службе. Особо уязвимыми являются порты, не предусматривающие авторизацию пользователя, например, 21-й порт в Windows по умолчанию открыт, что дает возможность несанкционированного подключения.

После того, как будут определены конкретные цели, т.е. для чего и к каким ресурсам нужен доступ, можно приступать к настройке удаленного доступа.

Настройка маршрутизатора — трансляция адресов

Трансляция или проброс адресов необходим для того, чтобы роутер переключил внутренний локальный адрес на внешний. Это означает, что при подключении будет указываться IP, который «смотрит» в интернет. Внешний IP адрес бывает «серым» (динамическим) или «белым» (статическим), но особенности настройки маршрутизатора по каждому из случаев выходят за рамки статьи, поэтому в качестве примера условно будет использоваться настройка на статическом адресе.

Настройка доступа производится на примере роутера Zyxel семейства Keenetic с версией прошивки v2. Этот роутер хорошо подходит для реализации поставленных задач. Чтобы выполнить настройку необходимо зайти через веб-интерфейс на страницу конфигурации.

Компьютер подключается к роутеру по DHCP. Это означает, что каждый раз при запросе добавить в сеть он получает новый IP адрес. Чтобы обеспечить доступ к локальной сети через интернет необходимо закрепить IP за каждым устройством. Это делается на главной странице во вкладке «Домашняя сеть» путем нажатия зеленой стрелки (при наведении появляется подсказка — «Закрепить IP адрес за устройством»).

Далее в конфигурации выбирается пункт меню «Безопасность» и вкладка «Трансляция сетевых адресов». На этой вкладке необходимо добавить для каждой выбранной службы свое правило доступа и трансляции сокета в интернет. Сокет — это связка IP адреса и номера порта, например, 192.168.1.1:8080 для подключения к Веб-серверу.

В открывшемся по нажатию кнопки «Добавить правило» окне нужно указать конкретные поля для создания правила:

  • «Интерфейс» — из выпадающего списка выбирается WAN интерфейс. Вариантов выбора может быть несколько в зависимости от настроек провайдера: PPTP, PPPoE, L2TP или ISP (Broadband Connection).
  • «Протокол» — выбирается из списка протокол для удаленного подключения входящих соединений.
  • «Перенаправить на адрес» — указывается локальный адрес машины, для которой необходимо сделать перенаправление.
  • «Новый номер порта назначения» — номер локального порта указанного компьютера.

Эти действия необходимо выполнить для каждого устройства в локальной сети и для каждого протокола, т.е. каждое устройство и служба на нем будут иметь отдельное правило. Не стоит забывать нажимать кнопку «Сохранить». После того как все нужные правила будут добавлены можно приступать к настройке конкретного компьютера.

Настройка доступа на компьютере с ОС Windows

Для настройки компьютера нужно на нем открыть порты для входящих соединений. Это делается в программе стандартной поставки «Брандмауэр Windows». Программа запускается из «Панели управления — Система и безопасность — Брандмауэр» или «Пуск — Выполнить — cmd — firewall.cpl».

Открытие портов происходит следующим образом:

  • В программе нужно выбрать пункт меню «Дополнительные параметры».
  • Откроется новое окно, которое позволит настроить расширенные параметры защиты компьютера.
  • При нажатии кнопки «Правила для входящих соединений — Создать правило» открывает модальный диалог «Мастера создания правила».
  • Первый пункт диалога позволяет выбрать тип правила: для конкретной программы (обычно при установке программы самостоятельно добавляют правила для корректно работы), для порта, предустановленные правила и настраиваемые правила.
  • Выбирать нужно переключатель «Для порта».
  • Выбирается тип протокола (TCP или UDP), и в соответствующее поле вносится конкретный порт или диапазон портов через дефис.
  • После выбора порта создается само правило, т.е. разрешается или запрещается подключение. В нашем случае при открытии порта нужно поставить переключатель напротив «Разрешить подключение».
  • Определяется профиль сетевого соединения. Можно проставить галочки напротив всех профилей.
  • На последнем пункте нужно придумать имя для правила и нажать «Готово».

Таким образом открывается порт на компьютере. Аналогично, как и в роутере для каждого порта нужно создавать отдельное правило. Чтобы не добавлять доступ к каждому порту, можно полностью отключить брандмауэр, но делать это категорически не рекомендуется.

Настройка доступа с использованием сторонних программ

Для доступа к локальной сети из интернета при использовании сторонних специализированных программ обычно не требуется специальных знаний или навыков. Достаточно того, чтобы программа была установлена на машине клиенте и запущена на сервере. В некоторых случаях потребуется открыть для трансляции адреса на маршрутизаторе.

В качестве примера можно привести популярную программу TeamVewer. Она позволяет подключаться к удаленному рабочему столу, передавать и скачивать файлы и другие функции. Для подключения достаточно знать UserID и пароль компьютера, к которому необходимо подключиться.

Существует множество причин, по которым необходимо получить доступ к собственной локальной сети из глобальной сети интернет: кому-то необходимо подключиться, чтобы была возможность просматривать удаленной файлы и папки, некоторым нужен доступ к системам безопасности, камерам и прочим объектам, кто-то «поднял» веб-сервер и не хочет платить за хостинг, а кому-то нужен совет по настройке компьютера с удаленным подключением. Причин множество, также, как и вариантов решения проблемы.

Постановка задачи

Согласно теории сети, для доступа к ресурсам сервера или отдельно взятого компьютера используются два основных параметра — это IP адрес и порт, на котором работает служба, обеспечивающая подключение к ресурсу по определенному протоколу. Поэтому необходима осознанная настройка маршрутизатора, компьютера и сервера, для обеспечения совместной работы и корректного доступа.

Общепринятыми стандартами доступ по каждому протоколу происходит по следующим портам:

  • Веб-сервер или доступ по HTTP протоколу. Удаленное подключение обеспечивается по TCP портам 80 и 8080.
  • Защищенная передача данных к веб-серверу — 443 порт.
  • Основной протокол для передачи файлов или FTP использует порт 21.
  • Защищенный протокол для доступа из терминала SSH по порту 22. Обычно используется для выполнения настроек устройств.
  • Открытый протокол для подключения к удаленному терминалу TCP — порт 23.
  • Доступ к почтовым серверам SMTP и POP3 используют порты 25 и 110 соответственно.

Специализированные программы используют свои собственные порты, например, чтобы получить доступ из интернета в локальную сеть используя программу VNC нужно открыть порт 5900, Radmin — 4899, а для подключения к встроенной службе удаленного рабочего стола Windows (RDC) — 3389.

Стоит отметить, что открытие портов на сервере добавляет уязвимости и привлекает злоумышленников. Поэтому открытие портов производится исключительно по мере необходимости, т.е. если нет необходимости в использовании доступа по протоколу, то и порт, используемой службой необходимо закрыть. Хорошей практикой является такая, что изначально закрывается доступ к любой службе, а по мере необходимости производится настройка доступа к службе. Особо уязвимыми являются порты, не предусматривающие авторизацию пользователя, например, 21-й порт в Windows по умолчанию открыт, что дает возможность несанкционированного подключения.

После того, как будут определены конкретные цели, т.е. для чего и к каким ресурсам нужен доступ, можно приступать к настройке удаленного доступа.

Настройка маршрутизатора — трансляция адресов

Трансляция или проброс адресов необходим для того, чтобы роутер переключил внутренний локальный адрес на внешний. Это означает, что при подключении будет указываться IP, который «смотрит» в интернет. Внешний IP адрес бывает «серым» (динамическим) или «белым» (статическим), но особенности настройки маршрутизатора по каждому из случаев выходят за рамки статьи, поэтому в качестве примера условно будет использоваться настройка на статическом адресе.

Настройка доступа производится на примере роутера Zyxel семейства Keenetic с версией прошивки v2. Этот роутер хорошо подходит для реализации поставленных задач. Чтобы выполнить настройку необходимо зайти через веб-интерфейс на страницу конфигурации.

Компьютер подключается к роутеру по DHCP. Это означает, что каждый раз при запросе добавить в сеть он получает новый IP адрес. Чтобы обеспечить доступ к локальной сети через интернет необходимо закрепить IP за каждым устройством. Это делается на главной странице во вкладке «Домашняя сеть» путем нажатия зеленой стрелки (при наведении появляется подсказка — «Закрепить IP адрес за устройством»).

Далее в конфигурации выбирается пункт меню «Безопасность» и вкладка «Трансляция сетевых адресов». На этой вкладке необходимо добавить для каждой выбранной службы свое правило доступа и трансляции сокета в интернет. Сокет — это связка IP адреса и номера порта, например, 192.168.1.1:8080 для подключения к Веб-серверу.

В открывшемся по нажатию кнопки «Добавить правило» окне нужно указать конкретные поля для создания правила:

  • «Интерфейс» — из выпадающего списка выбирается WAN интерфейс. Вариантов выбора может быть несколько в зависимости от настроек провайдера: PPTP, PPPoE, L2TP или ISP (Broadband Connection).
  • «Протокол» — выбирается из списка протокол для удаленного подключения входящих соединений.
  • «Перенаправить на адрес» — указывается локальный адрес машины, для которой необходимо сделать перенаправление.
  • «Новый номер порта назначения» — номер локального порта указанного компьютера.

Эти действия необходимо выполнить для каждого устройства в локальной сети и для каждого протокола, т.е. каждое устройство и служба на нем будут иметь отдельное правило. Не стоит забывать нажимать кнопку «Сохранить». После того как все нужные правила будут добавлены можно приступать к настройке конкретного компьютера.

Настройка доступа на компьютере с ОС Windows

Для настройки компьютера нужно на нем открыть порты для входящих соединений. Это делается в программе стандартной поставки «Брандмауэр Windows». Программа запускается из «Панели управления — Система и безопасность — Брандмауэр» или «Пуск — Выполнить — cmd — firewall.cpl».

Открытие портов происходит следующим образом:

  • В программе нужно выбрать пункт меню «Дополнительные параметры».
  • Откроется новое окно, которое позволит настроить расширенные параметры защиты компьютера.
  • При нажатии кнопки «Правила для входящих соединений — Создать правило» открывает модальный диалог «Мастера создания правила».
  • Первый пункт диалога позволяет выбрать тип правила: для конкретной программы (обычно при установке программы самостоятельно добавляют правила для корректно работы), для порта, предустановленные правила и настраиваемые правила.
  • Выбирать нужно переключатель «Для порта».
  • Выбирается тип протокола (TCP или UDP), и в соответствующее поле вносится конкретный порт или диапазон портов через дефис.
  • После выбора порта создается само правило, т.е. разрешается или запрещается подключение. В нашем случае при открытии порта нужно поставить переключатель напротив «Разрешить подключение».
  • Определяется профиль сетевого соединения. Можно проставить галочки напротив всех профилей.
  • На последнем пункте нужно придумать имя для правила и нажать «Готово».

Таким образом открывается порт на компьютере. Аналогично, как и в роутере для каждого порта нужно создавать отдельное правило. Чтобы не добавлять доступ к каждому порту, можно полностью отключить брандмауэр, но делать это категорически не рекомендуется.

Настройка доступа с использованием сторонних программ

Для доступа к локальной сети из интернета при использовании сторонних специализированных программ обычно не требуется специальных знаний или навыков. Достаточно того, чтобы программа была установлена на машине клиенте и запущена на сервере. В некоторых случаях потребуется открыть для трансляции адреса на маршрутизаторе.

В качестве примера можно привести популярную программу TeamVewer. Она позволяет подключаться к удаленному рабочему столу, передавать и скачивать файлы и другие функции. Для подключения достаточно знать UserID и пароль компьютера, к которому необходимо подключиться.

Возможность совместного подключения к Интернету (Internet Connection Sharing, ICS) позволяет средствами ОС Windows предоставить доступ клиентам небольшой сети к Интернету с использованием лишь одного Интернет-подключения. Впервые ICS появилось в линейке Windowsс версии 98 SE. В WindowsXP и WindowsVista ICS было усовершенствовано, его стало проще настраивать. Однако, это упрощение имеет и обратную сторону – теперь невозможно отключить DHCP-сервер, или изменить диапазон адресов, назначаемых DHCP-сервером. Для использования ICS необходимо, чтобы соблюдался ряд условий. На компьютере, где будет «раздаваться» Интернет, необходимо наличие как минимум двух сетевых интерфейсов.

Для настройки параметров совместного доступа к сети Интернет необходимо иметь полномочия администратора. ICS будет недоступен, если в сети присутствуют контроллер домена, серверы DHCP и DNS или шлюз. Как правило, в небольших сетях эти ограничения не вызовут никаких проблем, по причине отсутствия вышеперечисленных устройств. Также следует отметить, что при установке VPN-соединения, остальные компьютеры сети не смогут получить доступ в Интернет, пока не закончится сеанс VPN-соединения. Самым же существенным недостатком ICS является то, что управляющий компьютер обязательно должен быть включен для того, чтобы остальные клиенты смогли подключиться к Интернету. Иногда это не столь существенно (например, при использовании модемного подключения или использования модема с USB-интерфейсом), но если такое условие является критичным, для совместного доступа следует использовать решения, основанные на применении маршрутизаторов. Включить возможность совместного доступа, как уже отмечалось, очень просто. WindowsXP Настройка управляющего компьютера Нажимаем кнопку «Пуск», выбираем панель управления, переходим в раздел «Сеть и подключения к Интернету». Щелкаем ссылку Сетевые подключения. Теперь необходимо выбрать сетевой адаптер, по которому «приходит» Интернет. Делаем на нем щелчок правой кнопкой мыши и в открывшемся меню выбираем команду Свойства. В открывшемся диалоговом окне переходим на закладку «Дополнительно». Устанавливаем флажок «Разрешить другим пользователям использовать подключение к Интернету».

Если вы хотите предоставить возможность пользователям сети управлять общим подключением – то есть включать/выключать общее соединение для всей сети – установите флажок «Разрешить другим пользователям управлять общим доступом». Если производится настройка коммутируемого (например, модемного) соединения, в списке параметров появится еще один флажок – «Устанавливать вызов по требованию».

При его включении любой пользователь сети сможет самостоятельно инициировать процесс автоматического подключения к Интернету в случае обращения к ресурсам Интернета. После установки необходимых параметров нажмите кнопку «ОК», расположенную внизу окна. Появится сообщение с предупреждением о смене IP-адреса сетевого интерфейса. Нажмите кнопку «Да». Если внутри локальной сети работают службы, к которым необходимо предоставить доступ из Интернета (например, в сети работает Web- или FTP-сервер, или пользователям внутренней сети нужны он-лайн игры), нажимаем кнопку «Параметры» в разделе «Общий доступ».

В списке служб представлены стандартные протоколы, использующие общепринятые порты. Если вам необходимо добавить собственную службу, нажмите кнопку «Добавить». Необходимо будет задать название службы, указать компьютер, на котором будет запущена эта служба, указать номера внешних и внутренних портов и тип протокола. Здесь нам придется немного забежать вперед. Обычная настройка ICS предполагает, что IP-адреса в локальной сети будут назначаться DHCP-сервером, запущенным на управляющем компьютере. Однако, это не всегда удобно. Если компьютеры-клиенты настроены на автоматическое получение IP-адресов, а компьютер, их назначающий, не включен, сеть окажется неработоспособной. Поэтому предпочтительней вариант назначения статических адресов, даже, несмотря на запущенный DHCP-сервер. В случае, если компьютеру со службой, к которой смогут обратиться пользователи Интернета, назначен статический адрес, в поле Имя можно указать его IP-адрес. После того, как будет разрешено совместное использования подключения к сети Интернет, на управляющем компьютере запустятся службы DHCP. Это позволит динамически назначать IP-адреса остальным клиентам домашней сети. При этом IP-адрес самого управляющего компьютера на сетевом интерфейсе, «смотрящем» в домашнюю сеть, автоматически получит статический адрес 192.168.0.1 с маской подсети 255.255.255.0. Если ранее другим компьютерам в домашней сети были вручную назначены статические IP-адреса, возможно, связь с ними будет потеряна. Не переживайте, дальнейшими настройками ICS мы восстановим работоспособность сети. Примечание. В сети есть неофициальные ссылки, что область адресов, назначаемых DHCP-сервером компьютера с запущенной службой ICS, определяется в разделе реестра HKLMSYSTEMCurrentControlSetServicesSharedAccessParameters и при необходимости можно попробовать изменить этот диапазон. Однако работоспособность сети в этом случае никто не гарантирует. 🙂 Настройка компьютеров-клиентов Теперь перейдем к настройке остальных компьютеров в сети. Для ее осуществления также необходимы полномочия администратора. В панели управления выберите раздел «Сетевые подключения». Щелкните правой кнопкой мыши на значке сетевого подключения и в открывшемся меню выберите команду «Свойства». На вкладке «Общие» выберите в разделе «Компоненты», используемые этим подключением пункт «Протокол Интернета (TCP/IP)» и нажмите кнопку «Свойства».

Откроется окно свойств. Если вы решили, что все адреса в домашней сети будут автоматически назначаться DHCP-сервером, переведите переключатели в положение автоматического получения настроек. Если же необходимо указать статические адреса клиентам сети, настройка будет несколько сложнее. Устанавливаем верхний переключатель в положение «Использовать следующий IP-адрес». В поле «IP-адрес» укажите любой из диапазона 192.168.0.2–192.168.0.254. Выбирать адреса в этом диапазоне можно в произвольном порядке, условие лишь одно – в пределах сети адреса должны быть уникальны для каждого компьютера. После ввода адреса маска подсети должна появиться автоматически. Если этого не произошло, введите вручную значение 255.255.255.0. В поле «Основной шлюз» указываем адрес управляющего компьютера — 192.168.0.1.

Похожие записи:

  1. Как на андроиде увеличить время работы экрана
  2. Как называется давно известный способ кодирования
  3. Как назывался первый массовый телевизор в ссср
  4. Как найти живых подписчиков в инстаграме
Комментировать
151 просмотров

Похожие записи:

  1. Как на андроиде увеличить время работы экрана
  2. Как называется давно известный способ кодирования
  3. Как назывался первый массовый телевизор в ссср
  4. Как найти живых подписчиков в инстаграме
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Этот сайт использует файлы cookie для улучшения удобства пользователей. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie.