Удаленный доступ в сети. Доступ к локальной сети из Интернет - DDNS на примере no-ip. Условия, необходимые для выполнения сценария

Обновлено 20/09/2017 07:23

Как настроить удаленный доступ из Интернета на компьютер, подключенный через маршрутизатор ZyXEL?

Для организации удаленного доступа из глобальной сети к компьютеру, подключенному к маршрутизатору, существует множество способов. Один из них - подключение к рабочему столу при помощи терминальных программ для удаленного управления компьютерами. Самые распространенные из них - Radmin , VNC и Remote Desktop (Дистанционное управление рабочим столом), являющийся терминальной службой ОС Windows.

В графике есть режим записи экрана, который позволяет серверному модулю сохранять скриншоты на рабочем столе через определенные промежутки времени, после чего вы можете подключаться и просматривать их. Затем после этого вы можете добавить все найденные компьютеры в список основных подключений.

Удаленная настройка позволяет установить или обновить серверный модуль на удаленном компьютере. В случае обновления все настройки серверного модуля будут сохранены, но если сервер будет установлен в первый раз, вам необходимо создать дистрибутив и указать все необходимые параметры безопасности, например пароль доступа заранее.

Для маршрутизатора важно только указать правильный номер порта, который использует программа для удаленного управления компьютерами. Например, для службы Remote Desktop используется номер порта 3389, для программы Radmin по умолчанию используется номер порта 4899, а для программы VNC - номер порта 5900. Если вы не знаете, какой номер порта используется в программе, обратитесь за информацией на сайт: http://www.portforward.com/cports.htm . Здесь вы найдете список наиболее популярных программ и номера портов, которые они используют. Если вы не нашли нужный сервис, то номер порта вашего приложения вы можете узнать из документации его разработчика или настроек программы.

На этой странице

Давайте шаг за шагом рассмотрим процесс удаленной установки. Начнем с того, что мы готовим дистрибутив сервера с помощью встроенного конфигуратора. Затем мы вводим путь к распределению сервера и настраиваем его, что означает, что мы указываем необходимые нам настройки. При желании, если сервер уже установлен на вашем компьютере, вы можете использовать его настройки. После настройки мы запускаем удаленную установку и выбираем в списке основных компьютеров необходимое соединение или подключения, а через контекстное меню запускаем режим удаленной установки.

Ниже рассмотрим пример настройки ADSL-маршрутизатора и Ethernet-маршрутизатора для возможности удаленного подключения к компьютеру в локальной сети при помощи Remote Desktop. При использовании других программ (Radmin, VNC и т.п.) настройки маршрутизатора будут отличаться только номером порта в настройках NAT и в настройках межсетевого экрана.

Условия, необходимые для выполнения сценария

В появившемся окне на удаленном компьютере вам нужно ввести имя и пароль пользователя по правам администратора. Если компьютер находится в домене, вы можете отправить администратора домена. Он не будет работать с пустым паролем. После успешной установки вы можете подключиться к удаленному компьютеру.

Настройки сервера по умолчанию хранятся в ключе регистра. Когда массивная установка сервера с идентичными настройками включена, вы можете просто импортировать ключ с настройками в регистр. Особый интерес для этого приложения будет возникать в огромных организациях с распределенной сетью офисов и отделов или в компаниях, которые занимаются технической поддержкой удаленных клиентов.

1. Пример настройки ADSL-маршрутизатора

Я, скорее, параноик и до сего момента держу закрытым весь доступ в локалку из Сети. Хотя, с другой стороны, полную гарантию не даёт даже физическое отключение тк остаются сменные носители. А уж если работает transmission, bttorrentsync и пр... В общем, придумалось несколько приложений, требующих доступа извне в локалку - owncloud, удалённый backup по интернет и пр. Начнём с DDNS

Сразу предупрежу, что со мной Капитан Очевидность. Всего лишь для новичка попробую излагать простыми словами.

Если это необходимо в главном элементе, вы можете изменить порт программы или установить максимальное количество работающих клиентов. Отметим еще одну интересную особенность в дополнительном элементе. Это разрешение на клиентский модуль для просмотра списка подключенных серверов.

Поэтому мы получаем список серверов и выбираем один из них для подключения. А при запуске программа установит соединение с указанными параметрами. Серверный модуль имеет возможность передавать и сохранять настройки без использования регистра. Этот файл может быть создан с новым запуском, например, как пустой текстовый файл, или параметры могут быть экспортированы из самой программы. В этом случае файл конфигурации будет автоматически создан в каталоге сервера.

Начнем с упрощенной теории . В глобальной сети право использовать IPv4 адрес (например 95.24.156.147) можно получить от полномочной организации, IANA. Адресов всего 2^32 (~ 4 млрд), часть отдана под специальные цели - на всех не хватает. Отчасти поэтому в изолированной домашней сети используются обычно адреса вида 192.168.0.0/16, во всех таких сетях одинаковые. Это позволяет экономить адресное пространство. Но в результате внутри домашней сети и снаружи адреса - разные . Внешний адрес ваша сеть получает один, от провайдера (которому вы платите за интернет). И его выдают в аренду на некоторое время , и могут в любой момент изменить. Поэтому достучаться до вашей домашней сети по IP несколько затруднительно. Есть два основных способа - арендовать у провайдера постоянный (статический адрес). Например, у моего провайдера это стоит 130 руб/мес. Так и стоит сделать, если у вас важные приложения, типа клиент-банк, т.к. статический адрес положительно сказывается на безопасности. Но в большинстве случаев проще второй способ - DDNS.

Поскольку это соединение не было инициировано изнутри, по умолчанию трафик не будет поступать на наши внутренние компьютеры по двум причинам. Вторая причина заключается в том, что брандмауэр, предназначенный для фильтрации входящих и исходящих сообщений, обычно блокирует любую связь, если не были установлены явные правила, разрешающие сообщения с определенными параметрами.

Брандмауэр на домашнем компьютере клиента

Мы должны обучить Маршрутизатора тому, что делать с этим конкретным движением. . Могут быть активные брандмауэры в нескольких местах по всему маршруту трафика. Обычно эти типы программного обеспечения брандмауэра по умолчанию разрешают весь трафик, инициированный с клиентского компьютера, во внешний мир, но он блокирует весь трафик, инициированный извне на клиентский компьютер.

Суть DDNS в том, что вы поручаете кому-то (DNS серверу) отслеживать изменения вашего реального, динамического, IP адреса и связывать этот адрес с постоянным именем, например vasia_pupkin.ddns.com. Чтобы DNS сервер узнал об изменениях, из вашей сети кто-то должен периодически к этому DNS серверу подключаться, авторизовываться и сообщать свой текущий IP. Обычно эту работу исполняет роутер.

Брандмауэр на маршрутизаторе домашней сети

Обычно маршрутизаторы, предназначенные для домашних сетей, имеют встроенный брандмауэр.

Брандмауэр на маршрутизаторе офисной сети

Поэтому вам придется изменить настройки брандмауэра по умолчанию для работы удаленного подключения. В случае программного обеспечения брандмауэра, предназначенного для больших офисов, поведение по умолчанию заключается в блокировании всего трафика, будь то входящего или исходящего. Поэтому, очевидно, вам нужно будет изменить настройки для успешного общения.

Хорошая новость в том, что в простейшем, годном для дома, варианте услуги DDNS можно найти бесплатные. Выбор провайдера DDNS - тема длинная, начните со списка, который поддерживает ваш роутер. Погуглите ваш, многие роутеры это умеют. Если не умеет - nas4free может взять эту роль на себя, Services|Dynamic DNS (я не настраивал, но там всё аналогично). , например, предлагает следующее

Брандмауэр на серверном компьютере в офисной сети

Наличие отдельного брандмауэра на серверном компьютере относительно необычно, потому что основной брандмауэр может выполнить эту задачу. Тем не менее, в некоторых ситуациях на серверном компьютере также работает отдельный брандмауэр. Если он меняется регулярно, вам придется использовать дополнительные технологии, чтобы иметь возможность однозначно идентифицировать ваш компьютер снаружи с течением времени.

Использование одного и того же статического публичного адреса

Поэтому мы предлагаем использовать одну и ту же строку имени домена. Мы обсудим решение с той же строкой доменного имени в другом абзаце ниже. Это может случиться с определенным оборудованием.

Использование одной и той же строки доменного имени

Все ссылки в файле проекта живы для внутренних и внешних пользователей, скорость соединения для внутренних соединений будет быстрее, чем внешние соединения. Редактирование хостов Файлы, когда требуются как локальный, так и интернет-доступ к проектам. Это обязательно, чтобы сохранить все ссылки в файле проекта живыми как для внутренних, так и для внешних пользователей.

Как видно, я выбрал no-ip . Просто потому, что работает. Его и настроим.

1) Регистрируемся на https://www.noip.com/newUser.php , это бесплатный вариант. Во многих местах будут предлагать платное улучшение, для дома это не требуется.
Как всегда, понадобится адрес электронной почты. Плохо, что mail.ru не подойдёт. yandex.com и google.com - принимает.

Коммутируемый удаленный доступ

Используйте клавишу табуляции между записями. Если первая строка содержит локальный адрес в круглых скобках, вы правильно выполнили все шаги. Оба эти ограничения предназначены для защиты файла от взлома, поскольку он может быть компонентом атаки на любом компьютере.

Сторонние средства удалённого доступа

Вам будет предложено ввести пароль в окне терминала. Будьте осторожны, чтобы не изменять ничего уже там, добавьте строку, такую как. В окне терминала введите следующую команду и нажмите клавишу возврата. Если первая строка содержит локальный адрес в круглых скобках, то редактирование было успешным. Когда вы вернетесь в офис, вы захотите удалить этот символ, чтобы снова активировать линию.

2) Заходим, попадаем в графическое меню

Выбираем "Add Host"

3) Попадаем в диалог ниже (в него же можно попасть через меню - Add Host)

Полей очень много, внизу ещё есть. Но заполнить в простейшем случае надо только два
Hostname - выберите что-то вместо vasia_pupkin
И из длинного списка правее надо выбрать домен второго уровня. no-ip.info годится для бесплатного сервиса. Большинство остальных предложены для возможности попросить у вас денег.
IP address заполнять не надо - система определяет его сама. Но если заполните - ничего не изменится.
Жмём внизу оранжевую кнопку Add Host - готово
Прим - функциональность сервиса шире - может потом пригодиться.

Подключение к серверу, на котором выполняется маршрутизация и удаленный доступ

Документацию по продукту для выполнения этих действий.

Шаг 4: добавление статического маршрута на клиенте

Помните, что, скорее всего, ваше домашнее интернет-соединение намного медленнее, чем если бы вы физически находились в офисе, подключаясь к файлу компании в проводной сети.

Сегодня на рынке представлено несколько приложений, которые предоставляют простой способ доступа к компьютеру в офисе. Некоторые обеспечивают лучшую безопасность, в то время как другие хорошо работают с вашей сетью с необходимостью настройки параметров брандмауэра. Если вам нужно распечатать документ, когда вы дома или передаете файлы между домом и офисом, обязательно выберите эти функции, выбрав свое решение.

4. теперь осталось настроить роутер (или NAS) стучаться на no-ip и сообщать о своём адресе. На примере моего роутера, у вас (и в nas4free) всё аналогично.

Идём по галочкам - включаем DDNS сервис, выбираем провайдера no-ip из списка, сообщаем имя созданного хоста, логин и пароль для подключения к no-ip, применяем.

Удаленный доступ по протоколу RDP

Вы увидите рабочий стол своего офиса и сможете использовать его удаленно из дома. Для этого требуется, чтобы компьютер работал в офисе и на нем был установлен программный пакет удаленного доступа, а клиентская версия удаленного программного обеспечения на вашем компьютере дома.

На удаленном компьютере отображается рабочий стол, предназначенный для пользователя с установленными приложениями. Преимущества этой опции включают возможность поддерживать один сервер. Удаленным и локальным компьютерам, подключающимся к серверу, не обязательно должны быть более высокие конечные компьютеры, поскольку работа выполняется на сервере. Сюда входят удаленные и локальные пользователи. Весь трафик выполняется на сервере, и то, что доставлено удаленным и локальным пользователям, по сути, является захватом экрана.

5. Проверка связи. Осталось проверить. Естественный порыв - набрать vasia_pupkin.no-ip.info в адресной строке браузера (сделайте это)
Упс! Нам предлагают войти в вебгуй роутера! Это что же, теперь любой кулхацхер будет ко мне в гости ходить как к себе домой?!!
Ответ - и да и нет. То есть роботы будут ломится и, если вы позже откроете канал, могут подобрать, а то и подслушать пароли.
Нет, потому, что пока вы ничего не открыли. Вы просто привели знающих ваше доменноеё имя vasia_pupkin.no-ip.info к закрытой снаружи двери роутера. Между прочим - причина не светить понапрасну выбранное вами доменное имя.

Это также может быть дорогостоящим. После того, как маршрутизатор теперь доступен по фиксированному адресу в Интернете, мы рассмотрим отдельные сценарии приложений. В этом случае вы подключаете дополнительное соединение, которое зашифровывается и делает частью вашей домашней сети, подключение к Интернету, которое вы используете на дороге.

В статье. Теперь инструмент попросит вас ввести адрес электронной почты. Если это так, все сработало, и вы зашифрованы своей домашней сетью. Также интернет-трафик теперь работает над этим соединением - как описано выше, конечно, с максимальной скоростью, которую обеспечивает ваше домашнее соединение при загрузке.

А вы видите приглашение ввести логин-пароль роутера потому, что к той же двери вы подошли ИЗНУТРИ, из доверенной зоны.
В работоспособности можно убедиться, пинганув ваш домен из командной строки
ping vasia_pupkin.no-ip.info
Если работает, вы получите что-то вроде
PING vasia_pupkin.no-ip.info (96.28.157.147) from 192.168.1.34: 56 data bytes
64 bytes from 95.27.155.134: icmp_seq=0 ttl=64 time=0.283 ms
64 bytes from 95.27.155.134: icmp_seq=1 ttl=64 time=0.292 ms
64 bytes from 95.27.155.134: icmp_seq=2 ttl=64 time=0.198 ms

Сетевой трафик извне через брандмауэр является предварительным условием для удаленного доступа из Интернета к его собственным серверным сервисам. Это достигается с помощью имен портов и динамических узлов. Собственная, локальная сеть и зарегистрированные участники должны быть хорошо защищены от нежелательных запросов или доступа из Интернета. Эта задача выполняется в домашней сети маршрутизатора, которая оснащена фильтром пакетов, чтобы блокировать нежелательный сетевой трафик извне.

Допустимые порты портов через брандмауэр

Для того чтобы компьютер и серверная служба, работающие в сети, были доступны извне, вам необходимо просверлить четко определенное отверстие через брандмауэр.

Имя хоста: сделать маршрутизатор доступным

Если переадресация портов запущена и служба сервера работает в своей собственной сети, это уже доступно из Интернета.

Здесь видно, что (1) имя (vasia_pupkin.no-ip.info) ресолвится во внешний IP (96.28.157.147) - значит, сервис работает и
(2) что время прохождения очень мало, доли миллисекунды, то есть пакеты ходят локально.

6. Чтобы попасть снаружи - надо выйти наружу:). Что дома не так просто. Надо либо пойти на работу, к соседу или приятелю, либо из дома подключиться к другому провайдеру. Рядовой пользователь может сделать последнее, подключившись через мобильную связь. Я, например, воткнул 3G модем в ноутбук.
Снова сделаем пинг. В результате имя по-прежнему должно ресолвиться в тот же IP, но, если у вас нормальный роутер, пинга быть не должно. Если же у вас роутер из сети уже пингуется это может не так и страшно, но признак плохой и повод подумать о замене. Мой, вариант, напомню, asus

Проверьте пересылку порта со стороны

Если все работает по желанию, вы должны проверить снаружи в реальных условиях. Тем не менее, если маршрутизатор принимает соединения на освобожденном порту, вы также можете запускать из своей собственной сети: предлагает через пункт меню «брандмауэр» проверить функцию портального сканера. Для этого введите номер порта в поле «Проверить дополнительный порт». Открытые порты показывают чек с красным предупреждающим символом. Обратите внимание, что многие портовые сканеры маршрутизатора этого типа блокируют.