Приветствую всех! На сегодняшний день мы обсудим тему DMZ: что это такое в роутере, зачем эта функция необходима и как её настроить на различных маршрутизаторах. Чтобы не перегружать вас сложными терминами, я предпочту рассказать на практическом примере – так будет проще понять. Допустим, у вас дома установлена видеокамера для наблюдения, которая подключена к сети через маршрутизатор. Также к этой же сети подключены все компьютеры, ноутбуки и другие устройства.
Теперь представим, что вы планируете уехать в отпуск, но при этом хотите иметь удаленный доступ к камере через интернет, чтобы следить за происходящим у вас дома или в квартире. Естественно, для этого необходимо настроить проброс портов в настройках маршрутизатора, чаще всего используя порты 80 или 8080. Но что делать, если эти порты уже заняты в сети?
В данном случае можно экспериментировать с настройками брандмауэра, но проще всего настроить DMZ в роутере. Для этого нужно добавить IP-адрес камеры в DMZ-хост, чтобы она стала доступной из интернета. При этом остальная локальная сеть останется защищенной, а устройства, добавленные в DMZ, будут доступны извне.
Теперь намного понятнее, что такое DMZ-хост в роутере. DMZ или Зона демилитаризации — это отдельный сегмент локальной сети, к которому открыт доступ извне. Нельзя путать этот сегмент с гостевой сетью, поскольку к нему можно получить доступ как из интернета, так и из локальной сети. Для этой сети сразу открываются все порты, поэтому устройства в DMZ должны самостоятельно заботиться о своей безопасности. По крайней мере, нужно установить логин и пароль для камеры.
В следующем разделе я поделюсь информацией о настройке демилитаризованной зоны на домашних роутерах. Если у вас возникнут вопросы, пожалуйста, оставьте их в комментариях.
Настройка
Перед тем, как начать настройку DMZ, хочу отметить несколько важных моментов. Домашние маршрутизаторы не предоставляют полной возможности создать демилитаризованную зону, так как они не разработаны для этой цели. Да, существует такая настройка, но она позволяет открыть порты только для одного сегмента сети. И в большинстве случаев этого достаточно. Например, если вам нужен доступ к нескольким камерам, лучше всего подключить их к видеорегистратору, к которому вы затем сможете получить доступ.
Все настройки проводятся в веб-интерфейсе, который можно открыть, введя IP-адрес или DNS-имя интернет-центра в адресную строку браузера. Чаще всего используются IP-адреса: 192.168.1.1 или 192.168.0.1. Также этот адрес можно найти на этикетке под корпусом устройства.
Обратите внимание! Чтобы получить доступ извне, ваш IP-адрес должен быть «белым». Если вы не знаете, что это такое, рекомендуем прочитать соответствующую статью.
TP-Link
Устаревшее программное обеспечение
Функция расположена в разделе «Перенаправление».
Обновленное программное обеспечение
В разделе «Дополнительные настройки» — «NAT переадресация» — необходимо найти соответствующую функцию, включить её, указать IP адрес устройства и сохранить изменения.
D-Link
Для поиска нашей функции в разделе «Межсетевого экрана» мы выбираем «Расширенные настройки» внизу.
Светлая прошивка доступна в разделе «Межсетевой экран».
Активируем опцию и вводим адрес устройства. Можно выбрать адрес из уже подключенных. После этого жмем кнопку «Применить». На некоторых устройствах есть функция «NAT Loopback», которая позволяет проверять пакеты, отправляемые из локальной сети во внешнюю (интернет) через межсетевой экран. Но если у вас слабый роутер, то лучше не включать эту опцию, так как она сильно нагружает процессор устройства.
Zyxel Keenetic
Имеется обновленная версия прошивки.
Перед тем как включить новое устройство, необходимо зарегистрировать его. Перейдите в раздел «Список устройств», где будут отображены два списка: «Незарегистрированные» и «Зарегистрированные» устройства. Для регистрации устройства, выберите нужное устройство и нажмите на него.
Вставьте свое имя и нажмите на кнопку, чтобы зарегистрироваться.
Как только это будет сделано, устройство будет автоматически добавлено в список «Зарегистрированные», вам нужно будет найти его там и зайти в настройки. Вам следует отметить опцию «Постоянный IP-адрес».
Открываем раздел «Переадресация» и настраиваем новое правило:
- Убедитесь, что флажок «Включить правило» установлен.
- Дайте краткое описание – например, назовите его «DMZ».
- Выберите входное подключение, через которое проходит интернет.
- Укажите устройство, которое будет находиться в зоне DMZ, в поле «Выход».
- Выберите протокол «TCP/UDP (все порты и ICMP)».
- Если необходимо, настройте расписание работы, но обычно это поле остается на значение «Работает постоянно».
Устаревшая версия прошивки
При переходе в раздел «Домашняя сеть» (с иконкой двух мониторов) необходимо открыть вкладку «Устройства» и выбрать из списка нужное устройство, которое будет использоваться в качестве DMZ-хоста. В случае, если устройство не было подключено ранее, его можно добавить, но для этого необходимо знать его MAC-адрес.
Записываем информацию и обязательно отмечаем опцию «Фиксированный IP-адрес». Также в поле «Доступ к сети» необходимо выбрать опцию «Разрешен». Кликаем на кнопку «Зарегистрировать».
Далее идем в раздел «Защита» и переходим на вкладку «Network Address Translation (NAT)», после чего нажимаем на кнопку «Создать правило».
Теперь необходимо ввести следующую информацию:
- Название – укажите его как «DMZ», чтобы избежать путаницы, хотя фактическое название может быть любым.
- Интерфейс – здесь нужно выбрать именно то подключение, через которое происходит доступ в интернет. Эти данные можно найти в разделе «Интернет».
- Протокол – здесь следует выбрать только одно значение: TCP/UDP (все порты и ICMP).
- Перенаправить на адрес – здесь мы выбираем наш сервер.
Кликаем на кнопку «Сохранить».
ASUS
Выбираем категорию «Интернет» на левой панели, затем переходим в соответствующую вкладку. Активируем опцию и вводим URL хоста. Не забывайте нажать кнопку «Применить» в конце.
Netis
Если нам нужно воспользоваться определенной функцией, то мы должны перейти в раздел «Переадресация», указать необходимый хост, ввести IP и нажать на кнопку «Сохранить».
Tenda
После входа в раздел «Расширенные параметры» необходимо обратить внимание на настройки хостинга.
Активируем бегунок и указываем последнюю цифру номера местной машины, чтобы открыть все порты.
Локализуем раздел «Продвинутые настройки».
Когда мы доскроллим до секции «ДМЗ-хост», мы активируем (Enabled) её и вводим необходимый адрес.
LinkSys
В разделе «Application & Gaming» находится инструмент для открытия всех портов. Необходимо включить функцию (Enabled). Здесь параметры немного отличаются от других устройств. В поле «Source IP Address» можно указать диапазон внешних адресов, которым будет разрешен доступ к устройству в сети. Обычно выбирается опция «Any IP Address» (Все IP адреса).
Для настройки в поле «Destination» нужно указать IP или MAC-адрес устройства. Также можно просмотреть все подключенные устройства, нажав на кнопку «DHCP Client Table». После внесения изменений не забудьте нажать «Save Settings».
