Smerovače Zyxel FWA - konfigurácia vzdialeného prístupu z WAN

В этой статье показано, как разрешить доступ через HTTPS, HTTP, FTP, SSH к устройству для NR7101, NR5101, FWA510, FWA505, FWA710, LTE7480 / 7490, LTE3301-PLUS. Удаленное управление контролирует, каким интерфейсам и веб-службам разрешен доступ к устройству. Здесь объясняется, почему проброс портов и удаленный доступ не работают на устройстве LTE / 5G (из-за NAT оператора) и как исправить / решить проблемы с удаленным доступом к устройству.

Настройка доступа к маршрутизатору

Шаг 1: Вставьте SIM-карту и запустите маршрутизатор

Для начала вставьте SIM-карту в специальный слот на маршрутизаторе LTE/5G. Убедитесь, что маршрутизатор выключен во время этого процесса, чтобы избежать возможного повреждения устройства или SIM-карты.

После того как SIM-карта будет правильно вставлена, включите роутер и дождитесь завершения процесса загрузки. Большинство маршрутизаторов оснащены индикаторами, которые сигнализируют о готовности устройства к работе.

Шаг 2: Доступ к веб-интерфейсу через WiFi

Теперь, когда маршрутизатор включен и работает, подключитесь к нему с помощью WiFi. Найдите имя сети WiFi (SSID) и пароль, указанные в комплекте с роутером или на упаковке устройства. Подключите свое устройство к этой сети, чтобы получить доступ к веб-интерфейсу маршрутизатора.

Шаг 3: Вход в веб-интерфейс

Откройте веб-браузер на своем устройстве и в адресной строке введите IP-адрес маршрутизатора по умолчанию, обычно что-то вроде "192.168.1.1" или "192.168.0.1". Нажмите Enter, чтобы перейти на страницу входа в систему.

Введите учетные данные администратора, которые обычно предоставляются вместе с маршрутизатором или могут быть найдены в руководстве пользователя. После успешного входа в систему вы должны получить доступ к графическому интерфейсу маршрутизатора.

Шаг 4: Включите удаленное управление

В веб-интерфейсе перейдите в раздел "Обслуживание", а затем выберите "Удаленное управление". Здесь вы найдете опции для настройки удаленного доступа к вашему LTE/5G-маршрутизатору.

Вариант 1: Доступ по LAN/WLAN (WiFi)

Если вы хотите получить удаленный доступ к маршрутизатору с помощью устройств, подключенных к той же локальной сети (LAN) или подключенных по WiFi (WLAN), включите опцию LAN/WLAN. Помните, что эта опция обеспечивает доступ ко всем устройствам в LAN/WLAN.

Включите службы в LAN/WLAN, чтобы разрешить доступ к выбранной службе из локальной сети.

Вариант 2: Доступ к глобальной сети извне

Чтобы получить доступ к маршрутизатору извне локальной сети, включите WAN-доступ. Это позволит вам получить доступ к веб-интерфейсу маршрутизатора, используя публичный IP-адрес вашей сети.

Включите службы в WAN, чтобы разрешить доступ к выбранной службе извне со всех WAN-соединений.

Вариант 3: Доверенный домен

В качестве альтернативы можно включить функцию "Доверенный домен". Этот метод предполагает ручную настройку списка публичных IP-адресов, которым вы доверяете доступ к маршрутизатору извне. Указав эти доверенные IP-адреса, вы добавляете дополнительный уровень безопасности к настройкам удаленного управления.

Включите службы в домене доверия, чтобы разрешить доступ к выбранной службе только с доверенных IP-адресов, настроенных в домене доверия.

Настройка доверенных доменов для режима сквозного IP-адреса (режим моста)

Если вы хотите получить доступ к маршрутизатору LTE/5G в режиме IP passthrough (мост), процесс немного отличается. IP passthrough позволяет получить доступ к веб-интерфейсу маршрутизатора, даже если он работает в режиме моста, перенаправляя внешний трафик непосредственно во внутреннюю сеть.

Службы MGMT для IP-прохода

В веб-интерфейсе перейдите к разделу "MGMT Services for IP Passthrough" и настройте нужную службу (например, HTTPS) и порт (например, 20443) для доступа к веб-интерфейсу в режиме моста.

На этом экране настраивается, какие интерфейсы можно использовать для доступа к устройству в режиме IP Passthrough:

Включить службы в WAN, чтобы разрешить доступ к выбранной службе извне со всех соединений WAN.

Включить службы в домене доверия, чтобы разрешить доступ к выбранной службе только с доверенных IP-адресов, настроенных в разделе Домен доверия.

Домен доверия для IP-прохода

Как и в предыдущем шаге, вы также можете настроить доверенные домены, когда устройство находится в режиме прохода по IP, обеспечивая дополнительный уровень безопасности.

Используйте этот экран для настройки публичных IP-адресов, которым разрешен доступ к устройству в режиме IP Passthrough.

Удаленный доступ и переадресация портов не работают - NAT операторского класса?

Carrier-Grade NAT (CGNAT) - это сетевая технология, используемая интернет-провайдерами (ISP) для экономии адресов IPv4. Поскольку в мире исчерпан пул доступных IPv4-адресов, провайдеры стали использовать CGNAT, чтобы позволить нескольким клиентам совместно использовать один публичный IP-адрес. Такой подход позволяет провайдерам обслуживать большую клиентскую базу, не требуя уникального публичного IP-адреса для каждого клиентского устройства. Это означает, что эти устройства не имеют выделенного публичного IP-адреса, а используют его совместно с несколькими клиентами.

Таким образом, Carrier-Grade NAT (CGNAT) - это технология, используемая интернет-провайдерами для разделения публичных IP-адресов между несколькими клиентами, что приводит к трудностям при удаленном доступе к устройствам из глобальной сети. Проверив свой IP-адрес WAN и сравнив его с общедоступным IP-адресом, вы можете определить, есть ли у вас CGNAT. Если да, обратитесь к своему провайдеру, чтобы приобрести публичный IP-адрес для устройства LTE/5G, это позволит вам преодолеть это ограничение и получить удаленный доступ.

Проверка наличия NAT операторского класса (CGNAT)

Если вы испытываете трудности с доступом к устройству LTE/5G извне сети (WAN), это может быть связано с CGNAT. Чтобы проверить наличие CGNAT, выполните следующие действия:

1. Получите доступ к панели управления Web GUI: Сначала войдите в Web GUI Dashboard вашего LTE/5G-маршрутизатора, используя локальный IP-адрес, предоставленный производителем маршрутизатора (например, "192.168.1.1").

2. Найдите IP-адрес WAN: после входа в систему перейдите к разделу, в котором отображается IP-адрес WAN вашего маршрутизатора. Обычно эту информацию можно найти в разделе "Сеть" или "Настройки WAN".
   

3. Проверьте с помощью инструмента поиска публичного IP-адреса: Посетите веб-сайт, на котором отображается публичный IP-адрес вашей сети. Одним из таких сайтов является"https://whatsmyip.com". Когда вы зайдете на этот сайт, там будет отображен ваш публичный IP-адрес.
   

4. Сравните IP-адреса: Сравните IP-адрес WAN, отображаемый в Web GUI Dashboard вашего маршрутизатора, с публичным IP-адресом, показанным на сайте"https://whatsmyip.com".

• Если оба IP-адреса одинаковы, значит, у вас нет Carrier-Grade NAT, и вы должны иметь доступ к своему устройству из WAN (снаружи).

• Если IP-адреса разные, это означает, что ваш провайдер использует Carrier-Grade NAT, и у вашего устройства нет уникального публичного IP-адреса. В результате удаленный доступ к маршрутизатору LTE/5G из глобальной сети будет невозможен.

• В приведенном выше примере мы имеем WAN IP 10.204.58.202 и публичный IP 81.x.126.128, что означает, что у нас NAT операторского класса и мы не можем получить доступ к устройству извне (из WAN).

Работа с NAT операторского класса

Если вы обнаружили, что ваше LTE/5G-устройство находится за Carrier-Grade NAT и вам нужен удаленный доступ, вы должны связаться со своим интернет-провайдером и запросить публичный IP-адрес для SIM-карты или LTE/5G-маршрутизатора. Провайдер может предложить эту услугу за дополнительную плату, но она предоставит вам уникальный публичный IP-адрес, обеспечивающий удаленный доступ к вашему устройству из глобальной сети.