Настройка ddns на роутере f660

Обновлено: 30.06.2024

В этой статье я постараюсь простыми словами пояснить, что такое функция динамической системы доменных имен (DDNS) и для каких задач она используется. Чтобы подготовить максимально простую статью, я все проверил на своем оборудовании. Постарался изучить все нюансы и возможные проблемы, с которыми можно столкнуться в процессе настройки.

Ниже речь пойдет об использовании DDNS именно на роутерах. Практически в каждом современно роутере есть поддержка функции динамической системы доменных имен, что дает возможность зарегистрировать для роутера бесплатный, статический адрес. Используя этот адрес, вы откуда угодно сможете зайти на свой роутер (в его веб-интерфейс) , или получить доступ к настроенному на роутере (или за ним) серверу, веб-камере, сетевому накопителю и т. д.

Что такое DDNS?

Функция "Динамический DNS" (Dynamic DNS) позволяет присвоить постоянное доменное имя (адрес для доступа из интернета) публичному, динамическому IP-адресу, который роутер получает от провайдера. Это нужно в первую очередь для доступа к настройкам роутера через интернет (когда вы не подключены к домашней сети) . Так же с помощью DDNS можно настроить доступ через интернет к FTP-серверу, который настроен на роутере. Есть разные сценарии использования функции DDNS (веб-сервер, игровой сервер, доступ к сетевому накопителю NAS, IP-камере) . Но удаленный доступ к FTP-серверу и к настройкам маршрутизатора – это самые популярные варианты. В моем случае, после настройки отлично работало и то, и другое. Некоторые производители дают возможность получать удаленный доступ к настройкам роутера через облако (используя приложение на мобильном устройстве) . Это намного проще и удобнее. Но такая функция есть далеко не на всех маршрутизаторах.

Для начала хочу пояснить, как работает DDNS. Каждый роутер, который подключен к интернету, получает от провайдера внешний IP-адрес. По этому адресу можно получить доступ к роутеру через интернет (или к серверу, который настроен на устройстве за роутером) . Даже когда мы подключены к интернету через другой роутер, мобильный интернет и т. д., и не находимся в своей локальной сети. Но проблема в том, что провайдер чаще всего выдает динамический IP-адрес, а не статический.

Возможно, ваш провайдер выдает вам белый (о белых и серых адресах я расскажу дальше в статье) , статический IP-адрес. В таком случае, вам не нужно настраивать DDNS, так как у вас есть постоянный IP-адрес для доступа к маршрутизатору. Скорее всего услугу "Статический IP-адрес" можно подключить у интернет-провайдера. Обычно, эта услуга платная.

Динамический, внешний IP-адрес, который провайдер выдает роутеру, может постоянно меняться (провайдер каждый раз выдает роутеру новый адрес) . И уже после изменения адреса мы не сможем получить доступ к роутеру через интернет. Здесь нам пригодится DDNS. Как я уже писал в начале статьи, с помощью этой функции можно получить постоянный адрес для доступ к нашему роутеру, даже если провайдер выдает динамический IP-адрес, который постоянно меняется.

Выводы: если провайдер выдает внешний статический IP-адрес (чаще всего нужно отдельно подключать эту услугу) – заморачиваться с настройкой функции "Динамический DNS" не нужно, в этом не смысла, так как у вас уже есть постоянный адрес. Если же у вас динамический внешний IP – настройка DDNS решит эту проблему. Так как после настройки мы получим статический адрес.

Не все так просто: "серые" IP-адреса и DDNS

Сейчас я коротко расскажу, что такое серые и белые внешние IP-адреса, и вы все поймете. Для выхода в интернет провайдер присваивает роутеру, или конкретному устройству внешний (публичный) IP-адрес. Белый, публичный IP-адрес (даже если он динамический) позволяет получить доступ к нашему роутеру из интернета. То есть, этот адрес обеспечивает прямую связь из сети интернет и маршрутизатором.

Так как белых IP-адресов на все устройства в сети интернет не хватает (возможно, это не основная причина) , то интернет-провайдеры очень часто выдают своим клиента (роутерам, устройствам) серые IP-адреса (они же приватные, или частные) . Это адреса из локальной (частной) сети интернет-провайдера. А уже из локальной сети провайдера идет выход в интернет через один внешний IP-адрес. Он может быть общим для определенного количества клиентов.

Мы сейчас не будем обсуждать, плохо это, или хорошо. Но дело в том, что функция DDNS через серый IP-адрес работать не будет . Чтобы настроить динамический DNS, необходимо, чтобы провайдер выдавал вам белый, публичный IP-адрес.

Некоторые маршрутизаторы могут сами определять, какой IP-адрес выдает провайдер. Приватный (серый) , или публичный (белый) . Так, например, на роутерах ASUS, если адрес серый, то в разделе с настройками DDNS отображается следующее предупреждение: "Беспроводной роутер использует приватный WAN IP адрес. Этот роутер находится в NAT окружении и служба DDNS работать не может".

DDNS на роутере не работает через серые (частные) IP-адреса

Если ваш маршрутизатор не умеет определять это автоматически, то есть другой способ выяснить.

Как проверить, "белый" или "серый" IP-адрес выдает провайдер?

Нужно для начала зайти в настройки своего Wi-Fi роутера, и прямо на главной странице (обычно, это"Карта сети", или "Состояние") , или в разделе WAN (Интернет) посмотреть WAN IP-адрес, который присвоен роутеру интернет-провайдером. Вот, например, на роутере TP-Link:

Определяем, "белый" или "серый" IP-адрес

"белый" и "серый" IP-адрес при настройке DDNS

Важно! Убедитесь, что на устройстве, в браузере не включен VPN. Иначе, на сайте будет отображаться не ваш реальный IP-адрес, а адрес VPN-сервера. Используйте стандартный браузер.

Если WAN IP-адрес в настройках роутера и на сайте отличатся, значит провайдер выдает вам серый IP-адрес. А если они совпадают – то белый. В моем случае адреса разные, значит у меня серый IP-адрес и DDNS настроить не получится.

В этом случае (если адрес серый) можно позвонить в поддержку интернет-провайдера, и сказать, что вам нужен белый внешний IP-адрес. Скорее всего они сделают вид, что не понимают о чем идет речь, и начнут рассказывать вам о статических и динамических адресах. Мол это одно и то же, подключите статический IP у нас и все заработает. Да, статический IP будет белым, но как правило, это платная услуга. Да и как мы уже выяснили выше в статье, настраивать DDNS тогда уже не нужно.

Как работает динамический DNS на роутере?

На роутерах разных производителей, даже на разных прошивках, настройка Dynamic DNS может отличаться. Но, так как принцип работы одинаковый, то и схема настройки на всех устройствах будет примерно одинаковой. В рамках этой статьи невозможно подробно показать, как выполнить настройку на разных маршрутизатора (это я буду делать в отдельных статьях) , но как это примерно работает, мы сейчас посмотрим.

  1. Нужно зайти в настройки роутера и найти раздел с настройками "DDNS". Он может называться еще "Динамический DNS". Там должен быть список сервисов, которые предоставляют услугу динамического DNS. Некоторые из них платные, некоторые с бесплатным пробным периодом, а некоторые предоставляют DDNS бесплатно (с определенными ограничениями, но нам будет достаточно бесплотной версии) . Самые популярные: dyn.com/dns/, no-ip.com, comexe.cn.
    Скорее всего, там сразу будет ссылка на регистрацию в выбранном сервисе, который предоставляет динамические DNS.
    Многие производители сетевого оборудования предоставляют свои сервисы DDNS. Например, у ASUS это WWW.ASUS.COM (в списке сервисов на роутере) , на устройствах от Keenetic – KeenDNS (с поддержкой облачного доступа, который работает с серыми IP-адресами) . У TP-Link есть сервис TP-Link ID. Но, как я понимаю, он пока что доступен не на всех роутерах и работает только через облако. Если роутер предоставляет свой сервис динамичных доменных имен, то лучше выбрать его.
  2. Нужно зарегистрироваться в выбранном сервисе и получить там уникальный адрес. В настройках роутера нужно указать этот адрес, и скорее всего еще логин и пароль, который вы установили при регистрации в выбранном сервисе.
    Если подключение с сервисом будет установлено (смотрите состояние подключения) , то можно сохранять настройки.
  3. После того, как мы получили уникальный адрес и задали все настройки в роутере (и он установил подключение к сервису) можно использовать этот адрес для доступа к самому роутеру через интернет.

    Или к FTP-серверу, например (набрав адрес через ftp://) . В случае с FTP, к вашему роутеру должен быть подключен накопитель, настроен FTP-сервер и включен "доступ к Интернет".
    Чтобы заходить через этот адрес в настройки роутера, скорее всего придется в настройках разрешить удаленный доступ для всех адресов.

Безопасность при использовании Dynamic DNS

Так как наш роутер имеет уникальный, постоянный адрес (пусть даже не известный для всех) , через который можно получить к нему доступ, то обязательно нужно подумать о безопасности. Чтобы закрыть для посторонних доступ к самому маршрутизатору, FTP-серверу, камерам и другим серверам и устройствам, которые подключены/настроены на роутере.

В первую очередь нужно установить надежный пароль администратора роутера. Об этом я писал в статье как на роутере поменять пароль с admin на другой. Если там есть возможность сменить имя пользователя – смените. Даже если кто-то узнает адрес вашего роутера и перейдет по нему, то не зная логина и пароля, он не сможет получить доступ к настройкам.

Если настроен FTP-сервер, общий доступ к файлам – обязательно нужно сменить имя пользователя и пароль установленного по умолчанию пользователя admin (он запрашивается при доступе к FTP-серверу) . Если создаете новых пользователей, то устанавливайте для них надежные пароли.

К маршрутизатору подключена IP-камера, сетевое хранилище NAS? Они также должны быть защищены хорошим паролем. Стандартное имя пользователя (admin) я так же рекомендую сменить. Сделать это можно в настройках этих устройств.

Если вы, например, планируете использовать адрес DDNS только для доступа к FTP-серверу, а доступ к панели управления роутером вам не нужен, то убедитесь, что удаленный доступ отключен в настройках роутера.

Выводы

Функцию DDNS можно настроить только на том роутере, который получает от провайдера внешний, белый, динамический IP-адрес. Если роутер получает статический внешний (WAN) IP-адрес, то в этой функции нет никакого смысла.

Если провайдер не может, или не хочет выдавать вам белый WAN IP-адрес, а вы не хотите, или нет возможности подключить услугу "Статические IP-адрес", то изучите информацию по своему роутеру. Возможно, там есть способ получать доступ к настройкам через облако. Но вот доступ файлам, IP-камере, NAS, через облако скорее всего не настроить.

Провел тут себе GPON МГТСный, публичный IPv4 мне достался

а статику за 100р в месяц они не дают?

Нет, ещё и лиза выдается на 5 минут. Я в итоге заставил свой Huawei работать в режиме моста и всё остальное сделал внешним роутером.

Очччень быстрый интернет
Да, публичный ИП достается не всем, судя по форумам.

lease interface "vlan101";
fixed-address 91.76.XXX.57;
option subnet-mask 255.255.240.0;
option routers 91.76.XXX.1;
option domain-name-servers 62.112.113.170,62.112.106.130;
option dhcp-lease-time 300;
option dhcp-message-type 5;
option dhcp-server-identifier 91.76.128.1;
option dhcp-renewal-time 150;
option dhcp-rebinding-time 262;
renew 3 2014/1/29 13:25:32;
rebind 3 2014/1/29 13:27:24;
expire 3 2014/1/29 13:28:02;
>

Я на 99% уверен, что люди, пишущие про "они не дают белого адреса" пишут о том, что модем, который ставит МГТС, работает в режиме роутера, а не модема, соответственно в квартиру выдает серую подсеть и сам делает NAT.

Надеюсь он каждые 5 минут не новый выдает а старый повторно?

Повторный ИП не гарантируется, ясен пень. Если каждый раз разный, то в DDNS нет смысла )

Лизу он умеет продлевать, ага. Если успеешь. Немного проморгал - и всё, другой выдастся.

Дык по DynDNS-то сервису будут предложения?

Там много чего входящего заблокировано:

Причем часть - довольно странно, присылают refuse с произвольным таймаутом, но не сразу. Довольно нетипичное для фаерволов поведение, ресеты рассылать

великий китайский вроде так делает? может купили списаные железки

а отключить фаервол нельзя? У корбины можно в личном кабинете, хотя тех.поддержка утверждает что у них ничего не фильтруется и ничего не знает про эту настройку.

Я не изучал каждый уголок личного кабинета, но после того, как техподдержка мне заявила, что у них нет технической возможности перевести модем в режим бриджа, мне как-то не верится, что с фаерволом такая техническая возможность откуда-то появится.

Эту ссылку я видел. И даже зарегался на этом сервисе. Осталось понять, как он это сделал и где на этом сервисе настройки для такого протокола.

По результатам собственных изысканий родилась идея набросать небольшой Q&A по работе с некоторыми недокументированными функциями оптического терминала ZTE ZXHN F660, устанавливаемого сейчас в квартиры фирмой МГТС.


Статья расcчитана на начинающих, которые, тем не менее, уже ознакомились с Web-интерфейсом управления терминалом и знают, как делать в нем базовые вещи: смена пароля, активация SAMBA, проброс портов, настройка WLAN, настройка фильтрации, и т.д. В ней мы не будем рассматривать смену прошивки или «отвязку» от провайдера – все вещи, связанные с удаленным обновлением, настройкой VOIP, и т.д. трогать крайне не рекомендую. Оставьте провайдеру возможность выполнять свою работу и обслуживать свое устройство (оно его, а не ваше, если помните договор).

1. Есть ли уязвимость в WPS?

Для начала хочу успокоить тех, кто в интернете наткнулся на информацию о страшной дыре в безопасности WiFi-сетей – уязвимости в WPS. Это имело место быть в ранних прошивках ZXVA, но сейчас WPS не активен по умолчанию, так что бояться нечего.

2. Есть ли уязвимость в Web-интерфейсе настроек?

А вот она никуда не делась, хоть и писали о ней давно. Зайдя из внутренней сети по адресу 192.168.1.1/manager_dev_config_t.gch и нажав на кнопку “Backup Configuration” (если у вас стоит русский язык по умолчанию, то это – верхняя кнопка, просто название неправильно перевели) ЛЮБОЙ пользователь (без авторизации!) получит XML-файл со всеми настройками, включая ВСЕ пароли ко ВСЕМ интерфейсам (включая пользователя mgts к веб-интерфейсу и root к telnet). Таким образом, пуская кого-либо в свою внутреннюю сеть, вы заодно даете ему потенциальную возможность полного управления ею.

3. Как загрузить свой файл настроек?

При попытке загрузить измененный вручную XML-файл настроек, F660, не будь дурак, проверяет контрольную сумму и отвергает измененные файлы. Но есть возможность отредактировать сам файл-источник:

— штатно включаем SAMBA в web-интерфейсе
— заходим по telnet с полученным из п.2 логином и паролем
— выполняем:


— заходим проводником на \\192.168.1.1\samba\config
— редактируем (хотя бы «Блокнотом») файл db_user_cfg.xml (другие файлы не трогаем!)
— после сохранения файла перезагружаем F660.
— на случай порчи этого файла у вас есть лежащий там же файл db_backup_cfg.xml, ну и ещё кнопка Reset, которая запишет в него default-настройки.

4. Как сменить пароль к telnet?

В файле настроек (п.3) меняем параметр «TS_UPwd».

5. Как активировать FTP-доступ?

В файле настроек (п.3) меняем флаг «FtpEnable» на «1». Заодно выставляем в «1» параметр «FtpAnon» или редактируем логины/пароли раздела «FTPUser».

6. Как превратить F660 в простой локальный Web-сервер?

Допустим, на флешке у вас есть подготовленная структура сайта со стартовым INDEX.HTM в корне.

— переименовываем INDEX.HTM в setlang.gch
— вставляем флешку в F660
— заходим по telnet с полученным из п.2 логином и паролем
— выполняем:

— видим новое содержимое по адресу 192.168.1.1
— это работает только до очередной перезагрузки

7. Как сделать эти FTP- и/или Web-сервер доступными из Интернета?

Если же вы готовы обращаться извне к нестандартному порту, то просто штатно прописываете port mapping c какого-нибудь 5-значного внешнего порта на внутренний 21 (и/или 80) и в качестве адреса внутреннего компьютера указываете 192.168.1.1. НО! Делать это категорически не рекомендуется, т.к. вы оставляете свой бедный терминал один на один с жестоким внешним миром: FTP – протокол без шифрации, а значит любой сможет перехватить логин/пароль доступа к нему, про Web-сервер помним, что после перезагрузки он превращается в тыкву интерфейс настроек, открытый для всех (см п.2), наконец, нас просто легко заDOSить, все-таки F660 — железка слабая в сравнении с полноценным сервером.

8. Как заблокировать Web-интерфейс терминала, раз в нем есть уязвимость?

Из внешней сети доступа и так нет. Если пытаемся защититься от гостей, допущенных во внутреннюю сеть, то вариантов 2:

— Постоянный: Штатным механизмом «Services Control». К сожалению, он не умеет различать доступ по WiFi и по Ethernet, а блокировать только диапазон IP, оставляя доступ со «своих» адресов — ненадежно (т.к. подменить IP легче легкого), поэтому блокируем Web со ВСЕХ адресов. Но учтите, что при этом вы лишаетесь Web-интерфейса управления терминалом, и снять такую блокировку получится только сбросив настройки кнопкой Reset или ручным редактированием db_user_cfg.xml (поэтому не надо заодно блокировать и telnet, достаточно пароль ему сменить).
— Временный. Замещаем web-интерфейс по аналогии с п.6, но флешка уже не нужна: можем создать папку где-нибудь в /userconfig (он не стирается при перезагрузке терминала), поместить в неё файл setlang.gch с содержимым вроде:

Если нужно вернуть web-интерфейс управления без перезагрузки, выполняем

9. Как сделать массовую фильтрацию DNS-имен по файлу hosts?

Если записей немного, то достаточно штатного способа — в разделе Applications => DNS Service => Hosts. Настройки сохраняются при перезагрузке, но каждую нужно вводить по отдельности, и занимает она приличное место в db_user_cfg.xml. Если же у вас собственный файл на тысячи имен, можете добавить их во временный файл hosts, расположенный в /var/tmp/. (Способ получения к нему файлового доступа – по аналогии с п.3). Работает до очередной перезагрузки.

10. Как скомпилировать/запустить собственные программы на терминале?

11. Можно ли навесить свои функции на автозагрузку?

Очень настоятельно не рекомендую это делать. У F660 есть 2 печальные особенности:

1) Кнопка reset – это не полный сброс устройства, а всего лишь сигнал заменить файл настроек на дефолтный, она не поможет восстановить нарушенную процедуру загрузки.

2) Все коммуникационные интерфейсы поднимаются ближе к концу загрузки.

Сочетание этих 2 особенностей дает результат: любые проблемы в загрузке – и вы получаете «кирпич».

Перед экспериментированием с загрузкой подумайте, действительно ли оно вам нужно. У меня, к примеру, uptime устройства достигает нескольких месяцев (собственно, я смог вспомнить только 1 перезагрузку за год не по причине применения настроек), так что просто нет потребности.

Удалённый доступ к маршрутизатору через DDNS

Любительский

Аватар пользователя

В данной заметке я расскажу о том, как организовать удалённый доступ к своему домашнему беспроводному маршрутизатору, используя функцию DDNS, являющуюся стандартной функцией любого современного сетевого устройства.

Для чего может потребоваться удалённый доступ к домашним сетевым устройствам через сеть Интернет:

  • для настройки и контроля работы домашнего маршрутизатора;
  • для удалённого мониторинга системы видеонаблюдения (IP-камеры, цифровые видеорегистраторы);
  • для получения материалов, хранящихся на домашнем сетевом хранилище;
  • для организации прямой связи посредством IP-телефонии;
  • для удалённой печати на домашнем принтере;
  • для управления системой цифрового дома.

В публичной сети Интернет найти сетевое устройство и получить к нему доступ возможно только, если это устройство имеет так называемый публичный или реальный IP-адрес (что это такое, кому интересно, можете найти в Интернете, используя любимую поисковую систему).

Интернет-провайдеры, предоставляющие доступ к сети Интернет, при подключении и авторизации могут выдавать один из трёх вариантов IP-адресов:

  • приватный (или внутренний);
  • публичный статический;
  • публичный динамический.

При первом варианте прямой удалённый доступ организовать в большинстве случаев не получится, только, в некоторых случаях, через специальный внешний сервер.

При втором варианте Вы сразу получаете постоянный адрес для удалённого доступа, но, как правило, это платная услуга операторов связи, стоимость которой обычно составляет до 200 руб. в месяц.

При третьем варианте ваш полученный реальный адрес динамически меняется в соответствии с условиями провайдера, что создаёт большие неудобства при удалённом доступе. Именно в этом случае Вам может помочь функция DDNS. Идея функции состоит в том, что ваше сетевое устройство, например, маршрутизатор, само сообщит на внешний сервер текущий реальный IP-адрес, полученный от провайдера, а сервер автоматически переадресует на этот адрес при каждой Вашей попытке открыть заранее настроенный на сервере домен (сайт).

Серверов, оказывающих услуги DDNS на платной, условно–бесплатной и бесплатной основе огромное множество в сети Интернет, как зарубежных, так и отечественных. Но далеко не каждое сетевое устройство способно работать с любым сервером. Чаще всего в устройствах имеется возможность работать с ограниченным количеством подобных ресурсов, выбираемых из выпадающего списка. Например, в современных беспроводных маршрутизаторах D-Link можно выбрать понравившийся сервер из более чем 20 доступных вариантов.


Последовательность действий для настройки функции следующая:

Для обеспечения безопасности, обязательно настройте на своём устройстве авторизацию по логину и паролю.

Если ваши сетевые устройства, к которым требуется удалённый доступ, расположены относительно сети Интернет за маршрутизатором, то настраивать функцию DDNS требуется именно на этом маршрутизаторе. При этом ещё потребуется на маршрутизаторе настроить проброс портов на эти устройства.

Если требуется доступ к настройкам самого маршрутизатора, то, как правило, на маршрутизаторе надо отдельно включить доступ к интерфейсу с WAN порта.

Читайте также: