Привязываем статический IP адрес к роутеру ZyXEL Keenetic на NDMS2 до 2.11

Авторизация по протоколу L2TP/IPSEC

Обладатели камер, видеорегистратора или сервера в локальной сети, заинтересованы в качественном удаленном доступе к ним. А для этого лучше всего привязать статический IP адрес к роутеру и настроить проброс портов.

Услышали незнакомые термины и захотелось вызвать программиста на дом? В этом нет необходимости. Наша Инструкция написана «человеческим» языком такими же пользователями Сервиса как и Вы. Дочитав ее до конца, Вы убедитесь - процедура настройки удаленного доступа проста, и если немного разобраться, то все легко настроить самостоятельно.

Для Вашего удобства Инструкция интерактивная и поделена на шаги, а слева расположено меню для быстрой навигации. В первом шаге проверим оборудование, во втором привяжем IP, а в третьем настроим доступ. В заключении сделаем Контроль соединения, чтобы все работало стабильно. Инструкция покажет все необходимые сведения для настройки, после активации одного из тарифов в Личном кабинете и перехода по ссылке из данных Устройства.

Не будем терять времени, приступим!

Шаг 1. Готовимся к настройке

Зайдите в веб-интерфейс роутера, указав Логин и Пароль администратора. Как правило, локальный ip-адрес роутера ZyXEL Keenetic http://192.168.1.1/?

Системный монитор
Системный монитор

Во избежание различных ошибок, обновите программное обеспечение роутера, который будете привязывать к статическому IP адресу. Проверьте доступность обновлений на странице "Системный монитор" и установите их в разделе "Обновление". Все настройки роутера могут быть сброшены. НЕ РЕКОМЕНДУЕМ использовать БЕТА и ОТЛАДОЧНЫЕ версии прошивок.

Убедитесь что видеокамера, видеорегистратор или сервер работают и открываются в локальной сети по ip-адресу с указанием порта. Адрес можно узнать через веб-интерфейс роутера в разделе "Список устройств".

Например, адрес в браузере может выглядеть так http://192.168.1.1:80/, где:

  • http:// - протокол,
  • 192.168.1.1 - локальный ip-адрес,
  • 80 - порт, указан через : двоеточие.

В приложениях для видеонаблюдения обычно есть отдельное поле для ввода порта и двоеточие не пишется.

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Шаг 2. Авторизуем ID (доступно-после-активации-тарифа)

Авторизация - это успешная привязка роутера ZyXEL Keenetic к статическому IP адресу 185.195.xxx.xxx после создания и включения в нем L2TP/IPSEC-клиента (один из протоколов передачи данных). Все необходимые сведения, включая Логин и Пароль, есть в табличке Настройки L2TP/IPSEC-клиента.

Интернет / Соединения с авторизацией (PPP)
Интернет / Соединения с авторизацией (PPP)

Обратите внимание: L2TP/IPSEC-клиент из раздела VPN и L2TP/IPSEC-подключение из раздела WAN в роутерах это не одно и то же. Не помешает ознакомиться здесь с нашими рекомендациями и минимальными требованиями к оборудованию.

По истечении 10 минут после того, как был создан L2TP/IPSEC-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства. Видите надпись «Подключено»? Отлично, теперь можно переходить к следующему «Шагу 3. Проброс портов».

Если же в течение 15 минут подключение не произошло, то стоит обратиться к списку Частых ошибок авторизации. Они находятся ниже блока Настройки L2TP/IPSEC-клиента в этом Шаге.

172.17.1.x и 172.17.1.xxx - это ip-адреса для настройки L2TP/IPSEC-клиента и они не используются для удаленного доступа.

Данные, написанные СИНИМ ЦВЕТОМ, полностью выделяются и копируются в буфер обмена по клику. Вам остается лишь вставить их в соответствующие поля :-)

Настройки L2TP/IPSEC-клиента

В нижнем меню роутера перейдите в раздел "Интернет", откройте вкладку "PPPoE/VPN" и нажмите кнопку "Добавить соединение".

ПараметрЗначение
Использовать для выхода в ИнтернетНет
ОписаниеBiREVIA ID (доступно-после-активации-тарифа)
Тип (протокол)L2TP/IPSEC
Подключаться черезЛюбое интернет-подключение
Имя пользователя(доступно-после-активации-тарифа)
Пароль(доступно-после-активации-тарифа)
Секретный ключ(доступно-после-активации-тарифа)
Метод проверки подлинностиАвто
Адрес сервера(доступно-после-активации-тарифа)
Настройка параметров IPРучная
IP-адрес172.17.1.xxx
Удаленный IP-адрес172.17.1.x
DNS 1
DNS 2
DNS 3
Автоподстройка TCP-MSSДа
Пример настройки L2TP/IPSEC-клиента

Частые ошибки авторизации

Что-то пошло не так? Не отчаивайтесь! Нажмите на ошибку и узнаете ее решение:

  1. После авторизации пропал доступ к интернету

    Это случилось, потому что через наш IP адрес заблокирован выход в интернет (подробнее). В настройках L2TP/IPSEC-клиента уберите галку с параметра Использовать для выхода в Интернет. Выключите подключение в роутере с помощью снятия галки с параметра Включить и нажмите кнопку "Применить". Затем включите поставив галку обратно.

  2. Выбран неправильный протокол
    Проверьте Тип (протокол) созданного подключения. Должно быть L2TP/IPSEC. Если это не так, удалите подключение и создайте L2TP/IPSEC-клиент заново. Все получится!
  3. В "Журнале" мелькает строчка LCP: timeout sending Config-Requests
    Это значит, что существует какая-то проблема с пропуском L2TP/IPSEC-трафика со стороны оператора, через модем или вышестоящий роутер. Решить ее можно такими способами:
    • Несколько раз отключите и включите питание модема с помощью круглой стрелки в разделе "USB-устройства" на "Системном мониторе" или выключите роутер на 5 минут;
    • Включите Пропуск L2TP/IPSEC-трафика в настройках вышестоящего роутера или модема;
    • Удалите созданный L2TP/IPSEC-клиент. В Личном кабинете выберите другой Протокол, откройте заново или обновите Инструкцию по авторизации. Проделайте все шаги сначала.
    • Выключите L2TP/IPSEC-клиент. Выберите другую Локацию в Личном кабинете, откройте заново или обновите Инструкцию по авторизации. Замените в L2TP/IPSEC-клиенте все изменившиеся данные, включите его. Либо удалите его и проделайте все шаги сначала.
  4. Ошибка в Имя пользователя, Пароль или Адрес сервера
    Внимательно копируйте все данные из таблички Настройки L2TP/IPSEC-клиента. В примере пароль виден в поле не полностью, но по нажатию выделяется и копируется целиком.
  5. Не получается сохранить IP-адрес и Удаленный IP-адрес в настройках L2TP/IPSEC-клиента
    В настройках L2TP/IPSEC-клиента уберите галку с параметра Включить и скопируйте параметры IP-адрес и Удаленный IP-адрес из примера. Нажмите кнопку "Применить". Затем снова включите L2TP/IPSEC-клиент.
  6. Самая распространенная ошибка
    Вы не расставили все галочки как в примере или в раскрывающихся списках активны другие параметры.
  7. Не подключается
    Почти всегда решение такое же, как и у третьей ошибки. Дерзайте!
  8. Все работало и перестало
    Сделайте Контроль соединения, про который написано в самом низу страницы. Полный порядок диагностики ищите тут.

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Шаг 3. Настраиваем проброс портов (NAT)

А теперь плавно переходим к созданию правил проброса портов. Они необходимы для удаленного доступа к вашему оборудованию из внешней сети. И для того, чтобы роутер знал, с какого порта статического IP адреса на какой локальный ip-адрес и порт девайса ему перенаправлять запрос. К примеру:

Подключение к 185.195.xxx.xxx:10000 перенаправить на 192.168.1.10:80

Вместо статического IP адреса 185.195.xxx.xxx можно использовать домен (доступно-после-активации-тарифа) и номера портов от 10000 до 10099 из диапазона ID (доступно-после-активации-тарифа).

После списка Частых ошибок, связанных с пробросом портов, приведено три примера правил для удаленного доступа. Чтобы убедиться в верной настройке подключения, создайте Правило для роутера.

В нижнем меню роутера перейдите в раздел "Безопасность" и нажмите кнопку "Добавить правило".

Проверка статуса порта

После добавления правила проброса порта в роутере, введите в поле ниже его номер. Проверка покажет, отвечает ли ваше оборудование (программное обеспечение) на указанном порту статического IP адреса.

Частые ошибки проброса портов

Добавили правила, но доступа нет? Ничего страшного - выберите ошибку и узнаете ее решение:

  1. Стоит галочка на параметре Выключить правило
    Нужно убрать.
  2. Проверили в правиле параметр Интерфейс?
    В параметре Интерфейс должно быть выбрано название созданного ранее L2TP/IPSEC-клиента.
  3. В правиле указан ошибочный ip-адрес назначения (девайса)
    Как бы очевидно это ни звучало - исправьте на корректный в параметре Перенаправить на адрес.
  4. Неправильный Шлюз (GATEWAY)
    В настройках Сети (Network) оборудования в поле Шлюз (GATEWAY) должен быть указан локальный ip-адрес роутера, который вы авторизовали в Шаге 2. После исправления перезагрузите оборудование.
  5. Неправильно указали ip-адреса 172.17.1.xxx и 172.17.1.x в настройках L2TP/IPSEC-клиента
    Перепроверьте параметры Настройка IP, IP-адрес и Удаленный IP-адрес. Должно быть указано Ручная, 172.17.1.xxx и 172.17.1.x соответственно. Смотрите пример. Выключите подключение в роутере перед внесением изменений, иначе не получится сохранить.
  6. Порт назначения заблокирован сетевым экраном
    Отключите Фаервол и Брандмауэр. Перезагрузите компьютер (роутер) и убедитесь, что они действительно не работают. Иногда потребуется отключить еще и Службу Брандмауэра.
  7. Порт открыт, но видео в приложении или браузере не загружается

Правило для веб-интерфейса видеорегистратора или камеры

Создадим правило проброса порта, чтобы веб-интерфейс камеры или видеорегистратора (доступный в локальной сети, к примеру, по адресу http://192.168.1.10), можно было открыть удаленно по адресу http://(доступно-после-активации-тарифа):10000.

Поле Описание обязательно для заполнения.

ПараметрЗначение
Выключить правилоНет
ОписаниеDVR веб-интерфейс
ИнтерфейсBiREVIA ID (доступно-после-активации-тарифа)
ПротоколTCP / UDP
Порты TCP/UDP10000
Перенаправить на адрес192.168.1.10
Новый номер порта назначения80
Пример правила проброса порта для веб-интерфейса видеорегистратора или камеры

В большинстве случаев видеопоток берется с другого порта, поэтому веб-интерфейс показывается без видео. Регистратор может даже выдавать ошибки, не позволяя войти в интерфейс. В таком случае создайте дополнительное правило для видеопотока – проброс с ЗАМЕНОЙ порта.

Правило для удаленного просмотра видеопотока

Как следует из названия, правило необходимо, чтобы просматривать видео в приложении или окне браузера. В зависимости от способа просмотра видеопотока, нужно создать одно из двух правил: ПРОСТОЙ проброс или проброс с ЗАМЕНОЙ порта. Последний используется когда в приложении не предусмотрена возможность ручного ввода порта. Это несложная процедура, убедитесь сами:

Покажем, как сделать проброс порта 10001 на Медиа порт камеры или видеорегистратора для просмотра видео в программах вроде CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.д. Такой порт может называться по-разному: Порт сервера, TCP, UDP, Data порт, RTP, RTSP и т.п., но точно не HTTP (80). Ведь это порт веб-интерфейса. Иногда потребуется делать правило проброса на каждый отдельный порт из раздела Сеть/Порты девайса. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.

В примере использован локальный порт 34567 видеорегистратора, а у вас он может быть другим: 554, 5000, 9000 и т.д.

ПараметрЗначение
Выключить правилоНет
ОписаниеDVR видеопоток
ИнтерфейсBiREVIA ID (доступно-после-активации-тарифа)
ПротоколTCP / UDP
Порты TCP/UDP10001
Перенаправить на адрес192.168.1.10
Новый номер порта назначения34567
Пример правила проброса порта для удаленного просмотра видеопотока видеорегистратора или камеры

Сохранив правило в роутере, после успешной Проверки статуса порта создайте в приложении для видеонаблюдения новое устройство, используя данные:

  • Domain: (доступно-после-активации-тарифа)
  • IP: 185.195.xxx.xxx
  • Port: 10001
  • User Name: Имя пользователя видеорегистратора
  • Password: Пароль пользователя видеорегистратора

Некоторым девайсам ПРОСТОГО проброса порта будет недостаточно. Приложения, подключающиеся через HTTP порт (SuperLivePro и др.), а также ряд моделей Dahua, RVI потребуют обязательно заменить в видеорегистраторе порт видеопотока (как при просмотре через браузер). Вкладка «проброс с ЗАМЕНОЙ порта» поможет.

Программное обеспечение камер и видеорегистраторов обычно использует надстройку ActiveX для просмотра видео в браузере. Она поддерживается только в Internet Explorer. В EDGE и других браузерах ActiveX нет!

Чтобы ActiveX начал воспроизводить видео в браузере или запустилось приложение, которому мало ПРОСТОГО проброса порта, откройте настройки Сети/Портов девайса. Замените Медиа порт на 10001 и создайте правило как внизу. Такой порт может называться иначе: Порт сервера, TCP, Data порт, RTP, RTSP, UDP и т.п., но только не HTTP (80). Это порт веб-интерфейса.

Смысл проброса с ЗАМЕНОЙ порта состоит в том, что порт 10001 внешнего адреса 185.195.xxx.xxx будет ссылаться на порт с таким же номером локального адреса видеорегистратора. С остальными портами, кроме HTTP (80), нужно проделать то же самое. Разумеется, надо использовать разные номера портов из диапазона Устройства от 10000 до 10099.

После замены портов перезагрузите видеорегистратор!

ПараметрЗначение
Выключить правилоНет
ОписаниеDVR видеопоток
ИнтерфейсBiREVIA ID (доступно-после-активации-тарифа)
ПротоколTCP / UDP
Порты TCP/UDP10001
Перенаправить на адрес192.168.1.10
Новый номер порта назначения10001
Пример правила проброса порта для удаленного просмотра видеопотока видеорегистратора или камеры

Сохранив правила в роутере и проведя успешную Проверку статуса порта, можно смотреть видео в приложениях для видеонаблюдения: CMS, XMEye, gDMSS lite, EYE4 NVR, RViSmartPSS и т.п. Создайте новое устройство в приложении, используя учетные данные:

  • Domain: (доступно-после-активации-тарифа)
  • IP: 185.195.xxx.xxx
  • Port: 10001
  • User Name: Имя пользователя видеорегистратора
  • Password: Пароль пользователя видеорегистратора

Правило для удаленного доступа к роутеру

Рассмотрим пример правила проброса порта на любое локальное оборудование, в т.ч. сам роутер с адресом 192.168.1.1. После того, как веб-интерфейс роутера стал доступен по адресу http://(доступно-после-активации-тарифа):10002/, настройте Контроль соединения.

ПараметрЗначение
Выключить правилоНет
ОписаниеРоутер ZyXEL Keenetic
ИнтерфейсBiREVIA ID (доступно-после-активации-тарифа)
ПротоколTCP / UDP
Порты TCP/UDP10002
Перенаправить на адрес192.168.1.1
Новый номер порта назначения80
Пример правила проброса порта для удаленного доступа к роутеру ZyXEL Keenetic

ПОЛУЧИТЬ
СТАТИЧЕСКИЙ IP АДРЕС

Контроль соединения

После настройки удаленного доступа к веб-интерфейсу роутера и успешной Проверки статуса порта, сделайте контроль соединения по TCP-порту роутера через удаленное подключение. Так роутер будет сам проверять свою авторизацию на статическом IP адресе.

В мобильных сетях такой контроль необходим, чтобы модем автоматически перезагружался по питанию в том случае, когда роутер станет недоступен на статическом IP адресе и порту 10002. Подробнее.

Настройте "Ping Сheck" на модеме, через который роутер получает интернет:

ПараметрЗначение
Метод проверкиПроверка порта TCP
Периодичность проверки (с)60
Порог срабатывания5
Проверять адрес185.195.xxx.xxx
Порт TCP10002

Если указать адрес или порт, где ничего нет, или задать периодичность проверки чаще чем раз в минуту, то модем будет перезагружаться постоянно.

Чтобы появилась вкладка "Ping Сheck", в нижнем меню роутера перейдите в раздел "Система", откройте вкладку "Обновление" и нажмите кнопку "Показать компоненты". В разделе "Applications" поставьте галочку на Проверка доступности интернета (Ping checker) и затем в самом низу страницы нажмите кнопку "Установить".

Как видите, в привязке статического IP адреса к роутеру или ПК действительно нет ничего сложного. Эта процедура не требует специальных познаний, а с нашей универсальной Инструкцией выполнить ее сможет каждый. Более того, рассмотренные принципы настройки, хоть и с небольшими вариациями, применимы и к другому оборудованию :-)