Проверка публичного IP-адреса и статуса NAT
При замене сетевого оборудования первым делом необходимо убедиться, что новый роутер получает на WAN-интерфейсе публичный (белый) IP-адрес, а не частный из подсети провайдера. Если провайдер использует технологию CGNAT, входящие соединения будут блокироваться на стороне магистрального оборудования до того, как достигнут вашего устройства. Сравните IP-адрес, указанный в статусе WAN-порта роутера, с адресом, который определяется внешними сервисами вроде 2ip или myip; если они различаются, проброс портов не будет работать без аренды статического IP.
Конфликты локальных IP-адресов и привязка по MAC
После смены роутера локальные IP-адреса устройств в сети часто перераспределяются DHCP-сервером заново. Правило проброса портов жестко привязано к конкретному внутреннему адресу (например, 192.168.1.15), и если целевой сервер получил другой адрес, трафик будет уходить в «пустоту». Убедитесь, что для целевого устройства настроено статическое резервирование IP-адреса в настройках DHCP нового роутера, чтобы избежать смены адреса при перезагрузке.
Особенности реализации NAT Loopback (Hairpin NAT)
Многие пользователи ошибочно считают, что проброс не работает, если проверка соединения изнутри локальной сети заканчивается неудачей. Если ваш новый роутер не поддерживает или не имеет активированной функции NAT Loopback, вы не сможете обратиться к своему серверу по внешнему IP-адресу, находясь в той же сети. Для полноценного тестирования всегда используйте внешнее подключение — например, мобильный интернет без Wi-Fi или VPN-соединение.
Правильная настройка правил переадресации
При переносе конфигурации со старого роутера на новый легко допустить ошибку в синтаксисе правил или выбрать неверный протокол. Современные устройства часто требуют раздельного указания портов для TCP и UDP, а также корректного выбора интерфейса, на который приходят пакеты.
- Проверьте, что в правиле указан верный протокол (TCP, UDP или Both). Ошибочный выбор протокола — самая частая причина неработоспособности сервисов вроде игровых серверов или систем видеонаблюдения.
- Убедитесь, что порты перенаправляются на нужный локальный IP-адрес. Проверьте отсутствие опечаток в номерах внешнего и внутреннего портов.
- Проверьте, не перекрывает ли правило проброса встроенный системный сервис роутера (например, веб-интерфейс управления, работающий на 80 или 443 порту).
Локальные файрволы и фильтрация трафика
Внимание: Даже если роутер настроен корректно, пакеты могут отбрасываться программным брандмауэром на самом целевом устройстве (Windows Firewall, iptables или ufw). При смене сетевого профиля в ОС Windows сеть может автоматически определиться как «Общественная» (Public), что по умолчанию блокирует все входящие соединения.
Проверьте настройки безопасности на конечном хосте, куда осуществляется проброс. Если на устройстве запущен локальный антивирус или сторонний файрвол, временно отключите их для диагностики. Убедитесь, что служба или приложение, принимающее соединение, запущено и слушает именно тот порт, который указан в настройках NAT роутера.
Диагностика через сканирование портов
Для подтверждения того, что роутер корректно открыл доступ, воспользуйтесь внешними сканерами портов. Если сканер показывает статус «Closed» при включенном правиле, значит, либо провайдер блокирует входящий трафик, либо роутер не передает пакеты дальше. Если статус «Filtered» — проблема в файрволе на конечном устройстве, который не отправляет ответ на запрос сканера.