Зачем нужна демилитаризованная зона (DMZ) в роутере и как её настроить

Вы наверняка встречали в настройках своего роутера непонятный параметр «демилитаризованная зона (DMZ)». Большинству пользователей данная настройка действительно не нужна и уж тем более, мало кто понимает, что туда нужно прописывать.

Однако данная функция может быть весьма полезной в случае, когда необходимо открыть доступ к камерам видео-наблюдения или домашнему игровому серверу. Обычно это реализуется через проброс портов, но в некоторых случаях без настройки демилитаризованной зоны не обойтись. Даже если вы ничем вышеописанным не пользуетесь, не будет лишним узнать что же такое DMZ и как её настроить в случае необходимости.

Итак, простыми словами, DMZ (демилитаризованная зона) — это выделенная часть вашей локальной сети, доступная из Internet. Как правило в ней размещают какие-то общедоступные сервисы типа камер видеонаблюдения, уже упомянутых ранее игровых серверов или сетевого хранилища, к которому нужен доступ из любого места. Причём ваша домашняя (частная) сеть остается закрытой настройками роутера без каких-либо изменений.

Если проводить аналогии с обычной жизнью, то DMZ чем-то напоминает клиентскую зону, где клиенты могут находиться только в ней, а персонал может быть как в клиентской, так и в рабочих зонах.

Следует понимать, что ресурсы, размещаемые в демилитаризованной зоне подвергаются максимальному риску к подбору паролей и других сетевых атак. Давайте расскажу для чего такая демилитаризованная зона понадобилась мне и как её настроить.

Настройка демилитаризованной зоны на роутере Beeline

В моём случае возникла проблема с доступом в локальную сеть при автоматическом переключении роутера MikroTik на резервный канал связи. Сейчас у меня подключено 2 провайдера, и на основном канале последнее время наблюдаются постоянные перебои с предоставлением услуг связи (отдельный привет провайдеру «Virgin Connect» он же «Мегамакс»).

Резервный канал заведён от Beeline через отдельный роутер (предоставлен провайдером), который отвечает ещё и за гостевую сеть Wi-Fi. Чтобы было понятней, вот так выглядит схема выхода в Интернет:

Как видите, резервный канал получился за двойным NAT, что крайне затрудняет настройку удалённого доступа к ресурсам внутри сети, да ещё и без статического IP-адреса у второго провайдера (как подключаться к роутеру с динамическим IP адресом я рассказывал совсем недавно).

Дабы не изобретать костили и велосипеды, было решено на роутере резервного канала настроить демилитаризованную зону и указать в качестве открытого хоста основной роутер MikroTik.

Следует заметить, что подавляющее большинство бюджетных моделей не умеют создавать полноценную DMZ, выделяя сегмент сети, но нам это и не нужно — одного IP-адреса вполне достаточно, чтобы прописать в неё мой MikroTik и открыть доступ из внешней сети ко всем его доступным портам.

Показываю как это делается на примере роутера от Beeline (настройка роутеров других производителей не сильно отличается, главное понять принцип и что куда следует прописывать). В интерфейсе устройства находим вкладку с названием DMZ и прописываем туда адрес сетевого устройства из вашей сети, к которому необходимо открыть полный доступ. Например, у роутера, который выдали мне в Beeline, настройка DMZ расположена в на вкладке «Дополнительно»: