Пробросил порты. TCP работает, UDP нет. В чём может быть причина?

Question

[AntyKan]

Недавно столкнулся с ситуацией: пробросил порты на роутере, проверяю соединение - TCP работает без проблем, а UDP не проходит. При этом, если отправлять запросы по локальной сети (192.168.0.11), сервер корректно отвечает на UDP-запрос и фиксирует подключение. Но при обращении с внешнего статического IP UDP-пакеты не доходят до компьютера.

Что я пробовал:
1)С помощью nmap на другой машине проверил проброс TCP и UDP. TCP работает локально и глобально, UDP - только локально.
2)Через netstat убедился, что программа слушает TCP и UDP порты на всех сетевых интерфейсах.
3)Обратился в техническую поддержку Ростелекома. Инженер подтвердил, что блокировок с их стороны нет.
4)Проверил соединение с включённым DMZ - не помогло.
5)Проверил на втором компьютере с чистой Windows - ситуация та же.
6)Во время всего этого полностью выключал Фаерволл, чтоб не мешал.

Тестировал два порта: 25536 и 5800

Открывал их через TCP and UDP
Роутер ZTE ZXHK F670

По итогу после смены порта на 49180 ответы стали приходить, UDP приходит на сервер, но клиенту всё ещё не возвращается.

Comments

[pfg21]

подключить второй комп к WAN порту роутера и проверить напрямки работу проброса порта UDP в роутере.

[Vamp]

pfg21, это gpon роутер. Сомневаюсь, что у ТС найдётся комп с оптическим интерфейсом для проверки.

[AntyKan]

pfg21, Может тогда есть другие, окольные пути как ещё проверить?..

[pfg21]

AntyKan, скачать iperf погонять на нем udp трафик через free server
вариант2: поставить iperf у друга.

[AUser0]

Чисто теоретически, 53/UDP должен пропускаться везде и всюду, так как DNS. Можно его и проверить.

[Ziptar]

AUser0, зато направление может фильтровать, как раз потому что днс

[vvag]

Vamp, тогда роутер в мост и все на компе

Answer 1

[Daemon23RUS]

RFC 4787 при NAT не ваш случай ? По симптомам похоже.
Суть в смене (изменении при NAT) порта источника для UDP, и Ваш сервер не может ответить на UDP запрос. Wireshark в помощь, увидите за пару минут в чем проблема.

Comments

[AntyKan]

Если конечно я вас правильно понял:
Подключил Wireshark вот с такими условиями: udp.port == 25536 || tcp.port == 25536
TCP удалось получить/отправить.
UDP не отобразился совсем.
DMZ был включен.

[Daemon23RUS]

AntyKan, ZTE ZXHK F670 поддерживает в отладке захват пакетов ? Скормите Wireshark сохраненный с роутера .cap файл, посмотрите, до роутера доходит пакет из вне.
Если Вы верно запустили Wireshark то видим, что UDP до сервера не долетает. Значит съел роутер или провайдер. Захват пакетов с роутера направит дальше разбор полетов (роутер или провайдер)
P.S. как вариант поднимите PPPoE (или что там у Вас) прямо на интересующем компе, и проверьте без всякого NAT/PORT FORWARDING

[AntyKan]

Daemon23RUS, Я посидел ещё один день за проблемой. По итогу после смены порта на 49180 ответы стали приходить, UDP приходит на сервер, но клиенту не возвращается.

Answer 2

[noob80]

а что собственно ТС пробовал запустить? если какое-нибудь IKE или OVPN то возможно эта [цензура] которое рассказывало про "деградирующие сервера ютуба" (пруф: https://www.company.rt.ru/press/news/d470885/) просто банит у себя это. (да, я знаю что IKE по моему с 500 порта вообще перевесить нельзя это просто как пример)

Comments

[Кот Абсолютный]

я знаю что IKE по моему с 500 порта вообще перевесить нельзя

Можно :) Не в винде разумеется, в нормальной системе. Но про "деградирующие сервера ютуба" - поржал. Похоже, выражение пошло в массы :D

Answer 3

[bbasil]

Сохо роутер ТС может тупо не уметь пробрасывать udp.
Такое сплошь и рядом встречается на таком классе устройств.

Comments

[mgnhabrauser]

Честно говоря, ни разу таких не видел, обычно нужно прямо указать TCP, udp или оба протокола нужно пробросить

Answer 4

[mgnhabrauser]

А при пробросе портов на роутере какой протокол указывали? Обычно там есть вариант TCP, udp или оба протокола