Как зайти по внешнему IP-адресу из локальной сети для MikroTik
Допустим, вы настроили проброс портов на роутере MikroTik, и из внешней сети все прекрасно работает. Но иногда может возникнуть необходимость организовать доступ к компьютеру или серверу по внешнему IP-адресу не только извне, но и из локальной сети. В этом случае применяется так называемый Hairpin NAT или NAT LoopBack — прием-отправка пакетов через один и тот же интерфейс роутера, со сменой адресов с локального на внешний и обратно. Разберем нужные настройки.
Допустим у нас есть:
- Роутер с внешним IP (WAN IP) 1.1.1.1.
- Компьютер с локальным адресом 192.168.88.229, и запущенным на нем сервером, приложением и т. д. для доступа из внешней сети. В нашем случае для соединения используется порт 8080.
- Компьютер в локальной сети с адресом 192.168.88.110.
У нас уже есть настроенное правило проброса порта 8080:
Но оно не будет срабатывать при обращении из локалки, так как настройки ориентированы на пакеты из внешней сети, через WAN-порт. Поэтому нам нужно прописать дополнительно еще 2 правила.
Настройка доступа из локальной сети по внешнему IP-адресу
1. Создаем правило для перенаправления обращений по внешнему IP из локальной сети.
Chain — dstnat.
Src. Address — пишем здесь локальный адрес компьютера, с которого будем заходить по внешнему IP, или диапазон адресов, если такой доступ нужно предоставить нескольким компьютерам сети.
Dst. Address — указываем внешний адрес компьютера/ сервера и т. п., по которому будет осуществляться доступ из локалки.
Protocol, Dst. Port — здесь прописываем параметры порта и протокола, которые соответствуют нашему соединению (те же, что и в пробросе портов).
To Addresses — указываем локальный адрес нашего сервера, компьютера, на который мы заходим по внешнему IP-адресу.
To Ports — порт тот же самый, что на предыдущей вкладке, поэтому здесь можно ничего не указывать.
Теперь на компьютер 192.168.88.229 можно зайти из локальной сети по внешнему IP-адресу 1.1.1.1.
Но при попытке какого-то взаимодействия с ним ничего не получится. Почему? Посмотрим, что происходит.
- Наш компьютер (192.168.88.110) посылает пакет на внешний адрес сервера, который является и адресом роутера, соответственно — 1.1.1.1.
- Роутер добросовестно перенаправляет его по нашему правилу dst-nat на компьютер с адресом 192.168.88.229.
- Тот его принимает и отправляет ответ. Но так как он видит в качестве адреса источника локальный IP-адрес (ведь пакет поступил от компьютера в локальной сети), он отправляет ответ не на маршрутизатор, а напрямую получателю.
- Получатель же (192.168.88.10) отправляя данные по внешнему IP, и ответ также ожидает от внешнего IP. Получив пакет от локального 192.168.88.229, он его просто сбрасывает, как ненужный.
Поэтому нам нужно еще одно правило, которое будет подменять локальный адрес источника при отправке пакета на внешний IP.
2. Подменяем локальный адрес компьютера на внешний IP-адрес.
На вкладке Action выставляем маскарадинг (masquerade), т. е. подмену адреса источника на локальный адрес маршрутизатора.
На вкладке General прописываем правила, при которых он будет применяться:
Chain — srcnat, т. е. при запросах из локальной сети.
Src. Address — пишем здесь локальный адрес компьютера, или диапазон адресов, с которых будут отправляться пакеты.
Dst. Address — здесь конкретизируем «адрес получателя», т. е. правило будет применяться только для пакетов, адресованных нашему серверу.
Protocol, Dst. Port — здесь прописываем те же параметры порта и протокола.
Теперь, получив пакет из локальной сети, адресованный на внешний IP 1.1.1.1, маршрутизатор не только перенаправит его на 192.168.88.229 (по первому правилу), но и заменит в пакете адрес источника (192.168.88.110) на свой локальный адрес.
Ответ от сервера поэтому отправится не напрямую в локальную сеть, а на маршрутизатор, который, в свою очередь направит его источнику.
Второй способ Hairpin NAT MikroTik: 2 правила вместо 3
Можно сделать еще проще, заменив правило проброса портов первым правилом Hairpin NAT. В этом случае в настройках не нужно указывать In. Interface и Src Address, но нужно прописать адрес назначения.
Доступ на внешний IP адрес вашего сервера или компьютера с приложением будет открыт как для обращений извне, так и из локальной сети, с любых адресов, но только для пакетов с адресом назначения 1.1.1.1:80.
Теперь добавляете описанное выше правило srcnat, и все. Можно добавить дополнительную фильтрацию, прописав в out-interface тот интерфейс, с которого будут осуществляться отправки пакетов, если есть такая необходимость.
Недостатком Hairpin NAT является только то, что нагрузка на роутер возрастает, ведь те обращения, что раньше проходили через локальную сеть непосредственно между компьютерами, теперь будут идти через маршрутизатор.
Второй способ проще, но, в зависимости от конфигурации вашей сети, может использоваться и первый.
UPD: мы протестировали еще раз изложенные в этой статье способы настройки на примере организации FTP-сервера, а также настройку, предложенную в комментариях . Все они рабочие.
Удаленное управление роутером TP-Link (через интернет)
Управлять роутером TP-Link можно не только подключившись непосредственно к самому роутеру по кабелю, или по Wi-Fi, но и через интернет. Это значит, что получить доступ к настройкам роутера можно откуда угодно. Даже если ваш роутер находится дома, а вы в другом городе, или в другой стране. Нам понадобится только доступ к интернету. Так же нужно заранее подготовить роутер TP-Link для удаленного управления. Как это сделать? Смотрите эту инструкцию, сейчас все покажу. Зачем это вообще нужно? Бывают разные ситуации, и иногда необходимо иметь возможность удаленно менять настройки роутера, управлять подключенным устройствами, выполнять перезагрузку роутера и т. д.
Получить удаленный доступ к роутеру TP-Link можно двумя способами:
- Через облачный сервис TP-Link >(с компьютера и т. д.) , то можно получить уникальный адрес для своего роутера (используя TP-Link DNS) . И использовать этот адрес для доступа к веб-интерфейсу роутера из любого устройства, где бы вы не находились. Единственный минус: не все роутеры поддерживают облачные функции. Правильнее будет сказать, что да данный момент только несколько новых (и как правило дорогих) роутеров поддерживают функцию «Облако TP-Link» ( Archer C8 V3, Archer C9 V3 и V4, Archer C3150 V2 и т. д.) . Лучший способ проверить – зайти в настройки и посмотреть, есть ли там раздел «Облако TP-Link».
- Через внешний IP-адрес (или DDNS). Роутер получает от провайдера внешний IP-адрес. Думаю, можно сказать, что это уникальный адрес роутера в интернете. Используя этот адрес, можно зайти в настройки роутера TP-Link через интернет. Этот способ работает практически на всех маршрутизаторах. Но там есть несколько важных моментов. Провайдер должен выдавать вам белый, а не серый внешний IP-адрес (подробнее об этом речь пойдет дальше в статье) . Ну и желательно, чтобы внешний IP-адрес был статический (не менялся) . Но если у вас даже динамический (но белый) внешний IP-адрес, то можно настроить DDNS и все будет работать.
Сначала мы рассмотрим более универсальный способ, который подойдет практически всем (второй способ, о котором я писал выше) . А затем покажу, как настроить удаленный доступ к маршрутизатору TP-Link через их фирменный облачный сервис. Если вам повезло, и ваш роутер поддерживает эту функцию.
Доступ к настройкам роутера TP-Link через интернет (по IP или DDNS)
Чтобы понять, как все это работает и быстро все настроить, нужно сначала выяснить, какой IP-адрес выдает роутеру ваш интернет-провайдер. Белый, или серый. Статический, или динамический. И если проблема с динамическим IP-адресом решается настройкой DDNS, то когда провайдер выдает серый WAN IP-адрес – удаленный доступ никак не настроить.
В статье DDNS (динамический DNS) на роутере: что это, как работает и как пользоваться я более подробно об этом рассказывал и подробно показывал, как узнать, белый или серый IP-адрес выдает интернет-провайдер. Если вы не знаете, какой адрес выдает ваш провайдер, то перейдите по ссылке выше и определите.
Дальше действуем в зависимости от полученных результатов:
- Если у вас серый внешний IP-адрес (тот WAN IP-адрес что в настройках роутера не сходится с тем, что отображается на сайте 2ip.ru) , то решение только одно – заказать услугу «статический IP-адрес» у своего провайдера. Если такая услуга доступна. Обычно, эта услуга платная.
- Если у вас белый внешний IP-адрес и он динамический, то все будет работать по инструкции ниже. Но настройки будут недоступны, когда провайдер выдаст другой IP-адрес, так как он динамический. Решение:выполнить настройку DDNS на роутере TP-Link, или заказать у провайдера услугу «Статический IP-адрес».
- Если внешний IP-адрес статический (и, соответственно, белый) . В таком случае все отлично. Следуйте инструкции ниже.
Откройте настройки роутера TP-Link и перейдите в раздел «Защита» – «Удалённое управление». Нам нужно разрешить удаленный доступ к маршрутизатору.
Порт не меняем, а в поле «IP-адрес удалённого управления» нужно прописать внешний IP-адрес устройства, для которого будет разрешен удаленный доступ к настройкам роутера. Или разрешить доступ для всех устройств.
- 0.0.0.0 – удаленный доступ к маршрутизатору запрещен.
- 255.255.255.255 – общий доступ доступен для всех устройств (с разными адресами) .
- Какой-то конкретный IP-адрес. Пример: на работе наш компьютер (с которого мы будем удаленно управлять роутером) имеет статический внешний IP-адрес (например 158.12.63.89) . Мы прописываем этот адрес в поле «IP-адрес удалённого управления» и в дальнейшем удаленный доступ к маршрутизатору будет доступен только для устройств с IP-адресом 158.12.63.89.
Если вы не знаете постоянный IP-адрес устройства, с которого будете удаленно управлять роутером (или он постоянно меняется) , или вы будете заходить с разных устройств, то пропишите 255.255.255.255.
Не забудьте сохранить настройки кнопкой «Сохранить».
На роутерах с новой панелью управления (которая голубая) , нужно зайти в раздел «Системные инструменты» – «Администрирование». Там кроме IP-адреса (с которого можно зайти на роутер через интернет) можно так же прописать MAC-адрес конкретного устройства. Так же обязательно нужно поставить галочку возле «Включить» и сохранить настройки.
Пустое поле «IP/MAC-адрес» означает, что доступ будет открыт для всех устройств.
Чтобы открыть настройки роутера TP-Link через интернет с любого устройства, достаточно узнать свой WAN IP-адрес (который провайдер выдал этому роутеру) . Его можно посмотреть на главной странице веб-интерфейса роутера, на сайте 2ip.ru и т. д.
Нужно перейти по этому адресу в любом брузере и с любого устройства, которое подключено к интернету (при условии, что в настройках удаленного доступа вы разрешили доступ для вех адресов) . Если не сработает, то наберите этот адрес через http:// и в конце добавьте порт (80, если вы не меняли) через двоеточие. Получится примерно так http:// 188.69.89.45 :80
Нужно указать логин и пароль администратора роутера. После чего мы получим доступ к веб-интерфейсу.
Напомню, что если роутер получает от провайдера динамический IP-адрес (то есть, за вашим договором (или адресом вашего дома, квартиры) у провайдера не закреплен постоянный IP-адрес) , то он может меняться. Соответственно, после смены IP-адреса доступа к роутеру по старому адресу уже не будет. Это можно решить настройкой функции «Динамический DNS».
После настройки вы получите постоянный интернет адрес, который можно использовать для входа в настройки маршрутизатора через интернет. Так же этот адрес можно использовать для удаленного доступа к FTP-серверу.
Решение с прямым доступом по IP-адресу и через DDNS отлично работает. Я все проверил на своем роутере. Настроек не много, но все это немного запутано. Особенно с этими IP-адресами сложновато разобраться. Если вы столкнулись с какой-то проблемой – подробно опишите ее в комментариях. Постараюсь подсказать решение. И не забывайте, что у вашего интернет-провайдера тоже есть служба поддержки.
Удаленное управление через облачный сервис (TP-Link ID) и приложение Tether
Для начала нужно открыть настройки маршрутизатор и перейти в раздел «Базовые настройки» – «Облако TP-Link». Там нужно перейти на сайт tplinkcloud.com (нажать на кнопку «Зарегистрируйтесь сейчас») и зарегистрировать себе аккаунт. Обязательно сохраните почту и пароль, который вы укажите при регистрации.
В том же разделе «Облако TP-Link», в настройках маршрутизатора, нужно выполнить вход в свой аккаунт TP-LINK Cloud. Чтобы роутер был привязан к вашему аккаунту.
Вот так выглядят настройки после входа в свой аккаунт и привязки роутера.
Можно отвязать аккаунт от роутера. Или привязать еще один, или несколько аккаунтов (для общего удаленного доступа к маршрутизатору) .
Дальше нужно перейти в раздел «Дополнительные настройки» — «Сеть» — «Динамический DNS» и зарегистрировать для роутера постоянный адрес в сервисе TP-Link DNS.
Важно! Не забудьте в разделе «Администрирование» включить удаленный доступ. В начале статьи я более подробно об этом рассказывал.
Зарегистрированный выше адрес можно использовать для доступа к маршрутизатору с любого устройства через интернет.
Вводим адрес электронной почты и пароль, который был указан при регистрации аккаунта на сайте TP-LINK Cloud и получаем полный доступ к веб-интерфейсу маршрутизатора.
Приложение Tether
Установите на свой телефон, или планшет приложение TP-Link Tether, о котором я рассказывал в этой статье. С его помощью можно управлять большим количеством разных моделей роутеров от TP-Link. Но только по локальной сети (когда ваше устройство подключено к роутеру) .
Но, если ваш роутер поддерживает функцию «Облако TP-Link» и вы уже привязали роутер к своему аккаунту, как я показывал выше, то достаточно в приложении Tether войти в свой аккаунт TP-LINK Cloud.
В списке устройств роутер будет отображаться как «Облачное устройство». И управлять этим роутером мы сможем даже когда телефон подключен к интернету через мобильную сеть, или через Wi-Fi сеть в другом месте.
Настройка удаленного доступа к интернет-центру из Интернета (для версий NDMS 2.11 и более ранних)
NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статьях «Доступ из Интернета к веб-интерфейсу Keenetic» и «Доступ из Интернета к интерфейсу командной строки Keenetic».
Важно! Возможность установить галочки в Доступ к веб-конфигуратору через Интернет и Доступ к командной строке через Интернет появляются лишь в том случае, когда установлен пароль на учетную запись admin (установить пароль можно в меню Система > Пользователи).
При необходимости можно изменить стандартные порты управления интернет-центром.
Внимание! Удаленный доступ из Интернета к роутеру также можно организовать с помощью правил Межсетевого экрана и эти правила будут иметь БОЛЬШИЙ приоритет.
Таким образом, если у вас доступ к интернет-центру будет разрешен через Межсетевой экран, то установка указанных выше опций в веб-интерфейсе не имеет смысла.
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/80 (HTTP)
Подобная настройка через интерфейс командной строки (CLI) будет выглядеть так:
Если вы хотите разрешить удаленный доступ к веб-интерфейсу интернет-центра только с определенного IP-адреса или только для определенной подсети, в этом случае правило межсетевого экрана будет выглядеть следующим образом:
В нашем примере создано правило для интерфейса ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE , L2TP или PPTP), нужно создавать правило для этого интерфейса.)
В поле Действие установите значение Разрешить, в поле IP-адрес источника установите значение Один (для доступа из Интернета только с одного указанного IP-адреса) или Подсеть (для доступа с какой-то определенной подсети IP-адресов) и укажите соответственно IP-адрес или подсеть (в нашем примере мы предполагаем, что доступ к веб-интерфейсу интернет-центра будет возможен только с IP-адреса 89.88.87.86). В поле Протокол можно указать конкретный стандартный протокол (в нашем примере это порт TCP/80), через который будет разрешен доступ. В поле Номер порта назначения вы также можете самостоятельно указать нужный номер порта, если он нестандартный.
2. Для удаленного доступа по протоколу telnet (к интерфейсу командной строки CLI интернет-центра) правило межсетевого экрана будет выглядеть так:
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией – PPPoE, L2TP или PPTP, нужно указывать его.)
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой
Протокол: TCP/23 (Telnet)
Подобная настройка через интерфейс командной строки будет выглядеть так:
Интерфейс: ISP (Интерфейс для выхода в Интернет. Если у вас используется подключение с авторизацией (PPPoE, L2TP, PPTP), нужно указывать его.)
Протокол: TCP/80
Номер порта: 8080
Перенаправить на адрес: 192.168.1.1 (IP-адрес интернет-центра)
Новый номер порта назначения: 80
Подобная настройка через интерфейс командной строки будет выглядеть так:
Действие: Разрешить
IP-адрес источника: Любой
IP-адрес назначения: Любой (если у вас используется глобальный постоянный «белый» IP-адрес, можно указать его)
Протокол: ICMP
Теперь вы сможете подключиться к веб-конфигуратору вашего интернет-центра серии Keenetic из Интернета.
Пользователи, считающие этот материал полезным: 38 из 41
Как зайти на роутер из внешней сети
На роутере настройки такие:
Local Area Network (LAN) Settings
(http://radikal.ru/F/i001.radikal.ru/1107/df/fc156ef8cb1f.gif.html)
Wide Area Network (WAN) Settings
(http://radikal.ru/F/s57.radikal.ru/i155/1107/a4/5d1c73ec1450.gif.html)
DHCP сервер с такими настройками
(http://radikal.ru/F/s56.radikal.ru/i153/1107/73/6f8b907fc5f7.gif.html)
VPN подключение к интернету поднято на роутере
(http://radikal.ru/F/s57.radikal.ru/i156/1107/fa/6b539ebb64a2.gif.html)
Таблица перенаправления портов такая, где 192.168.100.4 — адрес NAS статический. ( 2 и 3 — это комп и ноут)
(http://radikal.ru/F/i079.radikal.ru/1107/ef/3fb20f4e2b99.jpg.html)
Статус на роутере
(http://radikal.ru/F/s16.radikal.ru/i191/1107/f1/34ba594d8123.jpg.html)
Dynamic DNS настроен в самом NAS и определяет правильный внешний IP. (пробовала настраивать на роутере, но это ничего не поменяло).
Теперь в чем проблема. Мне нужно, чтобы на NAS можно было зайти из интернета. 5000 порт для входа на веб интерфейс администрирования. 5001 -для https. В итоге, при такой настройке, когда я ввожу имя хоста, привязанное к внешнему IP, то я захожу на веб-интерфейс роутера. Когда пишу hostname.no-ip.org:5000, то браузер не может установить соединение (https пока отключен на NAS, поэтому перенаправления на 5001 нет).
Захожу с другого интернет соединения. При проверке открыт ли порт, то 5000 — не доступен и открыт только 80 порт (проверяла через http://www.canyouseeme.org с VPN соединения, которое поднято на роутере).
При попытке проверить из внутренней подсети (с ноута) открыт ли порт, то он открыт. Проверяла так telnet 192.168.100.4 5000 и соединение открывалось.
До этого все было организовано по-другому: был адсл-модем, который был напрямую подключен в телефонную сеть, к нему подключен NAS, проброшены порты и все работало, по hostname.no-ip.org:5000 открывался веб-интерфейс NAS.
Получается какая-то проблема из-за того, что есть еще локальная сеть. Подскажите пожалуйста каких настроек не хватает? Если нужна дополнительная информация, я постараюсь сообщить.
P.S. Т.к слышала, что могут быть проблемы из-за белого/серого внешнего IP адреса, то он белый.
Еще на роутере есть такие настройки, если будут полезны
(http://radikal.ru/F/i052.radikal.ru/1107/20/d3a172a4b34f.jpg.html)
| 1. Zdpn , 28.07.2011 16:10 |
| Lassie
Захожу с другого интернета. До этого все было . проброшены порты и все работало |
| 2. rsergio , 28.07.2011 17:16 |
| А пробросить порты на кокое-либо другое устройство получается? |
цитата: rsergio:
А пробросить порты на кокое-либо другое устройство получается?
Добавление от 28.07.2011 17:45:
цитата: Zdpn:
Захожу с другого интернета.
Интернет — он один единственный. Всемирная сеть.
другой интернет, я имела ввиду другое соединение. Понятно, что интернет один. Просто не возможно же проверить NAT изнутри сети
цитата: Zdpn:
До этого все было . проброшены порты и все работало
Так и сейчас нужно порты пробросить.
Порты проброшены, там даже скриншот есть. Конкретно порт 5000.
Может какой совет дадите, ну вместо того, чтобы искать семантические ошибки в посте? К тому же я заранее сказала, что могу не совсем точно объяснить.
| 3. Lassie , 28.07.2011 17:39 |
| 4. rsergio , 28.07.2011 18:53 |
| Lassie А можно поподробнее? На какое устройство? На компьютер? В скриншоте, где стоят порты 555-558 они используются в программе FlyLink DC++ но между моей внутренней сетью (за роутером) и локальной. А как пробросить на устройство и проверить из интернета? Можно попробовать пробросить порты для RDP одного из компьютеров, или еще какого-либо сервиса (поднять ftp сервер, или web-морду uTorent). 192.168.100.4:5000 в локалке отзывается? На первый взгляд настройки правильные. |
| 5. bro_Zloben , 28.07.2011 21:01 |
| Подсказывает мне ни чем не обоснованое внутреннее чувство, что это достоприсный 620 в своём репертуаре. Сходите на офф сайт длинка и прошейте последнюю прошивку. Должно полегчать. |
цитата: rsergio:
Можно попробовать пробросить порты для RDP одного из компьютеров, или еще какого-либо сервиса (поднять ftp сервер, или web-морду uTorent).
Я лично проверяю через iPhone — отключаю Wi-Fi и захожу через интернет по сотовой связи (для проверки много не надо, так что особо трафика нет).
Запустила FTP сервер на ноуте, пробросила 21 порт. Зашла на компьютер, подключилась к интернету(другое соединение, не то,что в локалке). Запустила тотал командер и попыталась подключиться к FTP-серверу. Выдало: не доступен. Проверила порт 21 на сайте http://www.canyouseeme.org выдало ошибку
Error: I could not see your service on 109.232.117.48 on port (21)
109.232.117.48- это внешний IP-адрес. он же определился в программе FTP-сервера, которую устанавила на ноут.
цитата: rsergio:
192.168.100.4:5000 в локалке отзывается?
Попросила проверить из локалки (с моим WAN IP адресом), сказали, что все открылось.
цитата: rsergio:
На первый взгляд настройки правильные.
Если внешний IP определяется правильно, то нужно копать настройки роутера в области проброски портов.
Думаю, что внешний IP правильно определяется. Получается из локалки могут зайти, а из интернета нет.
Я вот насколько понимаю, где-то в локалке стоит adsl-модем, который раздает интернет. Он же тоже как маршрутизатор возможно работает, может на нем надо пробрасывать порты тоже? Или может провайдер блокирует все порты?
| 6. Lassie , 28.07.2011 21:12 |
| 7. rsergio , 28.07.2011 21:21 |
| 1. Проверить порты, подсоединив провод минуя роутер прямо в компьютер. 2. Узнать у провайдера не запрещены ли порты, кроме стандартных |
| 8. Lassie , 28.07.2011 23:19 |
| порты не запрещены.
как я понимаю, мне надо пробросить порт через 2 сети. Т.е у нас есть 3 сети: Можно ли как-то проверить как идут пакеты? может маршрутизация неправильная? |
| 9. rsergio , 28.07.2011 23:33 | ||||||||
| Значит трафик режется на маршрутизаторе между 109.232.117.48 и 10.168.21.40. Думаю, что стоит обратиться к администратору локальной сети 10.168.хх с просьбой проверить открытие портов. Если у вас динамический, но выделенный внешний IP, то на маршрутизаторе сети должно быть правило пропускать весь трафик (tcp/udp) на ваш маршрутизатор, где вы будете уже самостоятельно пробрасывать нужные порты внутрь уже своей сети.
|
(http://www.radikal.ru)
(http://www.radikal.ru)
(http://www.radikal.ru)
Загрузка…
