Как пробросить порты на микротике
Перейти к содержимому

Как пробросить порты на микротике

  • автор:

Проброс портов в роутере MikroTik

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

  1. Откройте меню IP — Cloud
  2. Поставьте галочку DDNS Enabled
  3. Нажмите кнопку Apply
  4. Если после этого отобразиться статус «updated» без ошибок, то у вас белый IP-адрес.

Проверка белого IP-адреса в роутере MikroTik

Если в правом нижнем углу отображается ошибка типа «DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work.«, то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.

Признак серого IP-адреса

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122. Он имеет внутреннюю подсеть 192.168.88.0/24.

Внутри подсети есть IP-камера с адресом 192.168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Схема сети

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке — это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.

Меню New Terminal в роутере MikroTik

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 10000 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 80, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

Созданные правила можно посмотреть в меню IP — Firewall на вкладке NAT.

Проброс портов в роутере MikroTik

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.

Вход в админку IP-камеры

Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.

Web-интерфейс настроек IP-камеры

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554, поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554.

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс. В ОС Windows в VLC media player нужно открыть меню Медиа — Открыть URL.

Меню VLC media player в iPad

Вводим адрес rtsp://login:passwd@178.189.224.122/video.mp4

, где login — логин для доступа к IP-камере, passwd — пароль для доступа к IP-камере, 178.189.224.122 — внешний IP-адрес роутера.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

Открыть сетевой ресурс RTSP в VLC media player

Далее нажмите Открыть сетевой ресурс. В нижней части появится миниатюра видео с камеры. Нажмите на нее.

Открыть RTSP поток в VLC media player

После этого видео на планшете откроется в полноэкранном режиме.

RTSP видео в VLC media player

Удаленно настраиваем оборудование. Стоимость.
Vodafone: +38 095 406-06-02
Киевстар: +38 067 675-65-55
Life: +38 093 889-78-96

Проброс портов на маршрутизаторах MikroTik

Весьма часто появляется нужда в настройке проброса портов, так называемого Port Forwarding, на маршрутизаторах производства MikroTik. Нередко и опытный администратор стыкается со сложностями в конфигурировании роутеров МикроТик, не говоря об обычных пользователях. Хотя за счет присутствия большого количества функций роутеры этого производителя ценятся всеми и, конечно же, за стабильность и надежность.

В данной статье мы поможем и продемонстрируем инструкцию по тому, как производить проброс портов. Примером станет роутер MikroTik RB951-2n или новый Mikrotik hAP (RB951Ui-2ND)

С какой целью делают проброс портов?

Если Вы спросите, зачем нужен Port Forwarding, то ответов несколько. Ведь эта процедура нужна для:

  • создания игровых серверов на домашних ПК;
  • развертывания пиринговых, то есть одноранговых сетей;
  • чтобы получить доступ к IP-камере из Internet;
  • нормального функционирования торрентов;
  • функционирования WEB и FTP-серверов.

Почему возникает нужда в пробросе портов? Вся суть в том, что по умолчанию в маршрутизаторах работает правило маскарадинга. То есть, IP-адреса компьютеров и любых других устройств в локальной сети не видны за маршрутизатором внешней сети. Когда поступают пакеты данных из внутренней сети, которые нужно отправить во внешний мир, маршрутизатор открывает нужный порт и производит замену внутреннего IP устройства на собственный внешний адрес, как бы надевает «маску». Во время получения ответных данных на тот же порт, просто отправляет эти данные на предназначенный компьютер внутри сети.

Получается, что все получатели информации из внешней сети могут увидеть в сети только непосредственно маршрутизатор и обращаются к назначенному ему IP-адресу. Сами компьютеры, различные планшеты и прочие устройства в локальной сети для них невидимы.

Представленная схема отличается одной особенностью – маршрутизатор принимает лишь те пакеты, что приходят по соединению, которое было инициировано компьютером из внутренней сети. Когда компьютер или же сервер из внешней сети желает соединиться первым, роутер его сразу же сбрасывает. В перечисленных нами выше пунктах (игровые сервера, пиринговая сеть и т.д) соединение такого типа должно быть дозволено. С этой целью и делают проброс портов. В принципе, это является командой маршрутизатору зарезервировать нужный порт и все данные, приходящие извне на него, должны передаваться на соответствующий компьютер.(+р) По факту, создается исключение из маскарадинга, по принципу прописывания нового правила.

Настройка проброса портов в MikroTik

В рассматриваемом нами роутере настройка проброса портов находится по вкладке IP =>Firewall =>NAT.

Вы увидите, что по умолчанию в этом месте прописан маскарадинг, то есть осуществляется подмена внутреннего локального адреса внешним адресом самого сервера. Поэтому нужно создать нужное правило проброса портов.

Настройка вкладки меню General

Кликаем на плюсик и в окне, что откроется, необходимо заполнить ряд полей:

● Chain – это направление потока информации. Среди выбора srcnat (изнутри наружу), означает из локальной сети во внешнюю, а dstnat означает из внешней во внутреннюю. Необходимо выбрать dstnat, ведь нужно принимать именно входящие подключения.

● Src. Address Dst. Address – это внешний адрес. С него будет инициировано подключение. Адрес назначения (адрес маршрутизатора). Ничего не заполняем.

● Protocol. Тут обязательно нужно указать вид протокола для существующего соединения – udp или tcp.

● Src. Port – это исходящий порт. То есть порт удаленного компьютера. С него будут отправляться данные. Поле, если неважно, оставляем пустым.

● Dst. Port – это порт назначения. Необходимо проставить номер внешнего порта маршрутизатора, куда будут приходить данные от удаленного компьютера и перенаправляться на нужный компьютер нашей внутренней сети.

● Any. Port – это любой порт. В случае проставления в этом поле номера порта, мы указываем маршрутизатору, что данный порт будет использован как исходящий и входящий. Объединит оба предыдущие поля в одно.

● In. Interface – это входящий интерфейс. Тут указываем интерфейс маршрутизатора Микротик, на котором используется данный порт. В нашей ситуации, ведь мы производим проброс для получения информации извне, это интерфейс, при помощи которого роутер подсоединен к Internet. И по умолчанию ether1-gateway. Этот параметр заполняется обязательно. Ведь порт не будет доступен из локальной сети. В случаях подключения к провайдеру через привычный pppoe, может быть, будет необходимо указать его в отличии от WAN-интерфейса.

● Out. Interface – это исходящий интерфейс. То есть, тот интерфейс подсоединения компьютера для которого мы и производим проброс портов.

Настраиваем вкладку Action

В поле с названием Action необходимо прописать действие, которое будет выполняться роутером. Доступны следующие варианты:

● accept – по обычному принимаются данные;

● add-dst-to-address-list – назначаемый адрес для добавления в список присутствующих адресов;

● add-src-to-address-list – это исходящий адрес, что дописывается в соответствующий ему список адресов;

● dst-nat – перенаправит информацию из внешней сети в Вашу локальную, то есть во внутреннюю;

● jump – позволяет разрешить правило из прочего канала. К примеру, при вписанном в поле Chain значении srcnat, чтобы применить нужное правило для dstnat;

● log для записывания информации о данных в лог;

● masquerade – это маскарадинг. Подменяет внутренний адрес компьютера или прочего устройства из внутренней локальной сети на главный адрес роутера;

● netmap. Создаст переадресацию одного набора адресов на прочий. Больше функций, чем у dst-nat;

● passthrough. Данный пункт настройки правил будет пропущен и произойдет переход сразу к последующему. Нужен для статистики;

● redirect. Информация перенаправляется на прочий порт нашего же маршрутизатора;

● return. При попадании в этот канал в соответствии с правилом jump произойдет наше возвращение обратно;

● same. Редко применяемая настройка одних и тех же правил для нужной группы адресов;

● src-nat. Производит переадресацию пакетов из локальной сети во внешнюю. Является обратным dst-nat перенаправлением.

В поле с названием To Adresses необходимо прописать внутренний IP-адрес нужного нам компьютера или же соответствующего устройства, куда будут перенаправлены данные по созданному правилу проброса портов.

В поле с названием To Ports прописываем номер порта. Для примера:

1433/tcp — MS SQL Server,

80/tcp — WEB сервер.

Когда значения в полях Dst. Port и To Ports совпадают, то тут можно его не указывать.
Дальше необходимо добавить комментарий к правилу, дабы помнить с какой целью мы его создавали.

Вот так, мы с Вами создали правило для Port Forwarding и для доступа к нужному внутреннему компьютеру из Internet.
В случаях, когда нужно заходить именно по внешнему IP-адресу из локальной сети, тогда настройте Hairpin NAT.(+р)

Проброс портов в RouterOS

MikroTik — латвийская компания по производству сетевого оборудования. Они разрабатывают и продают проводные и беспроводные сетевые маршрутизаторы, коммутаторы, точки доступа, IoT оборудование, а также вспомогательное аппаратное и программное обеспечение для своих продуктов. MikroTik RouterOS — это операционная система, на которой работают устройства компании Mikrotik, и которая обладает очень высоким уровнем гибкости, когда дело доходит до управления сетью. RouterOS также можно установить на ПК, превратив его в маршрутизатор со всеми необходимыми функциями — маршрутизацией, брандмауэром, управлением полосой пропускания, беспроводной точкой доступа, транзитным каналом, шлюзом точки доступа, VPN-сервером и многим другим. Функция, которую мы рассмотрим сегодня, — это перенаправление портов в RouterOS. В отличие от других операционных систем, способ его настройки может быть не очень интуитивным, но не сложным по своей сути. Однако перед настройкой конфигурации давайте сначала объясним, что такое переадресация портов. Проброс портов или переадресация портов (Port forwarding) — это процесс перехвата трафика данных, направляемого на комбинацию IP/порта компьютера, и перенаправления его на другой IP-адрес и/или порт. Этот процесс можно легко выполнить с помощью маршрутизатора MikroTik или любой системы под управлением RouterOS. Прежде чем мы перейдем к этому, попробуйте представить следующую ситуацию: Вы ИТ-администратор. Вы создали большую сеть, и кто-то хочет удаленно подключиться к вашему VPS-серверу или выделенному серверу для удаленной работы. Вы не можете поделиться IP-адресом сервера с этим человеком из соображений безопасности. Что вы должны сделать? В этой ситуации вам следует использовать переадресацию портов на маршрутизаторе для обработки всех запросов.

Как настроить перенаправление портов Mikrotik?

Прежде всего, будет лучше если вас установлена последняя версия MikroTik RouterOS.
Шаг 1: Войдите через WinBox на свой роутер с правами администратора. Шаг 2: Нажмите на IP на левой боковой панели. Шаг 3: В открывшемся подменю нажмите Брандмауэр (Firewall). Шаг 4: Перейдите на вкладку NAT в окне брандмауэра. 60861ea27adf2-steps-1-4.jpg
Шаг 5: Нажмите кнопку +, чтобы создать новое правило.
Примечание. В этом сценарии предположим, что маршрутизатор подключается к IP-адресу (10.10.10.10), и мы хотим перенаправить все запросы с (10.10.10.10:5847) на (20.20.20.20:4324).
Шаг 6: Перейдите на вкладку «Общие» и выберите «dstnat» в раскрывающемся списке цепочки.
Шаг 7: В поле Dst. Address введите IP-адрес, с которого вы хотите пересылать все запросы (например, 10.10.10.10 в нашем случае).
Шаг 8: В списке протоколов выберите протокол подключения, например TCP.
Шаг 9: В поле Dst. Port введите порт, с которого вы хотите пересылать запросы (например, 5847 в этом примере).
60861eb12db90-steps-5-8.jpg
Шаг 10: Теперь перейдите на вкладку «Action». Шаг 11: В раскрывающемся списке «Action» выберите dst-nat. Шаг 12: В поле «To Addresses» введите IP-адрес, на который вы хотите пересылать все запросы (например, 20.20.20.20 в нашем случае). Шаг 13: В поле To Ports введите порт, на который вы хотите пересылать запросы (например, 4324 в этом примере).
60861ec116d99-steps-9-13.jpg
Шаг 14: Нажмите «Apply», а затем «ОК», чтобы сохранить и добавить новое правило.
Вот и все, вы успешно настроили свое первое правило переадресации портов на MikroTik. Чтобы добавить новые правила переадресации портов, просто выполните шаги с новыми портами или IP-адресами.

Проброс портов в Mikrotik – инструкция по настройке

MikroTikLab

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Настройка проброса порта rdp на mikrotik

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Вrладка Action nat

Здесь настраиваем так:

  • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
  • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
  • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
  • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
  • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Проброс 80 порта на роутере

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

dstnat 80 порт

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Пустой Firewall mikrotik

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Открыть порт на mikrotik

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *