Как пробросить порты на роутере mikrotik

Проброс портов в Микротике — ликбез для начинающих / Хабр

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox'ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway. Ether1 — это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway — «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway'ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local, остальные 3 — неполиткорректно называются slave-local. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT'ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat.
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp.
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) — это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat;
log — Просто добавляет информацию о пакете в лог роутера;
masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply, роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание — дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Как перенаправить порт в маршрутизаторе Mikrotik

Плохая и грязная версия. Версия для командной строки находится под инструкциями Winbox. Допустим, у вас есть DVR со статическим IP-адресом 192.168.1.200, и вам нужно перенаправить порт 3999.

в Winbox

1) Перейдите в IP -> Firewall -> NAT (рисунок 1-1).

Рисунок 1-1

2) Нажмите «+», чтобы добавить новое правило NAT.Измените «Цепочку» на «dstnat», «Протокол» на «tcp» и «Dst. Порт» на «3999». Установите «In. Интерфейс »к вашему WAN-порту. (Примечание: вы сообщаете маршрутизатору, что любой трафик, поступающий из Интернета на порт 3999, должен соответствовать этому правилу. Если вы забудете этот шаг, маршрутизатор будет захватывать ЛЮБОЙ трафик на порт 3999 и отправлять его на IP-адрес, указанный в следующем step) (Рисунок 1-2).

Рисунок 1-2

3) Щелкните вкладку «Действие», измените значение «Действие» на «dst-nat», «К адресам» на «192.168.1.200 »и« В порты »на« 3999 »(Рисунок 1-3).

Рисунок 1-3

Версия терминала

Введите следующее значение в окно терминала, чтобы ввести это правило переадресации портов.

/ IP брандмауэр нат

добавить действие = цепочка dst-nat = dstnat отключена = нет dst-port = 3999 in-interface = ether1-gateway protocol = tcp to-addresses = 192.168.1.200 to-ports = 3999

.

Проброс портов на роутерах Mikrotik - IT Blog

Чтобы перенаправить порт на маршрутизаторе Mikrotik, вам необходимо открыть меню «IP» - «Брандмауэр», выбрать вкладку «NAT» и добавить новое правило, нажав «Добавить» или «+».

В открывшемся окне необходимо указать следующие основные параметры:

Цепочка: dstnat (означает, что соединение будет идти из внешней сети во внутреннюю).

Протокол: протокол, tcp / udp /…

Dst.Порт: порт назначения, который будет виден снаружи (1-65535).

дюйм. interface: входящий интерфейс, который прослушивает указанный выше порт, например «ether1-gateway».

Действие: netmap

To Addresses: IP-адрес сетевого устройства / компьютера в сети, из которой вы хотите перенаправить порты, например 192.168.88.250

To Ports: порт, который нужно перенаправить.
Приведу несколько примеров портов: 3389 / tcp - удаленный рабочий стол, 80 / tcp - веб-сервер, 23 / tcp - telnet, 161 / udp - snmp, 22 / tcp - SSH, 1433 / tcp - MS SQL Server и т. Д. .)

Для доступа к внешнему IP маршрутизатора из локальной сети необходимо добавить еще два правила.

Первый:
Цепочка: dstnat
Src. Адрес: 192.168.88.0/24 (внутренняя сеть)
Dst. Адрес: ip router
Протокол: tcp
Dst.Порт: порт
Действие: dst-nat
К адресам: ip_internal_network
К портам: порт

Секунда:
Цепочка: srcnat
Src. Адрес: 192.168.88.0/24 (внутренняя сеть)
Dst. Адрес: ip_devices_internal_net
Протокол: tcp
Dst. Порт: порт
Действие: src-nat
На адреса: 192.168.88.1 (внутренний IP-адрес маршрутизатора)

Например, на DVR Dahua нужно перенаправить порты: 80 tcp, 554 tcp, 37777 tcp, 37778 udp.Для просмотра порта 37777 tcp достаточно, если за роутером много камер, то можно перенаправить порты 37779 tcp, 37979 tcp и т. Д., При этом порты на камерах необходимо поменять на такие же.

См. Также мои статьи:
Настроить Hairpin NAT на RouterOS (Mikrotik)
Настройка удаленного доступа в Mikrotik Router

.

MikroTik Port Forwarding с использованием Winbox

MikroTik Port Forwarding с использованием Winbox

MikroTik Port Forwarding or Port Mapping - это приложение NAT, которое используется для перенаправления запроса от комбинации IP-адреса MikroTik и номера порта на локальный IP-адрес и номер порта . Например, если у вас есть веб-сервер или FTP-сервер в вашей частной / локальной области и вы хотите получить доступ к этому локальному серверу из-за пределов вашей локальной области (из Интернета / общедоступного), вы можете применить переадресацию портов MikroTik или сопоставление портов и можете легко получить доступ к вашему веб-серверу или FTP-серверу.

Настройка переадресации портов в MikroTik Router - не такая уж сложная задача. В этой статье я покажу, как легко настроить MikroTik Port Forwarding или Port Mapping с помощью Winbox.

Сетевая диаграмма

.

---

Смотрите также

• 
  Как настроить мфу через wifi роутер
• 
  Как усилить сигнал wifi tp link
• 
  Как настроить gpon роутер
• 
  Как можно поменять пароль на вай фай роутер
• 
  Как подключается вай фай роутер
• 
  Имя хоста роутера как узнать
• 
  Как подключить телевизор к интернету через wifi роутер без кабеля
• 
  Wifi ufo как пользоваться
• 
  Как установить вай фай роутер на компьютер
• 
  Как настроить роутер нетгир н 150
• 
  Как на сони раздать wifi