Третий способ предполагает использование облачного сервиса. Важно отметить, что видеорегистратор должен поддерживать соответствующую функцию. При таком способе изображение передается на клиента через сервера. В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса как это показано на изображении выше , после чего прописать адрес, с которым будет взаимодействовать роутер. Если вы начали подозревать, что 100500 правок выполняют уже невесть что, просто выделяете все правила брандмауэра и нажимаете delete.
interface31
Проброс, он же форвардинг, портов — что это такое? Это технология, которая позволяет обращаться к узлам, находящимся за маршрутизатором путем перенаправления трафика для определенных портов с внешнего адреса маршрутизатора на внутренний адрес узла в локальной сети. Это становится возможным благодаря технологии NAT.
Давайте рассмотрим небольшую схему, которая поможет понять принцип действия проброса портов.
Маршрутизатор, получив такой пакет выполняет замену адреса назначения с собственного, на адрес веб-сервера, также, при необходимости, он может изменить и порт назначения. После чего пакет отправляется в локальную сеть и достигает веб-сервера. Данные о преобразовании заносятся в специальную таблицу трансляции NAT.
Нужно ли менять адрес отправителя? Нет, если маршрутизатор выступает основным шлюзом сети, а в подавляющем большинстве случаев это так. Веб-север обработает запрос, а так как он ничего не знает о сети получателя, то обратный пакет будет направлен шлюзу по умолчанию, т.е. назад нашему маршрутизатору.
Маршрутизатор на основании данных таблицы трансляции выполнит обратное преобразование, заменив на этот раз адрес источника с внутреннего адреса веб-сервера, на свой внешний адрес и отправит пакет запросившему его узлу.
Мы не даром заостряем на этом особое внимание, так как непонимание процесса прохождения пакета по цепочкам сетевого фильтра способно привести к значительным затруднениям, когда вроде-бы все правила составлены верно, но ничего не работает.
Так для пакета от клиента к веб-серверу и обратно порядок прохождения цепочек будет следующим:
Обратите внимание, что пакет не попадает в цепочки INPUT и OUTPUT, которые используются для собственных пакетов маршрутизатора.
На закладке Action укажите: Action — dst-nat — выполняем замену адреса получателя, To Addresses — 192.168.186.195 — внутренний адрес веб-сервера, To Ports — 80 — порт, на котором веб-сервер принимает соединения. Если внешний и внутренний порт совпадают, то последний можно не указывать.
Но это еще не все, после PREROUTING пакет попадет в цепочку FORWARD, в которой, если вы настраивали роутер по нашей инструкции, запрещены любые внешние пакеты, кроме инициированных из локальной сети соединений.
Располагаться данное правило должно выше правила, запрещающего транзитный трафик из внешней сети во внутреннюю.

Регистратор rvi настройка удаленного доступа
Hairpin NAT
Почему так происходит? Давайте рассмотрим еще одну схему:
Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.
Чтобы понять, как это работает мы подготовили следующую схему:
Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.
Через терминал данное правило можно создать следующим образом:
В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.
Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.
В зависимости от того, какая программа или служба должна использовать определенный свободный порт роутера, и придется отталкиваться, делая проброс портов «Микротик». Первоначально нужно создать правило брандмауэра, при выполнении которого любые входящие соединения с IP-адресов из черного списка ssh_blacklist будут сбрасываться. , а также ряд моделей Dahua, RVI потребуют обязательно заменить в видеорегистраторе порт видеопотока как при просмотре через браузер.
Пробрасываем порты в роутерах Mikrotik
Что бы пробросить порт, открываем утилиту Winbox, находим пункт “IP” и из выпадающего спиcка выбираем “Firewall”:
В открывшемся окне переходим на вкладку “NAT” и нажимаем на синий крестик в левом углу, откроется окно, тут нас интересует первым делом вкладка “General”. В строке “Chain”, которая отвечает за направление потока данных, выставляем значение “dstnat”.
Следующее поле которое необходимо заполнить это “Protocol”, тут выбираем “6(tcp)”, то есть, наш трафик будет работать по протоколу tcp. Если коротко, то по протоколу tcp пакеты передаются без потерь, а вот по udp могут быть потери во время передачи.
В поле Dst. Port указываем желаемый порт на нашем роутере, на этот порт будет приходить внешний трафик и переадресовываться на наш компьютер или сервер в локальной сети. Для примера укажу порт для подключения по VNC – 5900.
И последний пункт, который необходимо заполнить на этой вкладке, это “In. interface”. Тут указываем интерфейс роутера MikroTik, так как делаем проброс портов, то указываем интерфейс через который Mikrotik подключен к сети.
Далее переходим на вкладку “Action”, в поле “Action” выбираем dst-nat либо netmap. Последний параметр более новый, по этому указываем его.
Теперь необходимо указать IP адрес нашего компьютера, на который будет перенаправляться трафик, его мы вписываем в поле “To Addresses”.
Ну и последний пункт который мы заполним, это поле To “Ports”. Указываем порт, на который должен перенаправляться внешний трафик. По сути, можно указать тот же порт, что и в поле Dst. Port, хотя, если порты совпадают, то это поле можно вообще не заполнять, оставить его пустым.
Что бы не забыть, для чего эти настройки, давайте зададим комментарий. Это особенно важно, когда у вас множество оборудование на которое происходит проброс портов. Что бы задать комментарий, нажимаем на кнопку “Comment” и в открывшемся окне указываем комментарий к правилу, для чего оно создавалось.

Привязываем статический IP адрес к роутеру MikroTik на RouterOS по протоколу PPTP — BiREVIA
Заключение
Важное замечание, для проброса портов ваш провайдер должен предоставлять статический IP адрес, а иначе, вы попросту не сможете подключиться. Соответственно, для начала необходимо подключить у вашего провайдера статический IP адрес, если конечно он предоставляет такую услугу, а затем уже настраивать проброс портов.
Официальный сайт Mikrotik, где вы можете скачать свежую версию Winbox, через которую мы и осуществляли проброс портов.
Возможно, вам также будет интересно прочесть про обновление прошивок на роутерах Mikrotik.
А на этом сегодня все, если статья оказалась вам полезна, подписывайтесь на рассылку журнала в pdf формате, а так же на социальные сети журнала Cyber-X:
По вопросам работы сайта, сотрудничества, а так же по иным возникшим вопросам пишите на E-Mail. Если вам нравится журнал и вы хотите отблагодарить за труды, вы можете перечислить донат на развитие проекта.
Далее переходим на вкладку “Action”, в поле “Action” выбираем dst-nat либо netmap. Последний параметр более новый, по этому указываем его. 3389, так как пакет уже прошел цепочку PREROUTING и данные о получателе в нем уже изменены на адрес и порт внутреннего сервера. Следующее поле которое необходимо заполнить это Protocol , тут выбираем 6 tcp , то есть, наш трафик будет работать по протоколу tcp.
Шаг 3. Настраиваем проброс портов (NAT)
А теперь плавно переходим к созданию правил проброса портов. Они необходимы для удаленного доступа к вашему оборудованию из внешней сети. И для того, чтобы роутер знал, с какого порта статического IP адреса на какой локальный ip-адрес и порт девайса ему перенаправлять запрос. К примеру:
Подключение к 185.195.xxx.xxx:10000 перенаправить на 192.168.1.10:80
Вместо статического IP адреса 185.195.xxx.xxx можно использовать домен (доступно-после-активации-тарифа) и номера портов от 10000 до 10099 из диапазона ID (доступно-после-активации-тарифа).
После списка Частых ошибок, связанных с пробросом портов, приведено три примера правил для удаленного доступа. Чтобы убедиться в верной настройке подключения, создайте Правило для роутера.
В левом меню роутера перейдите в раздел «IP» — «Firewall» — закладка «NAT» и нажмите кнопку «Add», чтобы добавить правило проброса порта.
Статический маршрут
Статический маршрут — это обратный путь для роутера или ПК, по которому надо вернуть данные пользователю. Перейдите в левом меню роутера «IP» — «Routes», нажмите кнопку «Add» и на закладке «General» укажите эти данные:
Проверка статуса порта
После добавления правила проброса порта в роутере, введите в поле ниже его номер. Проверка покажет, отвечает ли ваше оборудование (программное обеспечение) на указанном порту статического IP адреса.
Частые ошибки проброса портов
Добавили правила, но доступа нет? Ничего страшного — выберите ошибку и узнаете ее решение:
В левом меню роутера перейдите в раздел «IP» — «Firewall» — закладка «Filter Rules» и очистите ее, затем перезагрузите роутер.
В параметре In. Interface должно быть выбрано название созданного ранее PPTP-клиента. В остальных параметрах (кроме ip и порта) выберите значения как в примерах ниже.
В настройках Сети (Network) оборудования в поле Шлюз (GATEWAY) должен быть указан локальный ip-адрес роутера, который вы авторизовали в Шаге 2. После исправления перезагрузите оборудование.
Создайте статический маршрут, как написано в примере. Выключите PPTP-клиента в роутере перед внесением изменений.
Отключите Фаервол и Брандмауэр. Перезагрузите компьютер (роутер) и убедитесь, что они действительно не работают. Иногда потребуется отключить еще и Службу Брандмауэра.
Правило для веб-интерфейса видеорегистратора или камеры
Создадим правило проброса порта, чтобы веб-интерфейс камеры или видеорегистратора (доступный в локальной сети, к примеру, по адресу http://192.168.1.10), можно было открыть удаленно по адресу http://(доступно-после-активации-тарифа):10000.
Параметр | Значение |
---|---|
Вкладка «General» | |
Chain | dstnat |
Protocol | 6 (tcp) |
Dst. Port | 10000 |
In. Interface | BiREVIA ID (доступно-после-активации-тарифа) |
Вкладка «Action» | |
Action | netmap |
To Addresses | 192.168.1.10 |
To Ports | 80 |
Параметр | Значение |
---|---|
Вкладка «General» | |
Chain | dstnat |
Protocol | 6 (tcp) |
Dst. Port | 10001 |
In. Interface | BiREVIA ID (доступно-после-активации-тарифа) |
Вкладка «Action» | |
Action | netmap |
To Addresses | 192.168.1.10 |
To Ports | 10001 |

Проброс портов и Hairpin NAT в роутерах Mikrotik — Записки IT-специалиста — ЖЖ
- Несколько раз отключите и включите питание модема;
- Включите Пропуск PPTP-трафика в настройках вышестоящего роутера или модема;
- В левом меню перейдите в раздел «IP» — «Firewall» — закладка «Filter Rules» и очистите ее, затем перезагрузите роутер;
- Удалите созданный PPTP-клиент. В Личном кабинете выберите другой Протокол, откройте заново или обновите Инструкцию по авторизации. Проделайте все шаги сначала.
Контроль соединения
После настройки удаленного доступа к веб-интерфейсу роутера и успешной Проверки статуса порта, сделайте контроль соединения по локальному ip-адресу PPTP-клиента. Так роутер будет сам проверять свою авторизацию на статическом IP адресе.
В мобильных сетях такой контроль необходим, чтобы модем автоматически перезагружался по питанию в том случае, когда роутер станет недоступен на статическом IP адресе. Подробнее.
В левом меню роутера зайдите в раздел «Tools» — «Netwatch», нажмите кнопку «Add» и введите эти данные:
Если указать другой ip-адрес или задать периодичность проверки чаще чем раз в 5 минут, то модем будет перезагружаться постоянно.
Как видите, в привязке статического IP адреса к роутеру или ПК действительно нет ничего сложного. Эта процедура не требует специальных познаний, а с нашей универсальной Инструкцией выполнить ее сможет каждый. Более того, рассмотренные принципы настройки, хоть и с небольшими вариациями, применимы и к другому оборудованию 🙂
В параметре In. Interface должно быть выбрано название созданного ранее PPTP-клиента. В остальных параметрах (кроме ip и порта) выберите значения как в примерах ниже. По истечении 10 минут после того, как был создан PPTP-клиент или изменен протокол авторизации, проверьте в Личном кабинете статус Устройства. Во избежание различных ошибок, обновите программное обеспечение роутера, который будете привязывать к статическому IP адресу.
Защита от атак типа Brute Force (метод перебора)
Первоначально нужно создать правило брандмауэра, при выполнении которого любые входящие соединения с IP-адресов из «черного списка» (ssh_blacklist) будут сбрасываться:
Чтобы автоматизировать процесс контроля, создадим три дополнительных списка IP-адресов. Один назовем ssh_stage1. В него будут попадать все новые соединения, адресованные к порту SSH. Его система удалит через 1 минуту, это гарантирует удаление адреса из списка, если соединение было осуществлено успешно.
Вторую попытку нужно фиксировать в списке ssh_stage2, это гарантированно дает понять системе, что речь идет именно о дубле:
При повторной ошибке IP-адрес перекидывается в список ssh_stage3.
Если на третьей попытке опять зафиксирована ошибка доступа, адрес переносится в ssh_blacklist, чтобы обеспечить гарантированную блокировку на 10 дней.
Системному администратору доступна возможность ручной разблокировки хостов, достаточно удалить его адрес из «черного списка».

Настройка Firewall в Mikrotik | Блог Timeweb Cloud
- INPUT – входящий трафик, поступающий на устройство через Mikrotik Firewall .
- OUTPUT – исходящий трафик, передаваемый внешним клиентам из памяти оборудования.
- FORWARD – сквозной трафик, который передается от клиента клиенту, но через Mikrotik .
Базовая настройка NAT
Внутри сети рабочие места или сетевое оборудование будет иметь локальные IP-адреса из подсети 192.168.XXX.XXX. Маршрутизатор точно «знает», с какого устройства поступил запрос на доступ к внешнему ресурсу и куда отправить «обратные» пакеты данных. Но при запросе извне он отклонит его, потому что нет условий, позволяющих точно определить запрашивающий компьютер внутри офисной сети.
Решение на Mikrotik есть – это Port Forwarding , или «проброс портов». Эта методика позволяет обеспечить перенаправление внешнего запроса на нужное рабочее место. На уровне логики работа выглядит так: если порт XXXX получает TCP-запрос, маршрутизатор должен задать адрес 192.168.XXX.XXX на порт YYYY, куда требуется перенаправить его. Существует 2 способа настройки NAT на Mikrotik :
Вариант 1. Выходной IP-адрес может измениться
«По умолчанию» в настройках маршрутизатора нет ничего, относящегося к NAT. Поэтому нужно указать устройству, чтобы оно все приходящие из офисной сети данные выводили во внешнюю через указанный IP-адрес:
В этой команде ether1 – это интерфейс, видимый в интернете извне. Есть возможность составить целый перечень out_interface_list. Он подходит для офисных сетей, где используется динамический IP-адрес.
Вариант 2. Исходящий IP-адрес всегда постоянный
В другом случае, когда некоему офису выделен статический IP-адрес, понадобится команда:
Здесь XXX.XXX.XXX.XXX – это выделенный статический IP-адрес, а ether1 – выходной интерфейс, к которому предстоит сделать проброс портов. Например, возьмем сервер с IP 192.168.88.19, куда открыт удаленный доступ через порт 1122, расположенный в подсети 192.168.88.0/24. Проброс портов осуществим командой:
Сразу уточним, что порт 1122 выбран специально. Нестандартные цифры сложнее атаковать извне, потому что боты чаще организуют их на стандартные порты. После применения указанных настроек маршрутизатор будет направлять TCP-пакеты, поступающие на порт 1122, на «местный» адрес 192.168.88.10 (через порт 22).
Теперь в мобильном приложении должно отображаться видео со всех камер видеорегистратора RVi в режиме реального времени, а в меню Mikrotik IP-Firewall во вкладке NAT добавится правило UPnP из сети Интернет на 192.168.1.220:554. Заложим некий диапазон для статически назначаемых устройств, например для серверов, точек доступа и видеорегистратора RVi, который в итоге и будет подключен к локальной сети. Обратите внимание, что пакет не попадает в цепочки INPUT и OUTPUT, которые используются для собственных пакетов маршрутизатора.
Проброс для порта 3389 (RDP)
Теперь несколько слов об удаленном управлении с использованием свободных портов роутера. Собственно, процедура практически та же.
- Шлюз: 192.168.8.1.
- Действие: accept.
- NAT (правило должно быть установлено ранее правила masquerade).
- Цепочка: dstnat.
- Протокол: 6 (tcp) (по умолчанию).
- Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
- Исходящий тип интерфейса: pppoe-out.
- Действие: dst-nat.
- Переадресация на: 192.168.0.232.
В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.
Создаем правило для второго провайдера, добавляем параметры для Masquerade.

Mikrotik проброс портов ssh
Заключение
Подводя итоги, можно отметить, что проброс портов «Микротик» — дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли. Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно.
Для роутеров бренда Mikrotik проброс портов требуется производить довольно часто. Однако и для сетевых администраторов, и для неподготовленных пользователей решение этой проблемы зачастую оказывается достаточно трудным делом. Далее приводится .
Сейчас все больше компаний хотят сделать одну информационную сеть, поэтому этот вопрос является актуальным. Для того чтобы объединять сигналы, необходимо правильно работать с параметрами роутеров. В статье пойдет речь о том, как настраивать .
Роутеры от MikroTik не пользуются спросом среди русских потребителей по той причине, что люди испытывают некоторое сложности при настройке «Микротик». К сожалению, данное латвийское изобретение с трудом поддается каким-либо изменениям своих .
Достаточно часто у многих пользователей, которые используют сеансы удаленного доступа, возникает вопрос, как изменить порт RDP. Сейчас посмотрим на простейшие решения, а также укажем несколько основных этапов в процессе настройки.
Pptp-порты — это протоколы (набор правил связи), который позволяет корпорациям расширять собственную корпоративную сеть через частные каналы и общедоступный интернет. Благодаря данному методу корпорация использует Глобальную сеть в качестве одной .
К самым технологичным роутерам можно отнести девайсы бренда MikroTik. Каковы особенности настройки таких модификаций маршрутизатора, как RB2011UAS, RB951G, а также RB951Ui?
Содержание:
- 1 interface31
- 1.1 Регистратор rvi настройка удаленного доступа
- 1.2 Пробрасываем порты в роутерах Mikrotik
- 1.3 Привязываем статический IP адрес к роутеру MikroTik на RouterOS по протоколу PPTP — BiREVIA
- 1.4 Заключение
- 1.5 Шаг 3. Настраиваем проброс портов (NAT)
- 1.6 Проброс портов и Hairpin NAT в роутерах Mikrotik — Записки IT-специалиста — ЖЖ
- 1.7 Контроль соединения
- 1.8 Защита от атак типа Brute Force (метод перебора)
- 1.9 Настройка Firewall в Mikrotik | Блог Timeweb Cloud
- 1.10 Базовая настройка NAT
- 1.11 Проброс для порта 3389 (RDP)
- 1.12 Mikrotik проброс портов ssh
- 1.13 Заключение