Не Работает Проброс Портов Через Lte Mikrotik • Настройка firewall

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать. Давайте разберемся, ка же осуществляется перенаправление портов, когда в качестве маршрутизатора, используется оборудование Mikrotik RouterBoard, работающее под управлением сетевой операционной системы Mikrotik RouterOS. В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address например, для ByFly используется адрес 10.

Принцип действия и область применения

Большинство пользовательских роутеров используют механизм подмены адреса PAT или NAT Masquerading. При таком сценарии, устройства во внутренней сети соединяются с интернетом через маршрутизатор. При этом они не «видны» наружным пользователям, контакт осуществляется через внешний IP-адрес роутера, подключенного к провайдеру.

Главными преимуществами в такой схеме подключения являются:

• повышенная безопасность локальной сети;
• малое количество IP-адресов для соединения с провайдером;
• гибкость при смене поставщика интернет-услуг.

Из-за подобного сценария работы PAT, роутер обрабатывает запросы, которые посылает внутренний ПК. Если первым к нему обратится наружный сервер или компьютер, то маршрутизатор не поддержит соединение и «ответит» отказом.

Но часто возникают ситуации, когда необходимо получить данные из ЛВС, не ожидая посылки запроса из нее. Например, в следующих случаях:

• подключение к IP-камере или видерегистратору удаленно, через интернет;
• для правильного функционирования торрентов;
• доступ кP2P-сетям и локальным FTP и WEB серверам;
• создание домашних игровых серверов.

Для этого в роутере инициализируется исключение из механизма NAT Masquerading, при котором, поступившие из вне данные, через выделенный порт поступают к указанному ПК во внутренней (локальной) сети. Происходит «прямой контакт» внутреннего и внешнего устройств.

Такое соединение называется «Port Forwarding» или «пробросом». Изменяя настройки маршрутизатора MikroTik, можно установить соответствующую конфигурацию.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Для этого в роутере инициализируется исключение из механизма NAT Masquerading, при котором, поступившие из вне данные, через выделенный порт поступают к указанному ПК во внутренней локальной сети. Если вам нужна бесплатная консультация, пишите мне!

Как сделать проброс портов в Mikrotik? Проброс портов ( Микротик ): описание, инструкция, рекомендации

1. Проверить доступность внешнего сервера из локальной сети. Удостовериться, что его ip и порт прописаны верно. Исправить, в случае ошибочного написания. Если опять не получается выполнить Port Forwarding, то проверить конфигурацию сервера.
2. Просмотреть созданные правила. Проверить правильность написания параметров. Исправить замеченные ошибки.
3. Проверить адрес внешнего интерфейса роутера WAN. Возможно, он сам входит в другую локальную сеть и имеет «серый» адрес. Если это так, то необходимо сделать проброс на конечном маршрутизаторе, имеющем выход в интернет. К «серым» ip-адресам относятся следующие диапазоны: 10.0.0.0—10.255.255.255；172.16.0.0—172.31.255.255；192.168.0.0—192.168.255.255. Они не используются в интернете и применяются только в локальных сетях.

Перенаправление портов

Существует несколько способов реализации проброса портов в роутерах MikroTik. Используются как графический интерфейс, так и консольные команды.

Настройка через GUI

Для подключения к роутеру можно использовать фирменную программу Winbox, скачав ее с сайта разработчика. После установки произвести следующие действия:

После этого следует написать пояснения к вновь созданному правилу, чтобы не забыть для чего оно устанавливалось. Делается это путем нажатия кнопки «Comment».

После настройки всех компонентов подтвердить, нажав на «ОК». Правило появится в меню NAT. Для активизации нужно поставить его выше других сценариев.

Использование командной строки

Для подключения консоли выбрать пункт «New Terminal» в Winbox. Также можно воспользоваться Telnet или SSH.

После подключения установить 2 правила:

• номер_внешнего_узла_ роутера — внешний порт маршрутизатора, открытый для проброса;
• адрес_устройства — ip компьютера во внутренней сети, который соединяется через проброс;
• узел_устройства — порт внутреннего компьютера;
• внутренний_адрес_роутера/24— адрес роутера в локальной сети, «24» указывает, что маска подсети 255.255.255.0;
• ether1-gateway — физический интерфейс через который осуществляется связь с интернетом.

Использование консоли может вызвать затруднения у неопытных пользователей.

Переадресация нескольких портов

Если нужно применить Port Forwarding к нескольким портам, то в пункте Dst.Port на вкладке General указать их через запятую.

В определенных случаях, например, при пробросе udp для компьютерной телефонии, нужно дополнительно сделать маркировку пакетов. Для этого нужно зайти во вкладку «Mangle», находящуюся в меню «firewall».

Нам нужно добавить новое (делается это нажатием кнопки со значком плюса). Тут есть несколько основных параметров: К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP 3389, для установки связи с ByFly 55555 и т. Маршрутизатор, получив такой пакет выполняет замену адреса назначения с собственного, на адрес веб-сервера, также, при необходимости, он может изменить и порт назначения.

Hairpin NAT

Почему так происходит? Давайте рассмотрим еще одну схему:

Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.

Чтобы понять, как это работает мы подготовили следующую схему:

Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.

Через терминал данное правило можно создать следующим образом:

В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.

Если вы нигде не допустили ошибок — все будет работать, как и предполагалось.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports соответственно, сам порт. Если вам нужна бесплатная консультация, пишите мне!

Проброс портов в Микротике | 13g