Мы не даром заостряем на этом особое внимание, так как непонимание процесса прохождения пакета по цепочкам сетевого фильтра способно привести к значительным затруднениям, когда вроде-бы все правила составлены верно, но ничего не работает. 3389, так как пакет уже прошел цепочку PREROUTING и данные о получателе в нем уже изменены на адрес и порт внутреннего сервера. Исходя из инструкции Как открыть порт , можно заметить, что в открывшемся порте на роутере есть параметры Изменить и Удалить.
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download .
Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
MicroTik – проброс портов, использование Port Forwarding в локальной сети, перенаправление портов наружу в Микротик
Проброс порта mikrotik в графическом интерфейсе программы Winbox
Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.
Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.
В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:
Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.
Пояснение к параметрам вкладки General, при создании правила NAT:
После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.
Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.
Пояснение к параметрам вкладки Action, при создании правила NAT:
Остальные строки имеют те же настройки, что и во вкладке NAT. В Dst.Port указывается несколько портов. Для переправления всех внешних запросов на одно локальное устройство необходимо создать правило NAT, где в строке Chain поставлено значение dstnat. На вкладке Action, для этого правила, как и в первом случае, выбираем dst-nat для поля Action, а в появившихся с низу полях To Address и To Ports — локальный адрес нашего компьютера 192.
Для его нужен проброс портов?
Он позволяет получить удалённый доступ к рабочему столу, камере,ftp-серверу. Таким образом, можно управлять сразу несколькими устройства с одного ПК или даже смартфона. Для этого потребуется лишь подключение к сети Интернет и данные для входа в интерфейс роутера.
Все устройства, которые проходят через проброшенные порты, будут отображаться в таблице маршрутизатора в виде digital-пары (IP и протокол).
Таблица заполняется для упрощения управления маршрутизатором и перенаправления переадресации портов в роутерах Mikrotic. Таблица открывает через браузер, найти её можно в меню роутера. Потребуется указать статичный IP и протокол связи. Рекомендуется устанавливать параметры «BOTH» и «UDP» в порядке чередования и направлять порты на них, пока связь не будет установлена.
ВНИМАНИЕ! Графа «Modify» предназначена только для опытных юзеров. Это графа пользовательских нестандартных конфигураций и обходных путей. Заполнив её некорректно можно нарушить работу всех работающих портов, поэтому настоятельно не рекомендуется её редактировать, если нет опыта в администрировании сетей.
После проведения манипуляций нужно сохранить настройку, чтобы роутер запомнил параметры. Сохранить параметры можно двумя способами:
- сохранить документ в формате «.ini», после чего интегрировать в другое устройство;
- сохранить страницу целиком, после чего активировать при подключении;
- записать параметры или запомнить их.
Проброс портов для видеонаблюдения -особенность настройки
- Открыть меню «Соединения и подключения».
- Нажать кнопку «Добавить сеть».
- Ввести стандартные данные роутера и прописать входящий IP адрес.
- Придумать пароль и логин, установить ключ сопряжения.
- При следующей перезагрузке устройство автоматически пройдёт в указанный порт и к нему можно будет получить удалённый доступ.
Настройка процедуры «Port forwarding» (проброс портов) в Mikrotik
Настройка вкладки «General»
Настройка вкладки «Action»
В строке «Action» нужно прописать действие, которое выполнит роутер. Другими словами, это скрипты действий, или набор алгоритма действий, которая будет использовать роутер при получении данных. Таким образом можно полностью автоматизировать рабочие процессы, чтобы пользователь не принимал в них прямого участия.
Возможные варианты:
В строке «To Adresses» нужно прописать внутренний IP-адрес компьютера или устройства, на который роутер перенаправит данные по протоколу проброса порта.
В поле «To Ports», соответственно, номер порта.
ВНИМАНИЕ! Рекомендуется оставлять комментарии к действиям, так как в будущем будет тяжело разобраться в настройках без заметок пользователя.
Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться. Когда открываете порт в сеть интернет лучше изменять его стандартное значение вместо 3389 указать например 9743 , чтобы снизить риски атак на этот порт. Если порт на входе равен порту на выходе или пробросить нужно несколько портов одним правилом в поле To port можно ничего не писать.
Публикация сервера на 2-ух внешних IP
Для начала следует прописать на сервере второй IP адресс из другой подсети на сетевом интерфейсе:
Идём в IP adresses и добавляем на сетевом интерфейсе ip 10.24.4.1/24 через который будет идти взаимодействие маршрутизатора с сервером:
Сделаем маршрут для второго провайдера с меткой route-1 для этого идём в IP/Route:
Создадим правило согласно которому сеть 10.24.4.0/24 роутится через второго провайдера:
К основному пробросу портов надо добавить проброс порта через второго провайдера:
Необходимо сделать также masquerade при обращении к 10.24.4.2 для того чтобы подключение ко второму IP WINDOWS работало:
Проброс порта на MikroTik для одного и двух провайдеров
Содержание:
- 1 Схема сети и описание сценария проброса портов
- 2 MicroTik – проброс портов, использование Port Forwarding в локальной сети, перенаправление портов наружу в Микротик
- 3 Проброс порта mikrotik в графическом интерфейсе программы Winbox
- 4 Для его нужен проброс портов?
- 5 Проброс портов для видеонаблюдения -особенность настройки
- 6 Настройка процедуры «Port forwarding» (проброс портов) в Mikrotik
- 7 Публикация сервера на 2-ух внешних IP
- 8 Проброс порта на MikroTik для одного и двух провайдеров