11 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Mikrotik проброс портов в локальную сеть

Содержание

Проброс портов на MikroTik

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

  • организации игрового сервера на домашнем компьютере,
  • организации пиринговых (одноранговых) сетей,
  • для доступа к IP-камере из интернета,
  • корректной работы торрентов,
  • работы WEB и FTP-серверов.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

  • Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
  • Src. AddressDst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
  • Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
  • Src. Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
  • Dst. Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
  • Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
  • In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
  • Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

  • accept — просто принимает данные;
  • add-dst-to-address-list — адрес назначения добавляется в список адресов;
  • add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
  • dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
  • jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat ;
  • log — просто записывает информацию о данных в лог;
  • masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
  • netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat ;
  • passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
  • redirect — данные перенаправляются на другой порт этого же роутера;
  • return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
  • same — редко используемая настройка один и тех же правил для группы адресов;
  • src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

  • 80/tcp — WEB сервер,
  • 22/tcp — SSH,
  • 1433/tcp — MS SQL Server,
  • 161/udp — snmp,
  • 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

Записки системного администратора

Ещё один блог о системном администрировании, операционных системах, СУБД, сетях, костылях-велосипедах и пр.

Mikrotik: Настройка проброса порта, чтобы и из локальной сети работал

Настройка проброса портов на роутерах Mikrotik дело не хитрое, если достаточно того, чтобы проброшенный порт был доступен только из интернета. Но иногда возникают ситуации, когда этот проброшенный порт должен отвечать и из локальной сети. В этой заметке я и покажу как настроить проброс порта, чтобы он работал и в локальной сети.

Проброс портов (Port Forwarding) — это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором, использующим NAT. Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера в локальной сети.

  • маршрутизатор Mikrotik с внешним IP-адресом 121.122.123.124
  • локальная сеть 10.123.1.0/24
  • внутренний адрес нашего Mikrotik 10.123.1.235
  • web-сервер в локальной сети с адресом 10.123.1.9
  • web-сервер слушает 80, который нам и нужно пробросить
Читать еще:  Ошибка 103 при установке драйвера

Первым делом создадим правило, чтобы при обращении на 121.122.123.124:80 нам отвечал 10.123.1.9:80

В Winbox’e это будет выглядеть так:

Ну и теперь опишем то, ради чего все это писалось — настроим проброс порта, чтобы он из локальной сети работал.

Правило первое — для проброса портов из локальной сети:

Скрины с Winbox’а:

Правило второе — для source-nat:

Все это путешествие для пакетов выглядит примерно так:

  1. LAN-клиент -> Mikrotik, 10.123.1.123:80 -> 121.122.123.124:80 — тут пакеты проходят через первое правило.
  2. Mikrotik -> web-сервер, 10.123.1.123:80 -> 10.123.1.9:80 — тут произошло перенаправление и пакеты теперь успешно проходят в локальную сеть после замены адреса назначения. Далее наш web-сервер получает перенаправленный через роутер пакет и отвечает на него напрямую в обход роутера.
  3. web-сервер -> LAN-клиент, 10.123.1.9:80 -> 10.123.1.123:80 — это ответный пакет от сервера. Но клиент ожидает пакеты с адресом источника 121.122.123.124, поэтому эти пакеты отбрасывает. Вот здесь нам понадобилось второе правило, чтобы ответные пакеты web-сервера также прошли через маршрутизатор.

Всем удачи в настройке!

  • Опубликовано: 19 августа 2016
  • Обновлено: 04 августа 2017
  • Рубрика: Mikrotik
  • Проброс портов на маршрутизаторе Микротик, проброс диапазона портов.

    Для чего это нужно?

    По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к

    • Удаленному рабочему столу по rdp
    • К локальному ftp или web серверу
    • Для доступа к ip камере
    • для доступа к видеорегистратору
    • Доступ к другим ресурсам, находящимся внутри сети.

    Настройка проброса одного порта

    Для начала подключитесь к Mikrotik через winbox. Затем перейдите на вкладку IP-Firewall-NAT

    Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.

    Chain-канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat

    Src. Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов

    Dst. Address— адрес назначения (всегда ip маршрутизатора).

    Protocol Обязательное поле, указываем протокол работы, http, udp и т.д.

    Src.Port Порт источника с которого идет запрос, для нас это не важно

    Dst.Port обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.

    Any.Port объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.

    In.Interface интерфейс на котором настроен внешний ip адрес Микротика

    Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно

    Более тонкие настройки, которые редко используются

    In.Interface List, Out. Interface List принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface

    Packet Mark, Connection Mark, Routing Mark Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.

    Connection Type Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.

    Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание

    Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.

    После заполнения всех необходимых полей переходим на вкладку Action.

    Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.

    To Address – ip локального компьютера на который идет проброс

    To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять

    После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.

    Проброс диапазона портов

    Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.

    В этом случае будут приниматься пакеты из диапазона 3389-3391

    Можно использовать оператор отрицания

    Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536

    Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.

    нажимаем на плюс добавить правило. И заполняем необходимые поля

    Chain – цепочка, может принимать следующие параметры

    PREROUTING — Маркирует пакет до принятия решения о маршрутизации.

    INPUT — Маркирует пакет, предназначенный самому хосту.

    FORWARD — Маркирует транзитные пакеты.

    OUTPUT — Маркирует пакеты, исходящие от самого хоста.

    POSTROUTING — Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.

    Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting

    Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.

    Затем переходим на вкладку Action

    Action ставим маркировку пакетов, mark packet

    New Packet Mark – название маркировки, вводим удобное имя.

    После чего нажимаем кнопку «ОК»

    Теперь переходим во вкладку NAT и добавляем новое правило

    Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action

    Указываем действие netmap или dst-nat

    To Adresses ip локального компьютера

    Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.

    Проброс всех портов и всех протоколов на локальный ip

    Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.

    Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке

    Выбираем только канал dstnat, после чего переходим на вкладку Action

    Здесь Action ставим netmap и указываем адрес назначения

    Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.

    Читать еще:  Moodle установка и настройка

    Обучающий курс по настройке MikroTik

    Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

    Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

    Проброс портов в Mikrotik – инструкция по настройке

    Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

    Перенаправление портов Mikrotik

    Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

    Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

    • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
    • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
    • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
    • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
    • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
    • Dst. Port – вот здесь указываем 3389 как писалось выше.
    • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
    • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
    • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
    • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
    • Out. Interface List – тоже самое что и 10 пункт только исходящий.

    Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

    Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

    Здесь настраиваем так:

    • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
    • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
    • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
    • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
    • To Ports – ну и TCP порт на который пересылать.

    Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

    Проброс 80 порта на mikrotik

    Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

    Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

    Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

    Открыть порт на микротик

    Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

    Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

    Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

    89 вопросов по настройке MikroTik

    Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

    ИТ База знаний

    Полезно

    — Узнать IP — адрес компьютера в интернете

    — Онлайн генератор устойчивых паролей

    — Онлайн калькулятор подсетей

    — Калькулятор инсталляции IP — АТС Asterisk

    — Руководство администратора FreePBX на русском языке

    — Руководство администратора Cisco UCM/CME на русском языке

    — Руководство администратора по Linux/Unix

    Навигация

    Серверные решения

    Телефония

    FreePBX и Asterisk

    Настройка программных телефонов

    Корпоративные сети

    Протоколы и стандарты

    Популярное и похожее

    Настройка PPTP клиента на Mikrotik

    Мониторим MikroTik с помощью Zabbix по SNMP

    Настройка load balancing на WAN в Mikrotik

    Graphings: графики в MikroTik

    Mikrotik: Полезные советы по настройке

    Escene ES205-N

    Как пробросить порт на роутере Mikrotik

    Попасть в LAN «извне»

    Читать еще:  0x0000007b Windows 7 при загрузке как исправить?

    3 минуты чтения

    Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый «проброс портов». Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье.

    Как это работает?

    Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета.

    Итак, имеем следующую схему:

    Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT, который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети.

    Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535, открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP).

    Настройка

    Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно:

    Скачиваем приложение WinBox. Вводим учётные данные и подключаемся. По умолчанию логин — admin, пароль — пустой. Если у вас уже настроены логин и пароль, то укажите их.

    Далее необходимо создать NAT – правило. Для этого переходим по следующему пути – на панели управления слева выбираем IPFirewallNAT

    Открывается следующее окно:

    Нажимаем на +, открывается страница добавления нового NAT- правила.

    Задаём следующие параметры:

    • Chaindstnat — направление запроса из внешней сети во внутреннюю.
    • Protocoltcp, поскольку в нашем случае нужно предоставить доступ к HTTP страничке.
    • Dst.Port23535 — это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX.
    • In.Interfaceall ethernet — входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт.

    Должно получиться вот так:

    На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее.

    Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Actionnetmap, то есть трансляция с одного адреса на другой. To Addresses192.168.1.100, то есть адрес нашёго FreePBX. И последнее — To Ports80, то есть запрос на HTTP порт.

    Должно получиться так:

    Далее нажимаем OK и правило готово. Теперь если вбить в адресной строке браузера сокет 35.135.235.15:23535 то мы попадем на страницу авторизации FreePBX.

    Полезна ли Вам эта статья?

    Пожалуйста, расскажите почему?

    😪 Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

    😍 Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

    Рабочий способ проброса портов (PortForwarding) на роутерах MikroTik / RouterBoardOS

    С каждым аникейщиком случается момент, когда он понимает, что надо уже прекратить пользоваться всякими ограниченными домашними роутерами (д-линки, тп-линки, зуксели и другие) и переходить на нормальное оборудование (MikroTik, Ubiquiti). И со мной около года случилось такое. Стал юзером MikroTik

    Сейчас у меня работают RB2011UAS-2HnD и hEX RB750Gr3 (планируется пополнение) . Оба девайса с гигабитными портами, имеют USB-порты для подключения 3G/4G-модемов.

    Устройства относительно недорогие. RB750Gr3 в продаже в Хабаровске можно найти по цене от 3500р. Сразу отмечу, что примерно таких же денег или больших стоит какой-нибудь Zyxel или Asus

    К RB750Gr3 можно придраться только по одной причине — он не имеет WiFi. Но на это могу ответить тем, что это решается подключением к нему самой простой недорогой AP’шки (точка доступа) . Это увеличивает общую стоимость оборудования на 500-1300р, но оно того действительно стоит., т.к. мы перестаём быть ограничены «домашней» прошивкой разных Asus’ов и Zyxel’ей. Любая сетевая фантазия, даже самая извращённая может быть реализована на MikroTik (RouterBoardOS), а вот дальше возможностей софта обычных роутеров уже не зайти.

    Сегодня в сети Интернет довольно много различных руководств/инструкций по настройке RouterBoardOS. Теперь не надо быть сильно опытным «роутерщиком», чтобы настроить основной функционал. Прелесть в том, что настраиваются MikroTik’и одинаково, т.к. ОС у них одинаковая, нет нужды искать инструкцию по конкретной модели.

    Однако написать данный материал меня побудила одна очень часто используемая функция, которая по «гайдикам и видосикам» из интернета не настраивается. Это Перенаправление портов, PortForwarding или же ещё Проброс портов, как принято в инструкциях для «домашних роутеров». Можно очень долго гуглить то, как это делать и получать один и тот же ответ по созданию одного единственного правила в IP->Firewall-NAT, но результата это не даст, т.к. (возможно) с какой-то версии RouterBoardOS работать оно стало по другому принципу

    Суть в том, что теперь надо создать 2 правила в IP->Firewall-NAT. Не буду слишком долго рассуждать, а покажу на примерах, а то и так слишком много воды налил:

    /ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=8080 action=dst-nat to-address=192.168.1.100 to-port=80 /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.100 protocol=tcp dst-port=80 out-interface=Eth5-LAN-Master action=masquerade

    Пример для доступа к веб-серверу, находящемуся на устройстве за MikroTik

    8080 — порт по которому мы делаем запрос извне, например http://mysite.xyz:8080

    80 — внутренний порт, на котором работает веб-сервер. При желании в обоих случаях можно перенаправлять на тот же самый порт, но часто нужно использовать именно такую конструкцию, т.к. некоторые провайдеры фильтруют популярные порты от доступа из вне для физческих лиц, также чтобы избежать брутфорса на эти порты от ботнетов, а ещё, когда нам надо надо подключаться к одинаковым сервисам с одинаковыми портами на разных устройствах за роутером

    192.168.1.100 — IP-адрес устройства за роутером, на который нужно получить доступ из вне

    192.168.1.0/24 — внутренняя подсеть за роутером с маской (24 указывает на маску 255.255.255.0)

    Eth5-LAN-Master — Название интерфейса или группы интерфейсов, к которому подключены устройства за роутером. В данном случае это мастер-порт, к которому привязаны остальные порты. В других ситуациях это может быть Switch или даже Bridge из портов и Switch’ей

    Правила добавляются через Terminal в главном меню Winbox/Web-интерфейса. Можно настроить и через графический интерфейс по указанным в конфиге директивам и их значениям

    Доступ для RDP/Radmin/FTP и прочего делается аналогично. Разве что может потребоваться выбрать другой тип протокола, порты и адреса

    Спасибо за внимание, буду рад, если этот небольшой материал кому-то поможет сэкономить время и нервы!

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector