Требуется производить довольно часто. Однако и для сетевых администраторов, и для неподготовленных пользователей решение этой проблемы зачастую оказывается достаточно трудным делом. Далее приводится краткая инструкция, следуя которой можно без труда осуществить любые операции этого типа, правда, придется немного повозиться.
с пробросом портов. Зачем это нужно?
Прежде чем приступать к настройке маршрутизатора, следует немного остановиться на принципах проброса портов и на том, для чего все это используется.
По умолчанию, такова, что компьютеры, находящиеся во внутренней или внешней сети, адреса IP, присвоенные другим терминалам, не видят. Здесь используется правило так называемого маскарада, когда сам маршрутизатор при поступлении запроса подменяет адрес машины, которой он предназначается собственным внешним IP, хотя и открывает необходимый порт. Получается, что все устройства, объединенные в сеть, видят только роутер, а между собой остаются невидимыми.
В связи с этим в некоторых ситуациях для устройств Mikrotik проброс портов становится крайней необходимостью. Наиболее часто встречающимися случаями можно назвать следующие:
- организация удаленного доступа к устройствам в сети на основе технологий RDP;
- создание игрового или FTP-сервера;
- организация и настройка корректного функционирования торрент-клиентов;
- доступ к камерам и системам видеонаблюдения извне через интернет.
Доступ к веб-интерфейсу
Итак, приступаем. Для маршрутизаторов Mikrotik проброс портов (RDP, FTP и т.д.) начинается со входа в систему управления устройством, называемую веб-интерфейсом. И если для большинства известных роутеров в качестве стандартных адресов используются сочетания 192.168 с окончаниями либо 0.1, либо 1.1, здесь такой вариант не проходит.
Для доступа в веб-браузере (лучше всего использовать стандартный Internet Explorer) в адресной строке прописывается комбинация 192.168.88.1, в поле логина вводится admin, а строка пароля, как правило, остается пустой. В случае, когда доступ по каким-то причинам оказывается заблокированным (роутер не воспринимает логин), потребуется сделать сброс настроек, нажав на соответствующую кнопку или отключив устройство от электропитания на 10-15 секунд.
Общие параметры и настройки
Вход в интерфейс произведен. Теперь самое главное: в Mikrotik проброс портов основан на создании так называемых правил исключения для функции Masquerade (тот самый маскарад с подменой IP-адресов, который упоминался выше).
В общих настройках раздела Firewall/NAT можно заметить, что одно правило уже есть. Оно установлено в качестве одной из заводских настроек. Проброс портов в общем случае состоит в добавлении нового правила путем нажатия кнопки со значком плюса, после чего необходимо будет заполнить несколько основных полей настроек.
Примеры используемых портов
Теперь рассмотрим некоторые возможные примеры использования портов. В зависимости от того, для чего именно будет использоваться каждый открываемый порт, значения могут быть такими:
- Torrent: tcp/51413;
- SSH: tcp/22;
- SQL Server: tcp/1433;
- WEB Server: tcp/80;
- telnet: tcp/23;
- RDP: tcp/3389;
- snmp: udp/161 и т.д.
Эти значения как раз и будут использованы для проброса каждого такого порта.
Создание правил и выбор действий
Теперь создаем новое правило и приступаем к заполнению полей настроек. Здесь нужно быть очень внимательным и исходить именно из того, какой доступ необходимо осуществить (изнутри наружу или наоборот).
Параметры должны быть такими:
- Chain: srcnat используется для доступа из локальной сети, так сказать, во внешний мир, dstnat - для доступа к локальной сети извне (выбираем для входящих подключений второй вариант);
- поля адресов Src. и Dst. оставляем пустыми;
- в поле протокола выбираем либо tcp, либо udp (обычно устанавливается значение 6 (tcp);
- Src. Port оставляем незаполненным, т.е. исходящий порт для внешних подключений не важен;
- Dst. Port (порт назначения): указывается порт для вышеприведенных примеров (например, 51413 для торрентов, 3389 для RDP и т.д.);
- Any Port можно оставить пустым, но если указать номер, один порт будет использоваться и как входящий, и как исходящий;
- In. Interface: вписывается порт самого роутера (обычно это ether1-gateway);
- Out. Interface: указывается исходящий интерфейс (можно пропустить).
Примечание: в случае проброса портов для удаленного подключения извне (RDP) в поле Src. Address указывается IP удаленного компьютера, с которого предполагается осуществлять доступ. Стандартный 3389. Однако большинство специалистов заниматься подобными вещами не рекомендует, поскольку намного безопаснее и проще настроить на маршрутизаторе VPN.
- Action: accept (простой прием), но для доступа извне указывается dst-nat (можно указать более продвинутую настройку netmap);
- To Addresses: вписывается внутренний адрес машины, на который должно будет происходить перенаправление;
- To Ports: в общем случае выставляется значение 80, но для корректной работы того же торрента указывается 51413.
Настройка Mikrotik: проброс портов FTP
Наконец, несколько слов о том, какие настройки понадобятся для FTP. Прежде всего нужно настроить сам FTP-сервер, например, на основе FileZilla, но это отдельный разговор. В данном случае нас больше интересует проброс портов FTP Mikrotik, а не настройки серверной части.
Как считается, FTP-сервер хоть и требует указания определенного диапазона портов, однако совершенно нормально работает на управляющем порте 21. Его необходимо задействовать.
Как и в общем случае, сначала нужно создать новое правило, только в данной ситуации их будет два: для управляющего порта и для всего диапазона портов.
Для порта 21 параметры должны быть такими:
- Chain: dst-nat;
- Dst. Address: внешний адрес роутера (например, 1.1.1.28);
- Protocol: 6 (tcp);
- Dst. Port: 21
- In. Interface: ether1-gateway.
Для вкладки действия Action устанавливаются следующие значения:
- Action: dst-nat;
- Dst. Address: адрес терминала, на котором установлен FTP—сервер;
- To Ports: 21.
Для диапазона (например, 50000-50050) все опции аналогичны, за исключением двух параметров:
- в общих настройках для Dst. Port указывается весь диапазон портов;
- при выборе действия тот же диапазон вписывается в поле To Ports.
Обратите внимание, что при настройке проброса для FTP нужно следовать документации роутера, а в ней сказано, что не рекомендуется использовать начальный порог диапазона портов ниже значения 1024. Это момент тоже стоит учесть.
В принципе, еще можно задействовать функцию Hairpin NAT Mikrotik, но она нужна только в тех случаях, когда требуется вход под внешним IP из локальной сети. В общем случае активировать ее не нужно.
Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).
В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.
Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:
- Откройте меню IP - Cloud
- Поставьте галочку DDNS Enabled
- Нажмите кнопку Apply
- Если после этого отобразиться статус "updated " без ошибок, то у вас белый IP-адрес.
Если в правом нижнем углу отображается ошибка типа "DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work. ", то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.
Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122 . Он имеет внутреннюю подсеть 192.168.88.0/24 .
Внутри подсети есть IP-камера с адресом 192.168.88.250 , у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.
Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000 , мы попадали на Web-интерфейс IP-камеры.
10000 в адресной строке - это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.
Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.
Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24
/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24
10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80
178.189.224.122 и порту 10000 192.168.88.250 и порт 80 , а не в интернет.
178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80
Созданные правила можно посмотреть в меню IP - Firewall на вкладке NAT .
Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.
Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.
Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554 , поэтому его нужно пробросить в роутере MikroTik.
Обращения из интернета к порту 554 , перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554 .
/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554
Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554 , а не в интернет.
/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554
Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс . В ОС Windows в VLC media player нужно открыть меню Медиа - Открыть URL .
Вводим адрес rtsp://login :passwd @178.189.224.122 /video.mp4
Где login - логин для доступа к IP-камере, passwd - пароль для доступа к IP-камере, 178.189.224.122 - внешний IP-адрес роутера.
Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.
После этого видео на планшете откроется в полноэкранном режиме.
Отзывы о статье
Оценка: 5 , Голосов:
Алекс 13.01.2019 14:37:34
правила появились, но ничего не работает
Ответить Отменить ответ
Сергей 25.06.2018 07:07:24
Здравствуйте. Можете подсказать? Стоит микротик, за ним сеть, пробросили канал на организацию, нужно дать им ip оборудования для того, чтобы они прописали на них доступ и маршруты, к примеру адреса 30.40.40.1:5050 и 2:5050. Но у них уже есть маршруты по данной сети в другом регионе. Можно ли сделать через nat подмену ip. Например я им даю адреса 10.10.10.1:5050 и 2:5050 и при обращении на них они попадали на 30:40:40:1:5050 и 2:5050 соответственно.
Ответить Отменить ответ
Begley diptemy 21.06.2018 12:36:55
Bonjour j"ai fait repartition de mon Donne internet sur mon mikrotik pour acceder a distance.
Voila
Maintenance le message qui affiche sur mon Scran,
RADIUS server is not responding
Ответить Отменить ответ
Максим 01.06.2018 22:30:11
Добрый вечер! Подскажите, в чем может быть причина. В статусе вместо "updated" отображается "Error: request time out", но IP-адрес белый, на другом роутере работало все.
Ответить Отменить ответ
Роман 29.03.2018 10:12:21
А если у меня схожая задача, но камера подключена не к микротику а к другому микротику, который в свою очередь связан с основным VPN тоннелем. маршруты все прописаны, микротики видят друг друга и все устройства за ними. как должна выглядеть настройка проброса портов чтобы с внешки микротик перенаправлял в впн тоннель на камеру?
Ответить Отменить ответ
Глеб 30.01.2018 16:17:24
Добрый день, подскажите все настроил, как выше описано, в нутри сети по белому айпишнику + порт заходит, а с внешней сети не хочет заходить, чуть не треснул, помогите пжл, буду очень признателен
Ответить Отменить ответ
Глеб 30.01.2018 18:18:27
Ребята нашел проблему в фаерволе) все ок
Ответить Отменить ответ
Alexey 01.02.2018 15:10:19
Firewall is root of all evil:))
Ответить Отменить ответ
Андрей 14.05.2018 19:22:30
Добрый день! Глеб, у меня такая же проблема напишите, пожалуйста, как Вы ее решили?
Ответить Отменить ответ
Дмитрий 16.01.2018 15:09:49
Добрый день! В интернете миллион статей по данной ситуации, но нигде толком нет как сделать наоборот. Подскажите, как пробросить порты в обратном направлении. На камере по сработке датчика движения формируется письмо с изображением через внешний smtp сервер. Как ни пытался, письмо не проходит. На ТП линке все без проблем делается..
Ответить Отменить ответ
Artem 30.01.2018 14:24:54
Дмитрий, не надо обратного проброса, письмо формирует сама камера, но отправить его не может. Почему не может, надо разобраться.
Варианты:
В ящике: не настроен/слетел доступ не надежным приложениям
включилась двух этапная аутентификация
На микротике в порыве, могли запрещающими правилами фаервола закрыть все что не разрешено, тогда временно отключите все запреты проверьте работу отправки почты, если заработает добавьте выше правило разрешение на почтовые порты
Ответить Отменить ответ
Andrew 29.12.2017 12:08:04
Как правильно сделать проброс на микротик стоящий за главным микротиком. Нужно иметь доступ по Winbox на оба устройства. Второй микротик подключен к ведущему по внутреннему IP.
Ответить Отменить ответ
Дима 29.12.2017 15:15:48
Нужно пробрасывать произвольный порт на первом роутере на порт 8291 на второй микротик.
На втором микротике нужно разрешить доступ на порт 8291.
И не забудь перетащить созданные правила выше запрещающих.
# На первом роутере
/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=IP_второго_роутера to-ports=8291
/ip firewall nat add action=netmap chain=dstnat dst-address=Белый_IP_первого_роутера dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=IP_второго_роутера to-ports=8291
# На втором роутере
/ip firewall filter add action=accept chain=input disabled=no in-interface=ether1-gateway dst-port=8291 protocol=tcp comment="access to winbox"
При подключении на Белый_IP_первого_роутера по порту 8291 будешь попадать на первый роутер.
При подключении на Белый_IP_первого_роутера по порту 10000 будешь попадать на второй роутер.
В этой статье мы рассмотрим как пробросить порт на маршрутизаторах Mikrotik для RDP. Инструкция актуальна для всех устройств Router OS.
Любую схему можно представить в таком виде:
Клиент отправляет запрос на внешний ip адрес клиента, роутер обрабатывает его и если создано правило отправляет его уже дальше к компьютеру в локальной сети.
Рассмотрим подробнее, как создать это правило в Mikrotik Router OS.
Все операции будем выполнять через WinBox.
Подключаемся к роутеру, заходим в IP->Firewall-> NAT и нажимаем + что бы создать новое правило.
Тут нужно заполнить всего несколько опций.
Первое поле - это
Chain
(Цепочка)
. Тут может быть всего два варианта -
srcnat
и
dstnat
. Цепочка - это направление потока данных.
Srcnat
- из внутренней сети во внешнюю,
dstnat
- из внешней во внутреннюю. В нашем случие нам нужен
dstnat
.
Далее идут
Src. Address
(исходный адрес)
и
Dst. Address
(адрес назначения)
. Если вы планируете подключаться с определенного IP адреса, тогда вносим его в Src. Address
, если хотите подключаться с любого ip адреса тогда оставляем поле пустым. В адрес назначения - всегда внешний адрес роутера, так что это поле можно не заполнять.
Далее следует пункт
Protocol
(протокол)
. Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для rdp выбираем
tcp
.
Src. Port
(исходящий порт)
- это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это не нужно, оставляем поле пустым.
Dst. Port
(порт назначения)
- а это как раз тот порт, на который мы хотим принимать соединение. Для RDP это 3389.
Затем идёт пункт
Any Port
(любой порт)
- так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface
(входящий интерфейс)
- это тот интерфейс который смотрит наружу.
Out. interface
(исходящий интерфейс)
- интерфейс, к которому подключен компьютер, на который мы делаем переадресацию, заполнять это поле нет необходимости.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге у насполучается такая картина:
В целях безопасности мы рекомендуем вам изменить стандартный порт rdp 3389 на любой другой. В этом случаи для подключения к удаленному компьютеру после ip адреса нужно поставить: и ввести адрес порта, например 192.168.0.100:5971
Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры расширенной настройки, нам они не нужны, идём сразу в Action (Действие)
В поле
Action
нужно выбрать конкретное действие, которое будет выполняться с подключением на указанный ранее порт:
accept
- Просто принимает пакет;
add-dst-to-address-list
- Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list
- Аналогично предыдущему, но для исходного адреса;
dst-nat
- Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump
- Позволяет применить для данных правила из другой цепочки.
log
- Добавляет информацию о пакете в лог роутера;
masquerade
- Подмена внутреннего адреса компьютера из локальной сети на адрес роутера;
netmap
- Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough
- Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect
- Перенаправляет данные на другой порт в пределах роутера;
return
- Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same
- применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat
- Обратная dst-nat
операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит
dst-nat
и
netmap
, остановимся на пером варианте.
Так же имеет смысл указать коментарий для этого правила, что бы в будующем не вспомнитать что это.
Нажимаем кнопку Comment , назовем это правило rdp и нажимаем ОК .
Все, на этом правило создано.
Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый "проброс портов" . Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье.
Как это работает?
Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета.
Итак, имеем следующую схему:
Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT , который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети.
Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535 , открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP) .
Настройка
Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно:
Скачиваем приложение WinBox . Вводим учётные данные и подключаемся. По умолчанию логин - admin , пароль - пустой. Если у вас уже настроены логин и пароль, то укажите их.
Открывается следующее окно:
Нажимаем на + , открывается страница добавления нового NAT- правила.
Задаём следующие параметры:
- Chain → dstnat - направление запроса из внешней сети во внутреннюю.
- Protocol → tcp , поскольку в нашем случае нужно предоставить доступ к HTTP страничке.
- Dst.Port → 23535 - это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX.
- In.Interface → all ethernet - входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт.
Должно получиться вот так:
На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее.
Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Action → netmap , то есть трансляция с одного адреса на другой. To Addresses → 192.168.1.100 , то есть адрес нашёго FreePBX. И последнее - To Ports → 80 , то есть запрос на HTTP порт.
По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к
- Удаленному рабочему столу по rdp
- К локальному ftp или web серверу
- Для доступа к ip камере
- для доступа к видеорегистратору
- Доступ к другим ресурсам, находящимся внутри сети.
Настройка проброса одного порта
Для начала подключитесь к Mikrotik через . Затем перейдите на вкладку IP-Firewall-NAT
Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.
Chain -канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat
Src . Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов
Dst . Address — адрес назначения (всегда ip маршрутизатора).
Protocol — Обязательное поле, указываем протокол работы, http, udp и т.д.
Src . Port – Порт источника с которого идет запрос, для нас это не важно
Dst . Port — обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.
Any . Port – объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.
In . Interface – интерфейс на котором настроен внешний ip адрес Микротика
Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно
Более тонкие настройки, которые редко используются
In.Interface List, Out. Interface List – принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface
Packet Mark , Connection Mark , Routing Mark – Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.
Connection Type — Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.
Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание
Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.
После заполнения всех необходимых полей переходим на вкладку Action .
Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.
To Address – ip локального компьютера на который идет проброс
To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять
После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.
Проброс диапазона портов
Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.
В этом случае будут приниматься пакеты из диапазона 3389-3391
Можно использовать оператор отрицания
Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536
Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.
нажимаем на плюс добавить правило. И заполняем необходимые поля
Chain – цепочка, может принимать следующие параметры
PREROUTING - Маркирует пакет до принятия решения о маршрутизации.
INPUT - Маркирует пакет, предназначенный самому хосту.
FORWARD - Маркирует транзитные пакеты.
OUTPUT - Маркирует пакеты, исходящие от самого хоста.
POSTROUTING - Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.
Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting
Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.
Затем переходим на вкладку Action
Action ставим маркировку пакетов, mark packet
New Packet Mark – название маркировки, вводим удобное имя.
После чего нажимаем кнопку «ОК»
Теперь переходим во вкладку NAT и добавляем новое правило
Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action
Указываем действие netmap или dst-nat
To Adresses — ip локального компьютера
Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.
Проброс всех портов и всех протоколов на локальный ip
Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.
Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке
Выбираем только канал dstnat, после чего переходим на вкладку Action
Здесь Action ставим netmap и указываем адрес назначения
Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе « » все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на .
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .
