Производим проброс портов Mikrotik: настройка перенаправления

25 сентября, 20183.81715

Содержание статьи:

Технология, которая с помощью маршрутизатора позволяет наладить связь-обращение из Интернета к компьютеру по внутренней сети, называется проброс. Ее внедрение актуально, если есть необходимость организовать перенаправление трафика для многопользовательских игр, создаете оверлейные сети с равными правами для всех пользователей или делаете сервер с доступом к Интернет на локальном компьютере.

Практическому внедрению этой технологии с помощью роутера MikroTik посвящена статья.

Суть проброса состоит в перенаправлении порта. Это действие предполагает гармонизацию роутерного порта на внешнем интерфейсе с портом устройства, подключенного к сети. Эта процедура завязана на механизме NAT, отвечающего за трансляцию сетевых адресов.

Проще говоря этот механизм позволяет подключаться нескольким единицам оборудования локальной сети (ноутбукам, ПК, планшетам, смартфонам) к WAN-порту.

Рассмотрим работу этого механизма и отладку проброса на примере роутера MikroTik. Цель перенаправления — дать доступ цифровой видеокамере, работающей по IP-протоколу (IP-адрес устройства — 192.168.88.252, веб-интерфейс синхронизирован с 50 портом).

Обязательное условие настройки такого механизма на роутере MikroTik — наличие публичного, глобального, внешнего IP — белого адреса. Потому что именно они маршрутизируются в Интернете.

Чтобы проверить эту опцию, в меню откройте вкладку IP — Cloud, поставьте отметку DDNS Enabled и активируйте Apply. В строке статус должно отобразиться «updated«. Это означает, что у роутера есть публичный адрес.

Если в этой строке написаны данные, которые указывают на ошибку, тогда адрес частный. Изменить серый адрес на белый может только провайдер. Так что без него не обойтись.

После проверки установлено, что маршрутизатор имеет белый IP-адрес — 178.189.224.121, а подсеть прописана так — 192.168.88.0/22. Задача — сделать так, чтобы при запросе адреса в браузере http://178.189.224.121:50000активировались данные веб-камеры.

Примечание. 50000 — условное значение. Его лучше выбирать в диапазоне от 49152 по 65535.

Приступаем к перенаправлению трафика с видеокамеры с IP-адресом в Интернет. Для этого в настройках роутера в меню откройте вкладку New Terminalи последовательно добавляем такие команды:

1. Для подсети — правило маскарадинга — 192.168.88.0/22:

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/22

1. Перебрасывайте запросы из Интернета к порту 50000 на внутреннюю сеть — 192.168.88.252 и 50(IP камеры и данные порта, к которому она подключена).

/ip firewall nat add action=netmap chain=dstnat dst-port=50000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.252 to-ports=50

1. Переключите запросы из локальной сети к роутеру 178.189.224.121 и порту камеры 50000 на адрес камеры (192.168.88.252) и порт в роуторе, к которому она подключена. Таким образом запросы не будут идти в Интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.121 dst-port=50000 in-interface=bridgeprotocol=tcp src-address=192.168.88.0/22 to-addresses=192.168.88.252 to-ports=50

Чтобы проверить результаты, откройте вкладку NAT  меню IP — Firewall. Когда открываете в браузере нужный адрес — http://178.189.224.122:50000, то откроется страничка веб-устройства с всеми опциями отладок после введения имени пользователя и его пароля.

Чтобы синхронизировать веб-оборудование с планшетом (просматривать на нем видео), рекомендуем использовать утилиту VLC media player. Ее поддерживает специальный протокол маршрутизатора TP-Link — RTSP. Использующий порт 554.

Чтобы пробросить его на MikroTik, сделайте такие записи в настройках:

1. /ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.252 to-ports=554
2. /ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.121 dst-port=554 in-interface=bridgeprotocol=tcp src-address=192.168.88.0/22 to-addresses=192.168.88.252 to-ports=554

Запускайте на планшете нужную программу, выбирайте «Сетевой ресурс», вводите логин, пароль и внешней адрес роутера. Изображение будет доступным.

Учтите эти нюансы при настройке различного оборудования в сети  для перенаправления выгрузки и загрузки данных.

Проброс портов представляет собой одну из самых главных функций в области перенаправления трансляции сетевых адресов. Проще говоря, это возможность использования несколькими устройствами, объединенными в одну локальную сеть или подключаемыми через беспроводную связь устройствами, одного внешнего интерфейса. Если говорить еще проще, проброс портов «Микротик» (RDP) дает возможность получения доступа к определенному компьютерному терминалу или устройству через интернет-соединение извне. Таким образом, можно управлять любым устройством через удаленный доступ. Единственное, что для этого требуется, — наличие свободного порта на роутере. Далее будет рассмотрено несколько самых распространенных ситуаций, в которых требуется или настоятельно рекомендуется сделать проброс портов. «Микротик» модели RB951-2n возьмем в качестве примера. Но это не самое главное. В роутере/модеме «Микротик» проброс порта через VPN Client несколько отличается от общепринятых правил. Но обо всем по порядку.

Роутер Mikrotik: общие характеристики

Владельцам роутеров серии Mikrotik несказанно повезло. Дело в том, что эти устройства в большинстве своем имеют несколько входов для сетевых подключений. В вышеуказанной модели их пять.

Это дает возможность использовать массу совершенно различных настроек даже для тех случаев, когда имеется несколько провайдеров. Согласитесь, достаточно весомое преимущество. Чтобы подключение работало, и работало корректно, придется сделать проброс портов «Микротик»-роутера. Сразу отметим, что придется немного повозиться. Зато в итоге пользователь получит достаточно много возможностей по применению современных интернет-технологий. Правда, обольщаться не стоит, поскольку настройка проброса при отсутствии определенных знаний может стать достаточно хлопотным делом. Но не стоит опускать руки. Наша инструкция поможет выполнить настройку роутеров этой серии даже самому неподготовленному пользователю. Важно соблюдать все пункты, включенные в список.

Проброс портов «Микротик»: вход в веб-интерфейс

С входом в интерфейс устройства проблем быть не должно. Стандартная процедура включает в себя использование самого обычного интернет-браузера, в котором в адресной строке нужно ввести комбинацию 192.168.88.1. Заметьте, этот адрес кардинально отличается от данных большинства других роутеров.

В качестве логина всегда используется admin, а поле пароля остается пустым. Если данный вариант не работает, просто сбросьте настройки нажатием кнопки Reset или отключением устройства от электросети на 10-15 секунд.

Общее описание параметров

После входа, прежде чем выполнять проброс портов «Микротик», желательно ознакомиться с некоторыми важными настройками и параметрами, которые придется изменять.

Для начала следует войти в раздел Interfaces (второй пункт в меню слева), где будут показаны все доступные на данный момент интерфейсы. На локальный мост пока не обращаем внимания, а смотрим на порт Ether1. Он соответствует первому порту (разъему) на роутере, в который включен кабель с разъемом RJ-45 от провайдера. Еще он называется Gateway — вход, через который можно будет получить доступ к самому устройству.

Четыре остальных порта объединены в виртуальный свитч. Второй порт имеет приоритет Master, остальные – Slave. Три последних порта ориентируются на второй, который, по сути, ими же и управляет на основе подключения к первому.

Между основными портами и интернетом в качестве некой «прослойки» установлена служба трансляции сетевых адресов NAT. Она позволяет установить и внутренние, и внешние адреса для компьютеров в одной локальной сети, которые могут не совпадать изначально.

Далее начинается маскарад. Да-да, вы не ослышались, это действительно так! Функция Masquerade работает по принципу VPN или прокси, подменяя внешний IP компьютерного терминала при выходе в интернет адресом самого роутера. Точно так же при получении отклика служба идентифицирует внутренний IP компьютера, с которого производился запрос, и отсылает ответ именно на эту машину. Если служба не включена, нужно будет активировать ее в соответствующем разделе самой операционнной системы.

Основные настройки портов

В зависимости от того, какая программа или служба должна использовать определенный свободный порт роутера, и придется отталкиваться, делая проброс портов «Микротик».

К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP – 3389, для установки связи с ByFly – 55555 и т. д. Но стоит заметить, что проброс портов «Микротик» через VPN-клиент немного отличается от стандартной процедуры (далее будет понятно, почему).

Создание правил

Но вернемся к пробросу. Заходим на вкладку Firewall/NAT и видим, что одно правило уже имеется (оно установлено по умолчанию).

Нам нужно добавить новое (делается это нажатием кнопки со значком плюса). Тут есть несколько основных параметров:

• Chain — устанавливаем Srcnat, если требуется доступ из внутренней сети во внешнюю, или Dstnat – из интернета во внутреннюю сеть;
• Protocol — выбираем TCP;
• Src. Port — без изменений;
• Dst. Port — 51413 (в данном случае для торрента);
• In. Interface — ether1-gateway;
• Out. Interface — без изменений.

Далее можно перейти к настройкам расширенного типа (Advanced или Extra), но без надобности их можно не трогать. В данном случае нас больше интересует раздел действий (Action).

Выбор действия

Выбрать операцию, которая будет активирована при приеме входящих пакетов, есть из чего. Чтобы не усложнять ситуацию, можно установить значение Accept. В этом случае все пакеты будут приниматься автоматически.

Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Второй вариант предпочтительнее, поскольку является улучшенной версией первого.

Далее в поле To Address указываем название компьютера, на который будет производиться переадресация, и вводим адрес порта. Нажимаем кнопку Apply — адрес машины появится в списке.

Также можно перейти к разделу комментариев (Comments) и указать информацию для созданного правила, чтобы в дальнейшем система не запрашивала выбор действия. На этом проброс портов «Микротик» можно считать завершенным. Но не все так просто.

Проброс портов «Микротик» из интернета в локалку: переадресация для нескольких провайдеров

Предположим, что подключение осуществляют несколько провайдеров, и пользователь в какой-то момент хочет выбрать, чьими услугами воспользоваться или распределить их на разные машины. В роутерах «Микротик» два провайдера проброс портов поддерживают без проблем.

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать.

Далее вызывается командная консоль от имени администратора, в которой прописывается следующее:

• /ip firewall nat;
• add action=dst-nat chain=dstnat comment=torrent dst-port=55555 in-interface=;
• ByFly protocol=tcp to-addresses=10.24.3.2.

Проброс для порта 3389 (RDP)

Теперь несколько слов об удаленном управлении с использованием свободных портов роутера. Собственно, процедура практически та же.

Установки опций должны быть такими:

• Шлюз: 192.168.8.1.
• Действие: accept.
• NAT (правило должно быть установлено ранее правила masquerade).
• Цепочка: dstnat.
• Протокол: 6 (tcp) (по умолчанию).
• Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
• Исходящий тип интерфейса: pppoe-out.
• Действие: dst-nat.
• Переадресация на: 192.168.0.232.

В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.

Далее выбираем провайдера и вводим такие данные:

Создаем правило для второго провайдера, добавляем параметры для Masquerade.

Вопросы видеонаблюдения

Давайте посмотрим, как в роутере «Микротик» проброс портов для видеонаблюдения работает на практике. В принципе, настройки почти те же самые, что и в основном случае.

Только проброс портов «Микротик» для видеорегистратора выглядит примерно так:

• Цепочка: dstnat.
• Протокол: 6 (tcp).
• Удаленный порт: 200.
• In. Interface: ether1-gateway.
• Действие: netmap.
• Переадресация на: 192.168.ХХХ.ХХХ.
• Порт: 80.

Как видим, настройки ничем не отличаются от указанных выше, но в качестве основного порта используется номер 80. Только и всего.

Заключение

Подводя итоги, можно отметить, что проброс портов «Микротик» — дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли. Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно.

Практически все параметры и опции по природе своей идентичны. Различаются только режимы работы и номерами портов. В остальном же при тонкой настройке проблем быть не должно. Вопрос о том, насколько все это актуально, придется решать самостоятельно. Конечно, автоматизация подключений к интернету, в особенности при доступе к локальной сети или конкретному терминалу извне, работает не всегда. Поэтому придется потратить немного времени, чтобы произвести правильную настройку даже с использованием доступа к услугам нескольких провайдеров.

Возникла задача: пробросить с белого ip порт внутрь vpn-сети. Казалось бы, чего уж там? Предположим, что ситуация вот такая: Где МИК 1 имеет белый ip, а вот МИК 2 такой радости лишён. Одновременно, МИК 1 является сервером, скажем, openvpn, где имеет адрес 192.168.5.1. Формулировка задачи: при обращении по порту на белый ip МИК 1 попадать через vpn в локалку МИК 2 на конкретный адрес. Что нужно сделать, чтобы всё заработало? -для начала, разрешить в фаерволе интересующие нас порты (ну это уж вы сами), а потом подправить секцию NAT, причём делать это надо на обоих девайсах. На МИК 1:

/ip firewall  add action=src-nat chain=srcnat dst-address=192.168.5.2 dst-port=55555 protocol=tcp to-addresses=192.168.5.1  add action=netmap chain=dstnat dst-port=<входной порт> in-interface=ИНТЕРНЕТ1 protocol= to-addresses=192.168.5.2 to-ports=<любой порт, например 55555>

На МИК 2:

/ip firewall  add action=netmap chain=dstnat dst-port=55555 in-interface=<ваш pptp-интерфейс> protocol= to-addresses=<адрес получателя, 192.168.2.х> to-ports=<порт получателя>  add action=src-nat chain=srcnat dst-address=<адрес получателя> dst-port=<порт получателя> protocol= to-addresses=<адрес МТ, шлюз сети 192.168.2.0>

Эксплуатанты микротиков, думаю, вы по листингу консольных команд поймёте, где в GUI чего жмякать, разве что там нет варианта сразу оба протокола добавить (tcp и udp), надо по одному.ИсточникИспользуемые источники:

• https://setevuha.ua/posts/wifi-routery/probros-portov-na-router-mikrotik-mikrotik/
• https://autogear.ru/article/323/042/kak-sdelat-probros-portov-v-mikrotik-probros-portov-mikrotik-opisanie-instruktsiya-rekomendatsii/
• https://avg-it.ru/info/articles/probros-portov-v-vpn-na-mikrotik/