Как сделать проброс портов в Mikrotik? Проброс портов ("Микротик"): описание, инструкция, рекомендации

Проброс портов представляет собой одну из самых главных функций в области перенаправления трансляции сетевых адресов. Проще говоря, это возможность использования несколькими устройствами, объединенными в одну локальную сеть или подключаемыми через беспроводную связь устройствами, одного внешнего интерфейса. Если говорить еще проще, проброс портов «Микротик» (RDP) дает возможность получения доступа к определенному компьютерному терминалу или устройству через интернет-соединение извне. Таким образом, можно управлять любым устройством через удаленный доступ. Единственное, что для этого требуется, - наличие свободного порта на роутере. Далее будет рассмотрено несколько самых распространенных ситуаций, в которых требуется или настоятельно рекомендуется сделать проброс портов. «Микротик» модели RB951-2n возьмем в качестве примера. Но это не самое главное. В роутере/модеме «Микротик» проброс порта через VPN Client несколько отличается от общепринятых правил. Но обо всем по порядку.

Роутер Mikrotik: общие характеристики

Владельцам роутеров серии Mikrotik несказанно повезло. Дело в том, что эти устройства в большинстве своем имеют несколько входов для сетевых подключений. В вышеуказанной модели их пять.

Это дает возможность использовать массу совершенно различных настроек даже для тех случаев, когда имеется несколько провайдеров. Согласитесь, достаточно весомое преимущество. Чтобы подключение работало, и работало корректно, придется сделать проброс портов «Микротик»-роутера. Сразу отметим, что придется немного повозиться. Зато в итоге пользователь получит достаточно много возможностей по применению современных интернет-технологий. Правда, обольщаться не стоит, поскольку настройка проброса при отсутствии определенных знаний может стать достаточно хлопотным делом. Но не стоит опускать руки. Наша инструкция поможет выполнить настройку роутеров этой серии даже самому неподготовленному пользователю. Важно соблюдать все пункты, включенные в список.

Проброс портов «Микротик»: вход в веб-интерфейс

С входом в интерфейс устройства проблем быть не должно. Стандартная процедура включает в себя использование самого обычного интернет-браузера, в котором в адресной строке нужно ввести комбинацию 192.168.88.1. Заметьте, этот адрес кардинально отличается от данных большинства других роутеров.

В качестве логина всегда используется admin, а поле пароля остается пустым. Если данный вариант не работает, просто сбросьте настройки нажатием кнопки Reset или отключением устройства от электросети на 10-15 секунд.

Общее описание параметров

После входа, прежде чем выполнять проброс портов «Микротик», желательно ознакомиться с некоторыми важными настройками и параметрами, которые придется изменять.

Для начала следует войти в раздел Interfaces (второй пункт в меню слева), где будут показаны все доступные на данный момент интерфейсы. На локальный мост пока не обращаем внимания, а смотрим на порт Ether1. Он соответствует первому порту (разъему) на роутере, в который включен кабель с разъемом RJ-45 от провайдера. Еще он называется Gateway - вход, через который можно будет получить доступ к самому устройству.

Четыре остальных порта объединены в виртуальный свитч. Второй порт имеет приоритет Master, остальные – Slave. Три последних порта ориентируются на второй, который, по сути, ими же и управляет на основе подключения к первому.

Между основными портами и интернетом в качестве некой «прослойки» установлена служба трансляции сетевых адресов NAT. Она позволяет установить и внутренние, и внешние адреса для компьютеров в одной локальной сети, которые могут не совпадать изначально.

Далее начинается маскарад. Да-да, вы не ослышались, это действительно так! Функция Masquerade работает по принципу VPN или прокси, подменяя внешний IP компьютерного терминала при выходе в интернет адресом самого роутера. Точно так же при получении отклика служба идентифицирует внутренний IP компьютера, с которого производился запрос, и отсылает ответ именно на эту машину. Если служба не включена, нужно будет активировать ее в соответствующем разделе самой операционнной системы.

Основные настройки портов

В зависимости от того, какая программа или служба должна использовать определенный свободный порт роутера, и придется отталкиваться, делая проброс портов «Микротик».

К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP – 3389, для установки связи с ByFly – 55555 и т. д. Но стоит заметить, что проброс портов «Микротик» через VPN-клиент немного отличается от стандартной процедуры (далее будет понятно, почему).

Создание правил

Но вернемся к пробросу. Заходим на вкладку Firewall/NAT и видим, что одно правило уже имеется (оно установлено по умолчанию).

Нам нужно добавить новое (делается это нажатием кнопки со значком плюса). Тут есть несколько основных параметров:

  • Chain - устанавливаем Srcnat, если требуется доступ из внутренней сети во внешнюю, или Dstnat – из интернета во внутреннюю сеть;
  • Protocol - выбираем TCP;
  • Src. Port - без изменений;
  • Dst. Port - 51413 (в данном случае для торрента);
  • In. Interface - ether1-gateway;
  • Out. Interface - без изменений.

Далее можно перейти к настройкам расширенного типа (Advanced или Extra), но без надобности их можно не трогать. В данном случае нас больше интересует раздел действий (Action).

Выбор действия

Выбрать операцию, которая будет активирована при приеме входящих пакетов, есть из чего. Чтобы не усложнять ситуацию, можно установить значение Accept. В этом случае все пакеты будут приниматься автоматически.

Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Второй вариант предпочтительнее, поскольку является улучшенной версией первого.

Далее в поле To Address указываем название компьютера, на который будет производиться переадресация, и вводим адрес порта. Нажимаем кнопку Apply - адрес машины появится в списке.

Также можно перейти к разделу комментариев (Comments) и указать информацию для созданного правила, чтобы в дальнейшем система не запрашивала выбор действия. На этом проброс портов «Микротик» можно считать завершенным. Но не все так просто.

Проброс портов «Микротик» из интернета в локалку: переадресация для нескольких провайдеров

Предположим, что подключение осуществляют несколько провайдеров, и пользователь в какой-то момент хочет выбрать, чьими услугами воспользоваться или распределить их на разные машины. В роутерах «Микротик» два провайдера проброс портов поддерживают без проблем.

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать.

Далее вызывается командная консоль от имени администратора, в которой прописывается следующее:

  • /ip firewall nat;
  • add action=dst-nat chain=dstnat comment=torrent dst-port=55555 in-interface=\;
  • ByFly protocol=tcp to-addresses=10.24.3.2.

Проброс для порта 3389 (RDP)

Теперь несколько слов об удаленном управлении с использованием свободных портов роутера. Собственно, процедура практически та же.

Установки опций должны быть такими:

  • Шлюз: 192.168.8.1.
  • Действие: accept.
  • NAT (правило должно быть установлено ранее правила masquerade).
  • Цепочка: dstnat.
  • Протокол: 6 (tcp) (по умолчанию).
  • Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
  • Исходящий тип интерфейса: pppoe-out.
  • Действие: dst-nat.
  • Переадресация на: 192.168.0.232.

В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.

Далее выбираем провайдера и вводим такие данные:

Создаем правило для второго провайдера, добавляем параметры для Masquerade.

Вопросы видеонаблюдения

Давайте посмотрим, как в роутере «Микротик» проброс портов для видеонаблюдения работает на практике. В принципе, настройки почти те же самые, что и в основном случае.

Только проброс портов «Микротик» для видеорегистратора выглядит примерно так:

  • Цепочка: dstnat.
  • Протокол: 6 (tcp).
  • Удаленный порт: 200.
  • In. Interface: ether1-gateway.
  • Действие: netmap.
  • Переадресация на: 192.168.ХХХ.ХХХ.
  • Порт: 80.

Как видим, настройки ничем не отличаются от указанных выше, но в качестве основного порта используется номер 80. Только и всего.

Заключение

Подводя итоги, можно отметить, что проброс портов «Микротик» - дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли. Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно.

Практически все параметры и опции по природе своей идентичны. Различаются только режимы работы и номерами портов. В остальном же при тонкой настройке проблем быть не должно. Вопрос о том, насколько все это актуально, придется решать самостоятельно. Конечно, автоматизация подключений к интернету, в особенности при доступе к локальной сети или конкретному терминалу извне, работает не всегда. Поэтому придется потратить немного времени, чтобы произвести правильную настройку даже с использованием доступа к услугам нескольких провайдеров.

Комментарии