Для роутеров бренда Mikrotik проброс портов требуется производить довольно часто. Однако и для сетевых администраторов, и для неподготовленных пользователей решение этой проблемы зачастую оказывается достаточно трудным делом. Далее приводится краткая инструкция, следуя которой можно без труда осуществить любые операции этого типа, правда, придется немного повозиться.
Настройка Mikrotik с пробросом портов. Зачем это нужно?
Прежде чем приступать к настройке маршрутизатора, следует немного остановиться на принципах проброса портов и на том, для чего все это используется.
Настройка Mikrotik, установленная по умолчанию, такова, что компьютеры, находящиеся во внутренней или внешней сети, адреса IP, присвоенные другим терминалам, не видят. Здесь используется правило так называемого маскарада, когда сам маршрутизатор при поступлении запроса подменяет адрес машины, которой он предназначается собственным внешним IP, хотя и открывает необходимый порт. Получается, что все устройства, объединенные в сеть, видят только роутер, а между собой остаются невидимыми.
В связи с этим в некоторых ситуациях для устройств Mikrotik проброс портов становится крайней необходимостью. Наиболее часто встречающимися случаями можно назвать следующие:
- организация удаленного доступа к устройствам в сети на основе технологий RDP;
- создание игрового или FTP-сервера;
- организация пиринговых сетей и настройка корректного функционирования торрент-клиентов;
- доступ к камерам и системам видеонаблюдения извне через интернет.
Доступ к веб-интерфейсу
Итак, приступаем. Для маршрутизаторов Mikrotik проброс портов (RDP, FTP и т.д.) начинается со входа в систему управления устройством, называемую веб-интерфейсом. И если для большинства известных роутеров в качестве стандартных адресов используются сочетания 192.168 с окончаниями либо 0.1, либо 1.1, здесь такой вариант не проходит.
Для доступа в веб-браузере (лучше всего использовать стандартный Internet Explorer) в адресной строке прописывается комбинация 192.168.88.1, в поле логина вводится admin, а строка пароля, как правило, остается пустой. В случае, когда доступ по каким-то причинам оказывается заблокированным (роутер не воспринимает логин), потребуется сделать сброс настроек, нажав на соответствующую кнопку или отключив устройство от электропитания на 10-15 секунд.
Общие параметры и настройки
Вход в интерфейс произведен. Теперь самое главное: в Mikrotik проброс портов основан на создании так называемых правил исключения для функции Masquerade (тот самый маскарад с подменой IP-адресов, который упоминался выше).
В общих настройках раздела Firewall/NAT можно заметить, что одно правило уже есть. Оно установлено в качестве одной из заводских настроек. Проброс портов в общем случае состоит в добавлении нового правила путем нажатия кнопки со значком плюса, после чего необходимо будет заполнить несколько основных полей настроек.
Примеры используемых портов
Теперь рассмотрим некоторые возможные примеры использования портов. В зависимости от того, для чего именно будет использоваться каждый открываемый порт, значения могут быть такими:
- Torrent: tcp/51413;
- SSH: tcp/22;
- SQL Server: tcp/1433;
- WEB Server: tcp/80;
- telnet: tcp/23;
- RDP: tcp/3389;
- snmp: udp/161 и т.д.
Эти значения как раз и будут использованы для проброса каждого такого порта.
Создание правил и выбор действий
Теперь создаем новое правило и приступаем к заполнению полей настроек. Здесь нужно быть очень внимательным и исходить именно из того, какой доступ необходимо осуществить (изнутри наружу или наоборот).
Параметры должны быть такими:
- Chain: srcnat используется для доступа из локальной сети, так сказать, во внешний мир, dstnat – для доступа к локальной сети извне (выбираем для входящих подключений второй вариант);
- поля адресов Src. и Dst. оставляем пустыми;
- в поле протокола выбираем либо tcp, либо udp (обычно устанавливается значение 6 (tcp);
- Src. Port оставляем незаполненным, т.е. исходящий порт для внешних подключений не важен;
- Dst. Port (порт назначения): указывается порт для вышеприведенных примеров (например, 51413 для торрентов, 3389 для RDP и т.д.);
- Any Port можно оставить пустым, но если указать номер, один порт будет использоваться и как входящий, и как исходящий;
- In. Interface: вписывается порт самого роутера (обычно это ether1-gateway);
- Out. Interface: указывается исходящий интерфейс (можно пропустить).
Примечание: в случае проброса портов для удаленного подключения извне (RDP) в поле Src. Address указывается IP удаленного компьютера, с которого предполагается осуществлять доступ. Стандартный порт RDP-подключения 3389. Однако большинство специалистов заниматься подобными вещами не рекомендует, поскольку намного безопаснее и проще настроить на маршрутизаторе VPN.
Далее в роутере Mikrotik проброс портов предполагает выбор действия (Action). Собственно, здесь достаточно указать всего три параметра:
- Action: accept (простой прием), но для доступа извне указывается dst-nat (можно указать более продвинутую настройку netmap);
- To Addresses: вписывается внутренний адрес машины, на который должно будет происходить перенаправление;
- To Ports: в общем случае выставляется значение 80, но для корректной работы того же торрента указывается 51413.
Настройка Mikrotik: проброс портов FTP
Наконец, несколько слов о том, какие настройки понадобятся для FTP. Прежде всего нужно настроить сам FTP-сервер, например, на основе FileZilla, но это отдельный разговор. В данном случае нас больше интересует проброс портов FTP Mikrotik, а не настройки серверной части.
Как считается, FTP-сервер хоть и требует указания определенного диапазона портов, однако совершенно нормально работает на управляющем порте 21. Его необходимо задействовать.
Как и в общем случае, сначала нужно создать новое правило, только в данной ситуации их будет два: для управляющего порта и для всего диапазона портов.
Для порта 21 параметры должны быть такими:
- Chain: dst-nat;
- Dst. Address: внешний адрес роутера (например, 1.1.1.28);
- Protocol: 6 (tcp);
- Dst. Port: 21
- In. Interface: ether1-gateway.
Для вкладки действия Action устанавливаются следующие значения:
- Action: dst-nat;
- Dst. Address: адрес терминала, на котором установлен FTP—сервер;
- To Ports: 21.
Для диапазона (например, 50000-50050) все опции аналогичны, за исключением двух параметров:
- в общих настройках для Dst. Port указывается весь диапазон портов;
- при выборе действия тот же диапазон вписывается в поле To Ports.
Обратите внимание, что при настройке проброса для FTP нужно следовать документации роутера, а в ней сказано, что не рекомендуется использовать начальный порог диапазона портов ниже значения 1024. Это момент тоже стоит учесть.
В принципе, еще можно задействовать функцию Hairpin NAT Mikrotik, но она нужна только в тех случаях, когда требуется вход под внешним IP из локальной сети. В общем случае активировать ее не нужно.