Проброс портов на маршрутизаторе Микротик, проброс диапазона портов.

Пользователи маршрутизаторов MikroTik нередко сталкиваются с многочисленными сложностями во время процедур настройки роутера. Это случается по причине некоторых отличий приборов. Изложенное ниже практическое руководство поможет выполнить настройку девайсов этого производителя. Инструкция выполнена на примере наиболее распространенной модели «RouterBOARD RB 951G-2HnD», однако успешно применима в качестве руководства при использовании других приборов RouterOS 6.25 и выше, так как они разработаны на основе одинаковой ОС.

Содержание

Процедура подключения

Чтобы выполнить настройку WiFi маршрутизатора MikroTik потребуется следующее:

1. кабель провайдера интернета;
2. ноутбук либо ПК с WiFi;
3. роутер Микротик.

Последовательность сборки схемы включает следующие этапы:

1. Сетевой шнур вставить в порт № 1 маршрутизатора;
2. Далее ПК подсоединить к LAN (можно подключить к любому от второго до пятого порта) устройства Микротик сетевым кабелем;
3. Лэптоп, планшеты, телевизор, смартфоны и остальные девайсы, поддерживающие беспроводное соединение, будут подключены по Вай-Фай;
4. Шнур электропитания подключить к разъему с обозначением «Power» прибора MikroTik.

Процедура настройки сетевой карты ПК

С целью входа в настройки маршрутизатора надо сделать:

1. Через «Пуск» открыть «Панель управления»;
2. Далее «Центр упр. сетями и общ. доступом»;
3. Нажать на «Корректировка параметров адаптера»;
4. Вызвать контекстное меню на «Подключение по локальной сети», кликнуть «Свойства»;
5. Потом выделить «Протокол Интернета версии 4 (TCP/IPv4)»;
6. Щелкнуть по клавише «Свойства»;
7. Поставить отметку на пункте «Получить IP автоматически» и щелкнуть на «Ok».

При возникновении проблем с автоматическим присвоением сетевой карте IP, следует прописать его самостоятельно, к примеру, 192.168.88.21 либо осуществить сброс маршрутизатора к заводским настройкам.

Процедура сброса настроек маршрутизатора Микротик

Процесс включает в себя следующий алгоритм действий:

1. Требуется запустить на ПК «winbox» и открыть закладку «Neighbors»;
2. Потом следует дождаться процесса опознавания программой MikroTik (если прибор давно не работал, то рекомендуется нажать на кнопку на корпусе устройства с надписью «Refresh»);
3. Затем кликнуть на мак адрес прибора, при этом он появится в строке «Connect To»;
4. Область «Пароль» оставить не заполненной;
5. В поле «admin» требуется напечатать имя пользователя;
6. Далее щелкнуть на «connect»;
7. В отобразившемся меню рекомендуется удалить настройки по-умолчанию, т.е. кликнуть на «Remove Configuration»;
8. Дождаться окончания перезапуска девайса MikroTik и вновь к нему подключиться.

Выполнение обновления прошивки

Желательно сразу закончив процедуру сброса приступить к обновлению прошивки маршрутизатора Микротик. С этой целью необходимо выполнить следующую последовательность действий:

1. Войти в закладку «http://www.mikrotik.com/download» и с официального ресурса скачать необходимый файл (в нашем примере это «mipsbe», пакет «Main package»);
2. Пакет для загрузки скачать в ПК и подключиться к прибору через «winbox»;
3. Перейти во вкладку «Files» и открыть файл прошивки и «winbox»;
4. Необходимо перенести курсором файл из «winbox в перечень файлов;
5. Далее подождать завершение процесса записи прошивки;
6. Выполнить перезапуск MikroTik;
7. Вновь подсоединиться к роутеру и войти в «System», а оттуда перейти в «RouterBoard», где проанализировать содержание пунктов «Upgrade Firmware» и «Current Firmware» (в случае наличия различий требуется кликнуть на клавишу «Upgrade», при отсутствии отличий никаких действий выполнять не требуется);
8. Затем посмотреть версию прошивки, перейдя в «System» и далее в «Packages» (потом после настройки подключения к сети, процесс обновления будет значительно проще и для этого потребуется только щелкнуть на «Check For Updates»);
9. Готово, прошивка обновлена.

Теперь следует перейти к процедуре настройки.

Настойка портов в «bridge»

К сожалению, у девайсов Микротик нет предустановленных настроек портов. На обычных маршрутизаторах есть надписи у портов, например, WAN или LAN. Таким образом, у них конкретный порт обладает определенными настройками сети и оставшиеся объединяются в «switch». Что значительно облегчает процесс подключения устройств.

А в Микротик несколько по-другому, здесь все порты одинаковы, то есть в качестве WAN можно использовать абсолютно любой порт. Например, в случае применения первого для питания, то для WAN будет использоваться пятый, оставшиеся же порты потребуется объединить с использованием «bridge» и дополнить их wifi.

Требуется сделать следующие шаги:

1. Так как первый порт является главным (мы сами так решили, но мастером может выступать любой еще не задействованный порт) необходимо указать, оставшимся считать его мастером. С этой целью в «winbox» надо войти во вкладку «Interfaces» и выделить «ether2»;
2. Далее кликнуть по нему, это действие откроет окно настроек;
3. Здесь требуется найти пункт «Master Port» и, нажав по нему щелкнуть на «ether1»;
4. Потом сохранить;
5. Аналогичную операцию сделать для оставшихся портов за исключением пятого. Если все будет сделано правильно, то в строке настроенного порта отобразится символ «S».

Итак, сейчас имеются объединенные в «switch» порты с первого по четвертый, дальше следует соединить их с wifi в «bridge».

С этой целью надо последовательно сделать следующее:

1. Открыть вкладку «Bridge» и кликнуть на «Плюс»;
2. Далее щелкнуть на «Ok»;
3. Настройки не требуют изменения и их трогать не рекомендуется;
4. После отображения «bridge1» открыть закладку «ports»;
5. Кликнуть на «Плюс» и выделив «ether1» щелкнуть «Ok»;
6. Произойдет отключение от маршрутизатора;
7. Потом необходимо вновь подключиться к MikroTik и войти в туже вкладку и повторно кликнуть на «Плюс»;
8. Затем дополнить интерфейс «wlan1».

Готово! Процесс объединения нужных интерфейсов в bridge с целью обеспечения единого пространства для подключаемого оборудования завершен.

Как настроить статический IP

В предыдущих разделах этой инструкции процесс подключения к MikroTik осуществлялся по МАК адресу. Теперь следует присвоить роутеру статический ip.

Требуется выполнить следующую последовательность действий:

1. Открыть вкладку «IP» и перейти в «Addresses;
2. Кликнуть на «Плюс»;
3. Далее определить в меню «Address» какую-нибудь подсеть, например, 192.168.9.0, т.е. для MikroTik определить 192.168.9.1/24 и далее выбрать «bridge1»;
4. Раздел «Network» не надо вносить корректировки, т.к. они внесутся по умолчанию;
5. Готово.

Процесс осуществления настроек сети в MikroTik

Теперь необходимо настроить интернет. Здесь существуют значительное количество вариантов исполнения задачи, поэтому ниже приведено два самых распространенных приема:

1. Провайдер по dhcp выдает настройки в автоматическом режиме;
2. Получить от провайдера необходимые данные и осуществить их ввод самостоятельно.

Прием первый

Итак, как было уже указано выше требуется применить пятый порт и подсоединить к нему кабель провайдера. Далее, чтобы получить настройки по «dhcp», требуется сделать следующее:

1. Открыть winbox и зайти во вкладку «IP», далее перейти в «DHCP Client» и кликнуть на «Плюс»;
2. Выделить «ether5» и нажать «Ok»;
3. При успешном исполнении всех вышеприведенных действий отобразится IP и во вкладке «Addresses» все данные о настройках.

Прием второй

Требуется получить от провайдера необходимые данные и осуществить их ввод самостоятельно. Например, пользователь получил от провайдера следующие настройки: DNS – 192.168.1.1; IP – 192.168.1.104; шлюз – 192.168.1.1;.маска – 255.255.255.0.

Необходимо выполнить следующие пункты:

1. Указать IP и выполнить все действия по аналогии с вышеприведенным разделом о настройке статического IP (просто вместо «bridge1» прописать «ether5» и вписать 192.168.1.104/24);
2. Потом шлюз по-умолчанию. Открыть вкладку «IP» и далее перейти в «Routes»;
3. Далее нажать на «Плюс»;
4. Раздел «Dst. Address» не трогать и все оставить без изменений;
5. В части «Gateway» внести шлюз и кликнуть на «Ok».

Затем, чтобы установить DNS, необходимо выполнить несколько шагов:

1. Открыть раздел «IP» и перейти в «DNS»;
2. Потом в части «Servers» напечатать адрес dns (в случае двух адресов, требуется кликнуть на стрелочку «Вниз» и напечатать второй dns);
3. Установить отметку на пункте «Allow Remote Requests»;
4. Готово! Настройки сети установлены.

Сейчас у роутера интернет есть, но еще необходимо сделать настройки для девайсов, которые будут подключаться к нему. Поэтому надо перейти к дальнейшему разделу настройки Микротик.

Процедура настройки dhcp

Нужно настраивать dhcp для получения автоматически с маршрутизатора настроек интернета подключаемыми гаджетами. Процедура с dhcp простая и состоит из следующих действий:

1. Открыть раздел «IP» и потом «DHCP-Сервер»;
2. Далее войти в закладку «DHCP»;
3. Затем кликнуть на «DHCP Setup»;
4. Выбрать «bridge1»;
5. Щелкнуть по «next» и указать подсеть (в нашем примере «192.168.9.0/24»);
6. Потом согласиться с предложенным адресом и нажать на «next»;
7. В следующем меню рекомендуется не вносить изменения и вновь щелкнуть кнопку «next»;
8. После этого набрать адрес dns (это может быть или MikroTik либо dns провайдера, но рекомендуется ввести сам маршрутизатор). Для нашего примера это будет «192.168.9.1».
9. В следующем меню ничего не трогать и просто кликнуть на «Next»;
10. Готово! Настройка dhcp окончена.

В данный момент при подсоединении кабелем какое-нибудь оборудование к Микротик, он сразу будет иметь необходимые настройки, однако интернет пока не будет доступен. Требуется перейти к выполнению настройки «NAT».

Процедура настройки NAT

Чтобы была сеть у подключаемых пользователей, следует проделать несколько действий:

1. Открыть вкладку «IP» и перейти в «Firewall»;
2. Далее зайти в закладку «NAT» и кликнуть «Плюс»;
3. Затем в закладке «General» в пункте «Out. Interface» указать «ether5», больше никуда корректировок не вносить;
4. Потом открыть закладку «Action» и указать «masquerade» и больше никуда корректировок не вносить, просто нажать на «Ok».

Сейчас есть возможность через кабель обеспечить пользователя интернетом. Остается только сделать настройки wifi, чтобы была работоспособна беспроводная связь.

Процесс настройки wifi в mikrotik

Процесс включает в себя следующие этапы:

1. Открыть вкладку «Wireless» и указать «wlan1»;
2. Кликнуть по кнопке с изображением «галочки синего цвета» при этом окно активируется (посветлеет);
3. Зайти в закладку «Security profiles» и кликнуть на пункте «default»;
4. В строке «Mode» ввести «dynamic keys»;
5. Отметить пункты «WPA PSK», «WPA2 PSK» и «aes ccm»;
6. Строки «WPA Pre-Shared Key» и «WPA2 Pre-Shares Key» заполнить кодами wifi;
7. Далее сохранить и вновь открыть закладку «Interfaces»;
8. Кликнуть по «wlan1» при этом отобразятся настройки wifi mikrotik;
9. Открыть закладку «Wireless» и в строке «Mode» ввести «ap bridge»;
10. В пункте «Band» указать «2GHz-B/G/N»;
11. В «Channel Width» – «20 MHz»;
12. В «Frequensy» – «2412»;
13. В «SSID» – «MikroTik»;
14. Остальные пункты оставить по-умолчанию.

Примечание:

1. SSID — наименование wifi и можно писать все, что угодно;
2. Frequency — частота одного из каналов. Лучше указать более свободный.

В завершении кликнуть на «Ok». Готово! Теперь все работает. Чтобы проверить, надо просто подключить какой-нибудь девайс и ввести код доступа.

• Tutorial

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности. Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ. Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу». Любую сеть можно схематично представить вот в таком виде: Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi. Подключаемся через web-интерфейс или Winbox’ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces. Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами) Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи). Далее, ether1-gateway. Ether1 — это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway — «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway’ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров). Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local, остальные 3 — неполиткорректно называются slave-local. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки. Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере: Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2. Для этого и нужен NAT. В Микротике управление NAT’ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете. Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas. Нажимаем синий плюсик В появившемся окне нового правила нам нужно всего несколько опций Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat. Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет. Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp. Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413. Затем идёт забавный пункт Any. Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется. Теперь очень важный момент:In. interface (входящий интерфейс) — это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла. Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться. В итоге, получается вот такая картина: Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие) Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:accept — Просто принимает пакет;add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat;log — Просто добавляет информацию о пакете в лог роутера;masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;redirect — Перенаправляет данные на другой порт в пределах роутера;return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю. Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его: В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт. Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт: И нажимаю кнопку Apply, роутер сам находит адрес машины: Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила: Правило создано, всё работает. Обратите внимание — дополнительно «открывать» порт не требуется! Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Писать ли ещё статьи в таком ключе по настройке Микротиков?

• 94,3%Да, очень полезный материал
• 5,7%Нет, абсолютно ненужная статья

Проголосовали 1308 пользователей. Воздержались 88 пользователей.—> Главная → Статьи → Подключаем и настраиваем оборудование → Проброс портов на MikroTik

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

• организации игрового сервера на домашнем компьютере,
• организации пиринговых (одноранговых) сетей,
• для доступа к IP-камере из интернета,
• корректной работы торрентов,
• работы WEB и FTP-серверов.

Почему возникает необходимость в пробросе портов? Дело в том, что по умолчанию в роутерах работает правило так называемого маскарадинга. IP-адреса компьютеров и других устройств из локальной сети не видны ЗА роутером, во внешней сети. При поступлении пакетов данных из внутренней сети для отправки во внешний мир роутер открывает определенный порт и подменяет внутренний IP устройства на свой внешний адрес — надевает «маску», а при получении ответных данных на этот порт — отправляет их на тот компьютер внутри сети, для которого они предназначаются. 

Таким образом, все получатели данных из внешней сети видят в сети только роутер и обращаются к его IP-адресу. Компьютеры, планшеты и другие устройства в локальной сети остаются невидимыми.

Эта схема имеет одну особенность: роутер принимает только те пакеты данных, которые приходят по соединению, инициированному компьютером из внутренней сети. Если компьютер или сервер из внешней сети пытается установить соединение первым, роутер его сбрасывает. А для указанных выше пунктов (игровой сервер, пиринговые сети и т. п.) такое соединение должно быть разрешено. Вот для этого и применяется проброс портов. Фактически, это команда роутеру зарезервировать один порт и все данные извне, которые на него поступают, передавать на определенный компьютер. Т. е. сделать исключение из маскарадинга, прописав новое правило.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

• Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
• Src. Address Dst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
• Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
• Src. Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
• Dst. Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
• Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
• In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
• Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

• accept — просто принимает данные;
• add-dst-to-address-list — адрес назначения добавляется в список адресов;
• add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
• dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
• jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat;
• log — просто записывает информацию о данных в лог;
• masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
• netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat;
• passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
• redirect — данные перенаправляются на другой порт этого же роутера;
• return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
• same — редко используемая настройка один и тех же правил для группы адресов;
• src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

• 80/tcp — WEB сервер,
• 22/tcp — SSH,
• 1433/tcp — MS SQL Server,
• 161/udp — snmp,
• 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

Lantorg.comОцените, пожалуйста, полезность/интересность статьи. Нам важно ваше мнение! Дата публикации: 03.03.2015 —>

← Краткий обзор последних новинок

Настройка VPN через MikroTik — PPtP и PPPoE →

Также советуем почитать:

Используемые источники:

• https://nastrojkin.ru/equip/mikrotik/mikrotik-nastrojka.html
• https://habr.com/post/182166/
• https://lantorg.com/article/probros-portov-na-mikrotik