Настроить проброс портов Xiaomi

По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к

• Удаленному рабочему столу по rdp
• К локальному ftp или web серверу
• Для доступа к ip камере
• для доступа к видеорегистратору
• Доступ к другим ресурсам, находящимся внутри сети.

Настройка проброса одного порта

Для начала подключитесь к Mikrotik через winbox. Затем перейдите на вкладку IP-Firewall-NAT

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA.

Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.

Как сделать проброс портов? Типовые ошибки и методы диагностики

Chain-канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat

Src. Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов

Dst. Address— адрес назначения (всегда ip маршрутизатора).

Protocol— Обязательное поле, указываем протокол работы, http, udp и т.д.

Src.Port – Порт источника с которого идет запрос, для нас это не важно

Dst.Port— обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.

Any.Port – объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.

In.Interface – интерфейс на котором настроен внешний ip адрес Микротика

Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно

Более тонкие настройки, которые редко используются

In.Interface List, Out. Interface List – принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface

Port Forwarding on Xiaomi MI Any Kinds of Router | 3C,4C | CHOLUN SHIKI

Packet Mark, Connection Mark, Routing Mark – Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.

Connection Type — Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.

Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание

Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.

После заполнения всех необходимых полей переходим на вкладку Action.

Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.

To Address – ip локального компьютера на который идет проброс

To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять

После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.

Проброс диапазона портов

Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.

В этом случае будут приниматься пакеты из диапазона 3389-3391

Можно использовать оператор отрицания

Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536

Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.

нажимаем на плюс добавить правило. И заполняем необходимые поля

Chain – цепочка, может принимать следующие параметры

PREROUTING — Маркирует пакет до принятия решения о маршрутизации.

INPUT — Маркирует пакет, предназначенный самому хосту.

FORWARD — Маркирует транзитные пакеты.

OUTPUT — Маркирует пакеты, исходящие от самого хоста.

POSTROUTING — Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.

Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting

Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.

Затем переходим на вкладку Action

Action ставим маркировку пакетов, mark packet

New Packet Mark – название маркировки, вводим удобное имя.

После чего нажимаем кнопку «ОК»

Теперь переходим во вкладку NAT и добавляем новое правило

Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action

Указываем действие netmap или dst-nat

To Adresses — ip локального компьютера

Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.

Проброс всех портов и всех протоколов на локальный ip

Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.

Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке

Выбираем только канал dstnat, после чего переходим на вкладку Action

Здесь Action ставим netmap и указываем адрес назначения

Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA.

Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Похожие записи:

1. Mikrotik winbox, где скачать и как использовать
2. Mikrotik Netinstall инструкция
3. Mikrotik настройка PPPoE
4. Настройка firewall на mikrotik

Источник: itproffi.ru

Mikrotik: работа с портами от А до Я

Ниша маршрутизаторов для бизнес-задач занята роутерами Mikrotik. Они встречаются не только в офисах, но и в обычных домах/квартирах. Такая популярность достигнута за счет соотношения «функциональность–цена».

В настройке роутеры Микротик не слишком простые – придется поучиться основам выставления различных конфигураций на оборудовании. Даже простые задачи могут вызвать немало вопросов. Далее предстоит разобраться с пробросом NAT портов в Mikrotik. Информация пригодится преимущественно новичкам, которые ранее не имели дел с соответствующим оборудованием.

Проброс порта – это…

Проброс (он же forwarding) – это специальная технология маршрутизатора. С ее помощью можно обращаться к узлам, находящимся за роутером путем перенаправления трафика для тех или иных портов с внешнего адреса устройства на внутренний адрес узла в локальной сети. Соответствующая опция становится возможной за счет технологий NAT.

Схема работы

Чтобы был понятен принцип работы соответствующей схемы, необходимо изучить наглядный пример. В нем будет реализован простой сценарий – когда через NAT требуется организовать подключение к удаленному рабочему столу компьютера в офисе. Через него будет настроено предоставление доступа к корпоративному веб-сайту посредством интернета.

Для этого будет использоваться схема, представленная выше. Она работает так:

1. Весь трафик, поступающий через роутер Mikrotik, проходит через firewall.
2. Происходит обработка информации согласно условиям файервола.
3. Одна из составляющих firewall NAT (Network Address Translation). Она отвечает за преобразование сетевых IP адресов (ip firewall).
4. В NAT требуется указать внутренний адрес и port, который будет перенаправлять запросы. Это необходимо для подключения к программам, а также различным сервисам в пределах внутренней локальной сети.
5. В примере запрос на ip 87.236.16.206, а также порт 3389 (это и есть удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и port 3389.

Далее предстоит изучить несколько способов проброса порта Mikrotik. Необходимо рассмотреть наиболее простые и эффективные концепции для новичков. К ним относят использование программы Winbox, а также терминала.

Краткая схема проброса

Настройка на роутере Микротик проброса NAT – это базовая операция, которая может быть реализована несколькими методами. Чтобы активировать перенаправление портов, потребуется:

1. Запустить Winbox.
2. Указать IP адрес роутера. На данном этапе требуется ввести логин и пароль.
3. Нажать на Enter.
4. Перейти в меню программы в раздел IP – Firewall – NAT;
5. Нажать на кнопку с изображением плюса («+»).
6. Указать в chain: dstnat, Protocol: 6 (tcp), Dst. Ports: (номер порта), In interface: (интерфейс, который был заранее подключен к интернету).
7. Войти во вкладку Action.
8. Установить Action: dst-nat, To address: (компьютер в пределах локальной сети), to port: (порт компьютера).

Это – краткая инструкция, при помощи которой переадресация настраивается в несколько кликов. Некоторые пытаются настраивать проброс на роутере через Netmap. Поступать так не совсем правильно. Netmap обладает совершенно другой задачей. Данное приложение используется для статического отображения одного IP диапазона адресов в другой.

В основном Netmap применяется для распределения общедоступных IP хостам в частных сетях, а также для настройки взаимодействия сетей с одной и той же адресацией.

Чтобы ранее предложенная схема проброса портов Mikrotik через Winbox была более понятной, далее она будет изучена на примере графического интерфейса. Такой подход поможет не запутаться в алгоритме даже новичкам, которые раньше не имели дел с переадресацией.

Настройка графическим интерфейсом Winbox

Начинающим пользователям не всегда понятно, как работает Winbox, поэтому им при работе с нат и другими роутерными технологиями рекомендуется пользоваться графическим интерфейсом.

Перед тем как открыть Winbox, его необходимо инициализировать на устройство:

1. Перейти по этой ссылке.
2. Открыть выпадающее меню, нажав по кнопке WinBox.
3. Выбрать операционную систему (разрядность).
4. Дождаться завершения загрузки установщика.
5. Осуществить открытие «Мастера установки» приложение Winbox.
6. Следуя подсказкам на экране, завершить инициализацию программного обеспечения.

На данном этапе рекомендуется перезагрузить устройство. Это необходимо для нормальной работы нового программного обеспечения на оборудовании.

Непосредственная настройка — инструкция

Теперь, когда необходимое приложение для настройки Микротик готово, можно прокинуть (forward) NAT порты. В этом поможет графический интерфейс:

1. Подождать пока открывается Winbox, а затем открыть таблицу правил NAT. Для этого потребуется перейти в IP – Firewall – NAT: .
2. Зайти во вкладку General. Здесь указываются параметры, по которым роутер понимает, какие сетевые пакеты требуют обработки. Обычно достаточно указать: chain, protocol, dst.port, in. interface. Остальные параметры не являются обязательными. Они служат для более точной set mapping (подключения): .
3. Открываем вкладку Action NAT. Здесь происходит создание действий для правил обработки пакетов в роутере. Здесь предстоит записать для перенаправления сетевых компонентов action: dst-nat. Далее требуется записать локальный ip-адрес и port, который будет перенаправлять сетевой трафик to addresses и to ports: .

Теперь остается сохранить изменения. Вот так можно пользоваться натом через Winbox.

Пояснения ко вкладкам настроек

Чуть позже пробросим порты через терминал, а также ssh для желаемого сайта. Сначала новичкам рекомендуется изучить пояснения к ранее предложенной инструкции. Они помогут лучше понимать, за что отвечает тот или иной параметр во вкладках на каждом этапе.

Когда настраивается переадресация портов, необходимо использовать вкладку General. В ней:

1. Chain – цепочка. Данный пункт – открытие и определение этапа прохождения пакета. Здесь srcnat – исходящий пакет, покидающий nat, а dstnat – входящий.
2. Src. Addresses – ip-адрес пакетного источника.
3. Dst. Addresses – ip-адрес назначения пакета.
4. Protocol – протокол. В данном меню открывается спектр выбора разных OSI-уровней. Они могут быть: канальными (l2tp), сетевыми (icmp или ospf), транспортными (tcp, udp), прикладными rdp) и иными.
5. Src. Port – port источника пакета. В настройках проброса портов Mikrotik встречается редко. Связано это с тем, что порт источника обычно является динамическим. Он может иметь самые разные значения.
6. Dst. Port – порт, на который необходимо переадресовывать пакеты.
7. Any port – указывает на то, что уникальный номер порта может быть не только источником, но и непосредственным значением.
8. In. Interface – интерфейс, на который должен приходить заданный пакет сайта от источника. К нему подключается интернет.
9. Out. Interface – интерфейс, на который уходят пакетные данные.

Если необходимо прокинуть port, пользователям потребуется обратить внимание на вкладку Action при создании NAT. Она имеет меньше пунктов:

1. Action – действие, которое выполняется с полученным пакетом. Dst-nat – это команда, которая помогает переадресовать пакеты с сайта (или иного источника) на указанные далее порт и адрес.
2. To address – диапазон адресов, на которые перенаправляются пакетные данные. Здесь указывается адрес хоста, чей port пробрасывается.
3. To port – пункт, отвечающий за «получателя» пакетных данных из NAT. Это и есть пробрасываемый port.

Прокинуть NAT не слишком трудно, если придерживаться определенных инструкций. Изучаемый процесс можно активировать через терминал, а также при помощи ssh и ftp.

Работа с терминалом

Проброс Микротик можно сделать при помощи терминала роутера. Для этого потребуется:

1. Подождать пока открывается и запускается терминал.
2. Перейти в NAT для этого используется команда: ip firewall nat.
3. Добавить правило: .

Теперь все будет работать в полную силу. Далее предстоит изучить еще несколько способов проброса порта Mikrotik. Они больше подходят опытным специалистам. NAT-настройки будут меняться в зависимости от сервиса, который будет публиковаться.

Удаленный рабочий стол

Чтобы воспользоваться технологией RDP, потребуется выставить настройки:

• chain – dstnat;
• dst. Address – внешний IP;
• protocol – rdp;
• action – dst-nat;
• to address – сервер, на который осуществляется перенаправление.

Если единые настройки не работают, потребуется поменять протокол на TCP. Port RDP должен быть по умолчанию 3389.

Веб-сервер

Здесь настройки будут такими:

• chain – dstnat;
• dst.address – внешний ip;
• protocol – tcp;
• action – dst-nat;
• to address – IP-сервера, на который происходит перенаправление;
• dst.port – 80.

Выше – пример того, как будет выглядеть окно с параметрами. Если нужно осуществить открытие и перенаправление HTTPS, характеристики окажутся аналогичными. Исключение – port. Он будет не 80, а 443.

FTP

Здесь предстоит обратить внимание на dst.port. Он должен быть 20,21:

Остальные характеристики выставляются так же, как и в предыдущих случаях. Главное – это определение диапазона IP-адресов, с которыми планируется дальнейшая работа.

Настройка видеонаблюдения

Видеонаблюдение в отличие от ssh и ftp может работать на различных ports. Именно поэтому точная настройка будет зависеть от используемой системы. Ниже представлен пример проброса RTSP:

RTSP работает в пределах диапазона TCP и UDP. В приведенном примере параметры выставлены для последнего.

Как быстрее освоить тему

Теперь ясно, как происходит перенаправление портов Mikrotik. Здесь можно увидеть больше настроек соответствующей технологии. Но лучше разобраться с данным направлением помогут разнообразные компьютерные дистанционные курсы. Они предлагают лабораторные работы и интересную практику, помощь в составлении портфолио, а также инновационные и тщательно продуманные программы обучения.

При выборе направления по работе с Микротик, тренер Mikrotik и автор курса будет находиться на связи 24/7. Кураторство опытными специалистами во время обучения позволит быстрее освоить любую настройку роутера. На специализированных компьютерных курсах пользователя с нуля научат:

• программировать;
• настраивать роутеры и другое оборудование;
• тестировать программные продукты;
• администрировать сети и устройства, а также многому другому.

P. S. Интересуют компьютерные сети, сетевые технологии, протоколы передачи данных? Обратите внимание на следующие курсы в Otus:

• «Network engineer«;
• «Network engineer. Basic«.

Источник: otus.ru

Проброс портов в Mikrotik – инструкция по настройке

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

• Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
• Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
• Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
• Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
• Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
• Dst. Port – вот здесь указываем 3389 как писалось выше.
• Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
• In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

• Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
• Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
• Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
• To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
• To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник: mikrotiklab.ru