Как перенаправить порты на роутере микротик

Обновлено: 05.07.2024

Переадресация портов MikroTik или сопоставление портов — это приложение NAT, которое используется для перенаправления запроса с комбинации IP-адреса и номера порта MikroTik на локальный IP-адрес и номер порта. Например, если у вас есть веб-сервер или FTP-сервер в вашей частной/локальной области и вы хотите получить доступ к этому локальному серверу из-за пределов вашей локальной области (из Интернета/общедоступного), вы можете применить переадресацию портов MikroTik или сопоставление портов и легко можете получить доступ к вашему веб-серверу или FTP-серверу.

Настройка перенаправления портов в MikroTik Router не такая уж сложная задача. В этой статье я покажу, как легко настроить перенаправление портов MikroTik или сопоставление портов с помощью Winbox.

Сетевая схема

В этой сети интерфейс ether1 маршрутизатора MikroTik подключен к глобальной сети с IP-адресом 117.58.—.198/29, а интерфейс ether2 подключен к коммутатору LAN с блоком IP 192.168.10.0/24. Во внутренней сети есть три сервера (веб-сервер, FTP-сервер и SSH-сервер), и они доступны только из локальной сети. При настройке переадресации портов MikroTik эти серверы могут быть доступны из-за пределов этой внутренней сети (из Интернета/общедоступной сети), и в этой статье будет показано, как настроить переадресацию портов MikroTik для доступа к этим внутренним серверам из Интернета или общедоступной сети.

Конфигурация переадресации портов MikroTik

Переадресация портов MikroTik может использоваться для многих целей. Среди них я покажу только следующие три часто используемых цели.

  • Переадресация портов на внутренний веб-сервер
  • Переадресация портов на внутренний FTP-сервер
  • Переадресация портов на внутренний сервер SSH

Переадресация портов на внутренний веб-сервер

Согласно сетевой диаграмме, во внутренней сети есть веб-сервер (IP: 192.168.10.10), и теперь он доступен только из внутренней сети. При настройке переадресации портов MikroTik этот веб-сервер может быть доступен из-за пределов этой внутренней сети, и следующие шаги покажут, как настроить переадресацию портов MikroTik для доступа к этому внутреннему веб-серверу из Интернета/публичной зоны.

Переадресация портов на внутренний FTP-сервер

На схеме сети есть FTP-сервер (IP-адрес: 192.168.10.20), и мы хотим получить доступ к этому серверу из общедоступной сети. Итак, нам нужно настроить переадресацию портов MikroTik, и следующие шаги покажут, как настроить переадресацию портов MikroTik для доступа к FTP-серверу из общедоступной сети.

  • Войдите в MikroTik Router, используя Winbox с правами администратора.
  • Перейдите в пункт меню IP > Брандмауэр, щелкните вкладку NAT, а затем нажмите ЗНАК ПЛЮС (+). Появится окно нового правила NAT.
  • На вкладке «Общие» выберите «dstnat» в раскрывающемся меню «Цепочка». Поместите MikroTik WAN IP (117.58.—.198) в Dst. Поле ввода адреса и выберите tcp в раскрывающемся меню «Протокол», а затем введите 21 в поле ввода Dst Port, поскольку мы знаем, что FTP-сервер работает на TCP-порту 21.
  • Перейдите на вкладку "Действие" и выберите параметр dst-nat в раскрывающемся меню "Действие". Введите IP-адрес FTP-сервера (192.168.10.20) в поле ввода «Адреса», а затем введите 21 в поле ввода «Порты».
  • Нажмите кнопку "Применить" и "ОК".

Конфигурация переадресации портов на внутренний FTP-сервер завершена. Теперь введите ftp://mikrotik-wan-ip (ftp://117.58.—.198) в любом веб-браузере или используйте любой FTP-клиент (FileZilla) для доступа к FTP-серверу из общедоступной сети. Если все в порядке, вы сможете успешно получить доступ к своему FTP-серверу.

Примечание. Вы должны разрешить службу FTP или TCP-порт 21 в брандмауэре вашего FTP-сервера, иначе вы не сможете обмениваться данными с вашим FTP-сервером из общедоступной сети.

Переадресация портов на внутренний SSH-сервер

У нас также есть сервер SSH (IP: 192.168.10.30) на нашей сетевой диаграмме, и мы хотим получить доступ к этому серверу за пределами нашей внутренней сети. Конфигурация переадресации портов MikroTik для доступа к этому SSH-серверу из общедоступной сети показана в следующих шагах.

  • Войдите в MikroTik Router, используя Winbox с правами администратора.
  • Перейдите в пункт меню IP > Брандмауэр, щелкните вкладку NAT, а затем нажмите ЗНАК ПЛЮС (+). Появится окно нового правила NAT.
  • На вкладке «Общие» выберите «dstnat» в раскрывающемся меню «Цепочка». Поместите MikroTik WAN IP (117.58.—.198) в Dst. Поле ввода адреса и выберите tcp в раскрывающемся меню «Протокол», а затем введите 22 в поле ввода Dst Port, поскольку мы знаем, что SSH-сервер работает на TCP-порту 22.
  • Перейдите на вкладку "Действие" и выберите параметр dst-nat в раскрывающемся меню "Действие". Введите IP-адрес SSH-сервера (192.168.10.30) в поле ввода «Адреса», а затем введите 22 в поле ввода «Порты».
  • Нажмите кнопку "Применить" и "ОК".

Конфигурация переадресации портов для доступа к внутреннему серверу SSH завершена. Теперь мы сможем успешно получить доступ к нашему SSH-серверу из общедоступной сети с помощью любого SSH-клиента (Putty или SSH Secure Shell Client).

Примечание: вы должны разрешить службу SSH или TCP-порт 22 в брандмауэре вашего SSH-сервера, иначе вы не сможете обмениваться данными с вашим SSH-сервером из общедоступной сети.

Если вы столкнулись с какой-либо путаницей при правильном выполнении вышеуказанных шагов, посмотрите следующее видео о настройке переадресации портов в MikroTik Router. Я надеюсь, что это уменьшит вашу путаницу.

В этой статье обсуждалась конфигурация переадресации портов MikroTik для доступа к внутренним серверам. Я надеюсь, что теперь вы сможете успешно настроить необходимую конфигурацию переадресации портов на своем маршрутизаторе MikroTik. Однако, если вы столкнетесь с какой-либо путаницей, не стесняйтесь обсуждать в комментариях или связаться со мной со страницы контактов. Я постараюсь остаться с вами.

Вт, 5 октября 2021 г., 14:45

Привет сообществу MikroTik!

Я попытался следовать некоторым руководствам о том, как выполнить переадресацию портов, чтобы к устройству можно было получить доступ из Интернета.
Чтобы быть более конкретным, я хочу открыть TCP-порт 44158 для устройства со статическим IP-адресом на интерфейсе ETH 2.

Я использую mAP2nD под управлением RouterOS v7.1rc2 и Huawei E3372h-320 в качестве транспортной сети LTE, SIM-карта имеет общедоступный IP-адрес.
Чтобы проверить, работает ли он, я использую Port Checker из Port Forward Network Utilities Tool.

До сих пор я сделал следующие два шага в WebFig:

<р>1.
Цепь NAT: dstnat
Протокол: 6 (TCP)
Dst.Port: 44158
Действие: dst-nat
Кому адреса: 192.168.88.250
>В порты: 44158

<р>2. Цепочка
правил брандмауэра: forward
Dst. Адрес: 192.168.8.106
Протокол: 6 (TCP)
Dst.Port: 44158
Действие: принять
И я переместил Правило ниже фиктивного правила для счетчиков Fasttrack.
Все остальные правила являются правилами брандмауэра по умолчанию.

Когда я проверяю соединение с помощью упомянутого выше инструмента, он сообщает мне, что порт закрыт или недоступен.
Я был бы очень рад, если бы кто-нибудь мог направить меня к учебнику для новичков или сказать мне, в чем моя ошибка!

С уважением!
МанияC

6 октября 2021 г., 11:19

не могли бы вы экспортировать свои правила брандмауэра и опубликовать их здесь, чтобы мы могли проверить, что происходит, пожалуйста?

6 октября 2021 г., 12:56

Правила брандмауэра:
add action=accept chain=forward comment="Helium Routing" dst-address=192.168.8.106 dst-port=44158 protocol=tcp
add action=accept chain=input comment="defconf: принять установленный,связанный,неотслеживаемый" connection-state=установленный,связанный,неотслеживаемый
add action=drop chain=input comment="defconf: отбросить недействительный" connection-state=invalid
добавить action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (для CAPsMAN)" dst-address=127.0.0.1 < br />добавить action=drop chain=input comment="defconf: удалить все, что не поступает из локальной сети" in-interface-list=!LAN
добавить action=accept chain=forward comment="defconf: принять в политике ipsec " ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment ="defconf: fasttrack" состояние соединения = установлено, связанное hw-o ffload=yes
добавить action=accept chain=forward comment="defconf: принять установленный, связанный, неотслеживаемый" connection-state=установленный, связанный, неотслеживаемый
add action=drop chain=forward comment="defconf : удалить недействительный" connection-state=invalid
add action=drop chain=forward comment="defconf: удалить все из WAN без DSTNAT" connection-nat-state=!dstnat connection-state=new in-interface-list =WAN

NAT:
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
добавить action=dst-nat chain=dstnat comment="Helium Routing" dst-port=44158 protocol=tcp to-addresses=192.168.88.250 to-ports=44158

6 октября 2021 г., 13:44

Избавьтесь от правила прямой цепочки, оно не требуется.
добавить action=accept chain=forward comment="Helium Routing" dst-address=192.168.8.106 dst-port=44158 protocol=tcp

Изменить это правило
добавить action=dst-nat chain=dstnat comment="Helium Routing" dst-port=44158 protocol=tcp \
in-interface-list=WAN to-addresses=192.168 .88.250 < примечание: to-ports не требуются, если они совпадают с dst-port )

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

6 октября 2021 г., 18:13

Думаю, я правильно последовал вашему совету. Но, к сожалению, он все еще не работает.

/ip firewall filter
add action=accept chain=input comment="defconf: accept created,related,untracked" connection-state=installed,related,untracked
add action=drop chain=input comment="defconf: удалить недействительный" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf : принять локальную петлю (для CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: удалить все, что не поступает из локальной сети" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: принять политику ipsec" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: принять политику ipsec" ipsec-policy =out,ipsec
добавить action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=installed,related hw-offload=yes
add action=accept chain=forward comment=" defconf: принять установленное, связанное, неотслеживаемое" соединение- состояние=установлено,связано,неотслеживается
добавить action=drop chain=forward comment="defconf: удалить недопустимый" connection-state=invalid
add action=drop chain=forward comment="defconf: удалить все из WAN не DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Helium Routing" dst-port=44158 in-interface-list=WAN protocol=tcp to- адреса = 192.168.88.250 к портам = 44158

Я понял, что ether1 по-прежнему указан в списке интерфейсов как жизнеспособная глобальная сеть. Я удалил его, но это ничего не изменило.
Инструмент проверки порта перенаправления портов сообщает мне его IP-адрес и что я должен искать его в журналах.
Как я могу получить доступ к журналам для поиска этого IP-адреса? Это должно дать мне подсказку, в чем проблема.

Как обычно, с уважением.

6 октября 2021 г., 20:44

Не уверен, что вы имеете в виду.
Но да, ваша конфигурация должна быть максимально полной и точной.

Если ether1 является вашим wan-портом, то
/interface listmembers
add interface=ether-1 list=WAN

если ether1 является портом wan для pppoe с именем pppoe-1out
/элементы списка интерфейсов
add interface=ether-1 list=WAN
add interface=pppoe1-out list=WAN

Если ether1 является портом wan, но с членами списка vlannamexx
/interface
add interface=ether-1 list=WAN
add interface vlanamexx list=WAN

Как вы подключаетесь к своему веб-серверу для тестирования??

а. с внешнего IP-адреса (например, со смартфона через сотовую связь) или через WANIP друга?
б. от пользователя в той же lansubnet, используя LANIP сервера напрямую?
в. от пользователя в той же локальной подсети, но использующего имя DyDNS или wanip маршрутизатора для доступа к серверу??

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

6 октября 2021 г., 21:35

Мой порт WAN — это интерфейс LTE. И он работает правильно.
Например, я могу просматривать Интернет.

Я пытаюсь подключиться к точке доступа гелия. Это шлюз LoRaWAN, работающий на Raspberry Pi. На этом пи нет веб-сервера.
Мне нужно открыть порт 44158, чтобы он мог связываться с другими точками доступа по протоколу libp2p.
Чтобы узнать, открыт ли порт через libp2p, требуется довольно много времени.

У меня этот инструмент установлен на ноутбуке. И я просто подключаюсь к тому же маршрутизатору через WiFi, а затем использую инструмент проверки портов.
В этом инструменте я могу ввести порт и протокол. С помощью протокола TCP можно проверить, открыт ли порт для другого устройства в той же сети.
Инструмент использует внешний сервер, который пытается получить доступ к открытому порту. Возможно, он пытается получить доступ к программе, работающей на ноутбуке, но я не совсем уверен, как это работает.

Короче говоря:
я использую метод а. чтобы увидеть, если порт открыт.
Но поскольку я не знаю точной процедуры работы средства проверки портов, вполне возможно, что некоторые локальные правила конфликтуют с ним.

6 октября 2021 г., 21:52

Я говорю две вещи.

а. порт не будет казаться открытым при обычном сканировании, видимым, но закрытым, и это нормально для MT.
б. проверьте доступ к серверу или чему бы то ни было следующими способами.

<р>я. войдите в систему от другого пользователя в локальной сети, используя lanip сервера,
ii. войдите в систему от внешнего веб-пользователя (это может быть ваш мобильный телефон или ваш друг).

Конфигурация верна, поэтому наша работа на этом закончилась. Проблема, похоже, в ваших методах тестирования.

Если ваш инструмент пытается подключиться к серверу через Интернет, то он использует WANIP для доступа к серверу.
Находясь в одной и той же подсети, это не сработает, поскольку вы сталкиваетесь с петлевым или шпилечным сценарием nat.

Проще всего создать вторую подсеть для тестирования 192.168.66.0/24, подключить свой ноутбук к этой сети и попробовать выполнить тест, он должен работать.

В качестве альтернативы можно вставить это правило перед правилом sourcenat по умолчанию.
/ip firewall nat
add action=masquerade dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment="Helium Routing" dst-port=44158 in-interface-list=WAN protocol=tcp to-addresses=192.168.88.250 to-ports=44158

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Перенаправление портов на микротике

[Обновлено] Mikrotik — это мощный маршрутизатор, используемый для увеличения скорости загрузки для обеспечения автоматизированной производительности. Он предоставляет аппаратное и программное обеспечение для подключения к Интернету в большинстве стран мира. MikroTik обладает очень высоким уровнем гибкости, когда дело доходит до управления сетью, которая поставляется с собственным сложным маршрутизатором. Когда вы устанавливаете RouterOS на свой компьютер, он превращает его в маршрутизатор со всеми необходимыми функциями, такими как маршрутизация, брандмауэр, управление полосой пропускания, беспроводная точка доступа, транзитный канал, шлюз точки доступа, VPN-сервер и многое другое. В этой статье вы узнаете о переадресации портов на Mikrotik. Вы можете проверить доступные серверные услуги Mikrotik VPS на Eldernode и заказать то, что вам нужно.

Оглавление

Учебное пособие по переадресации портов на маршрутизаторе MikroTik

Процесс перехвата трафика данных, направляемого на комбинацию IP-адреса/порта компьютера, и перенаправления его на другой IP-адрес и/или порт называется переадресацией портов. Использование Mikrotik поможет вам в этом. Таким образом, вы можете назначить определенный порт определенной службе в вашей сети, чтобы пользователь мог получить к ней доступ, введя этот порт в своем программном обеспечении или браузере. Например, у вас есть веб-сайт с портом 8080 внутри вашей организации, а Mikrotik находится в качестве маршрутизатора между внутренним сетевым путем вашей организации и Интернетом. Теперь, если вы рассматриваете возможность аутсорсинга вашего IP-адреса или домена с портом для программного обеспечения внутри организации, вам следует использовать порт переадресации.

Что такое переадресация портов?

Чтобы понять определение переадресации портов, нам нужно сначала рассказать о маршрутизаторе. Как вы знаете, ваш интернет-провайдер назначает один IP-адрес вашему интернет-соединению. Но когда всем компьютерам в Интернете нужен уникальный IP-адрес, что делать, если у вас дома несколько компьютеров и только один адрес? Переадресация портов настроена в вашем роутере. Чтобы сделать компьютер в вашей домашней или рабочей сети доступным для компьютеров в Интернете (даже если они находятся за маршрутизатором). Итак, вам нужно сделать переадресацию портов. В случае игр, настройки камеры видеонаблюдения или загрузки файлов вам необходимо следовать этой инструкции.

Как настроить переадресацию портов на MikroTik

Как ИТ-администратор, когда вы создаете большую сеть, пользователи могут попросить удаленно подключиться к вашему серверу VPS или выделенному серверу. Несомненно, вы не будете делиться с ним IP-адресом сервера в целях безопасности. Таким образом, вы будете использовать переадресацию портов на маршрутизаторе MikroTik для обработки всех запросов. Давайте посмотрим, какие шаги необходимы для достижения этой цели.

Войдите с помощью Winbox на свой собственный сервер MikroTik с правами администратора.

Затем нажмите «Брандмауэр» в меню «IP».

На странице брандмауэра нажмите вкладку NAT (преобразование сетевых адресов), чтобы открыть его настройки и обрабатывать пакеты, которые получает маршрутизатор.

Преобразование сетевых адресов

На вкладке "NAT" нажмите элемент "+", чтобы создать правило.

На этом шаге вы должны нажать на вкладку «Общие». Выберите «dstnat» из раскрывающегося списка «цепочка». В «Дст. В поле «Адрес» введите этот IP-адрес (10.10.10.10). В списке «Протокол» выберите протокол подключения, например (TCP, xdp, ddp). В «Дст. Порт», введите 5847.

Кроме того, предположим, что маршрутизатор подключается к IP-адресу (10.10.10.10), и мы хотим перенаправлять все запросы с (10.10.10.10:5847) на (20.20.20.20:4324).

настроить переадресацию портов на MikroTik

Затем измените настройки следующим образом:

Цепочка: установите для этого раздела значение dstnat.

Протокол: если вы хотите, чтобы пакет определенного протокола пересылался только, установите параметр Протокол.

порт dst: в этом разделе введите порт, к которому вы хотите получить доступ в Интернете.

Затем перейдите на вкладку "Действие":

Действие: установите для этого параметра значение dst-nat.

Кому: введите в этом разделе адрес сервера внутри вашей организации.

К порту: введите порт внутреннего сервера, на который вы собираетесь передавать трафик.

Примечание. Вы можете вводить и выводить порты одинаково или импортировать порты по-разному.

Теперь нажмите на вкладку «Действие». В раскрывающемся списке действий выберите «dst-nat». Введите этот IP-адрес (20.20.20.20) в поле «К адресам» и введите 4324 в поле «К портам».

Переадресация портов на Mikrotik

На последнем шаге нажмите «Применить» и «ОК», чтобы сохранить и добавить правила.

Заключение

В этой статье вы узнали, как настроить переадресацию портов на Mikrotik. Использование Mikrotik позволяет вам управлять всем, что связано с сетью. Выполнение указанных шагов поможет вам выполнить переадресацию портов на Mikrotik. Если вам интересно узнать больше, обратитесь к разделу Как настроить параметры IP в Mikrotik.

Распространенный вопрос домашних пользователей: как перенаправить порт на устройство MikroTik, чтобы игры и программы работали правильно.

Самый простой вариант — включить UPnP для устройств в домашней сети. Большинство программ и игр имеют поддержку UPnP, но в некоторых (Torrent) ее нужно включить в настройках.

Universal Plug and Play (UPnP) – это набор сетевых протоколов, который позволяет сетевым устройствам, таким как персональные компьютеры, принтеры, интернет-шлюзы, точки доступа Wi-Fi и мобильные устройства, беспрепятственно обнаруживать присутствие друг друга в сети. сети и установить функциональные сетевые службы для обмена данными, связи и развлечений. UPnP предназначен в первую очередь для домашних сетей без устройств корпоративного класса.

Wikipedia

Контент

Переадресация портов (MikroTik UPnP)

Включить поддержку UPnP в MikroTik:

В окне настроек UPnP укажите внешний и внутренний интерфейсы роутера.

После включения UPnP и пункта «Показать фиктивные правила» в окне брандмауэра вы увидите правила автоматической переадресации портов.

Как перенаправить порт на маршрутизаторе с помощью UPnP

Переадресация портов (брандмауэр MikroTik)

Пример показан для клиента Torrent:

  • Торрент-порт: 50237;
  • Торрент-протокол: UDP;
  • IP-адрес компьютера: 192.168.2.9;
  • Входящий интерфейс (интернет): билайн;
  • Внутренний интерфейс (локальная сеть): bridge1-lan.

Создайте правило брандмауэра вручную:

Давайте создадим правило брандмауэра через терминал:

Как перенаправить порт на маршрутизаторе с помощью правил брандмауэра

🟢 Как настроить перенаправление портов на роутере MikroTik было рассмотрено в этой статье. Надеюсь теперь настроить проброс портов не составит труда и программы и игры будут работать как положено, по возможности используйте UPnP. Однако, если у вас возникнут какие-либо проблемы при настройке, не стесняйтесь писать в комментариях. Я постараюсь помочь.

Проверен скрипт: hAP ac lite [RouterBOARD 952Ui-5ac2nD], RouterOS 6.47.8 (stable).

Читайте также: