MicroTik – проброс портов, использование Port Forwarding в локальной сети, перенаправление портов наружу в Микротик

Сетевые администраторы, а иногда и обычные пользователи, сталкиваются с необходимостью проброса портов на маршрутизаторе или маршрутизаторах. Для устройств MikroTik также можно выполнить эту процедуру.

Конфигурирование маршрутизатора или роутера MikroTik можно изучить с помощью курса «Конфигурирование MikroTik». Курс охватывает все темы из официальной программы MTCNA. Автор является официальным инструктором MikroTik. Материал подходит как для тех, кто давно работает с оборудованием MikroTik, так и для тех, кто еще не держал его в руках. Он включает 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и раздаточный материал.

Принцип действия и область применения

Большинство специализированных маршрутизаторов используют механизм маскировки PAT или NAT. В этом сценарии устройства внутренней сети подключаются к Интернету через маршрутизатор. Они не «видны» внешним пользователям, контакт осуществляется через внешний IP-адрес маршрутизатора, подключенного к провайдеру.

В этой схеме каждому участнику сети (LAN) в дополнение к адресу присваивается номер порта. При получении запроса от внутреннего компьютера маршрутизатор открывает соответствующий порт, меняет адрес на внешний порт и отправляет данные в Интернет. Поэтому этот процесс называется «маскарад» или «маскировка». — Внутренний ПК «скрывает» свой IP, «маскируя» маршрутизатор.

Основными преимуществами такой схемы подключения являются:

• Повышенная безопасность локальной сети;
• Меньше IP-адресов для подключения к провайдеру;
• Гибкость в случае смены провайдера.

Из-за этого сценария PAT маршрутизатор обрабатывает запросы, отправленные внутренним компьютером. Если к нему впервые обратится внешний сервер или компьютер, маршрутизатор не примет соединение и ответит «нет ответа».

Однако часто возникают ситуации, когда вы хотите получать данные из локальной сети, не дожидаясь отправки запроса из локальной сети. Например, в следующих случаях:

• подключение к IP-камере или видеорегистратору удаленно, через Интернет;
• для нормального функционирования торрентов;
• доступ к P2P-сетям и локальным FTP- и WEB-серверам;
• создание домашних игровых серверов.

Маршрутизатор инициирует исключение из механизма NAT Masquerading, при котором данные, поступающие извне маршрутизатора через выделенный порт, направляются на определенный компьютер во внутренней (локальной) сети. Существует «прямой контакт» между внутренними и внешними устройствами.

Такое соединение называется ‘Port Forwarding’ или ‘redirection’. Изменив настройки в маршрутизаторе MikroTik, можно задать соответствующую конфигурацию.

Перенаправление портов

Существует несколько способов реализации переадресации портов в маршрутизаторах MikroTik. Используются как команды графического интерфейса, так и консольные команды.

Настройка через GUI

Для подключения к маршрутизатору можно использовать утилиту Winbox, загрузив ее с сайта производителя. После установки выполните следующие действия:

1. Запустите программу winbox.exe. Откроется окно, в котором необходимо ввести IP маршрутизатора, логин, пароль и нажать кнопку «Connect».
2. Откроется главное меню маршрутизатора. Перейдите на вкладку IP, нажмите на опцию Firewall и выберите NAT.
3. Нажмите на знак «+».
4. Отобразятся настройки NAT.
5. Перейдите на первую вкладку — «Общие». Здесь нужно заполнить строки для создания перенаправлений.
   Их цели описаны ниже:
   • Цепь — позиция, в которой задается вектор соединения. Есть 2 варианта: srcnat и dstnat. Первый используется при инициировании запроса из внутренней сети во внешнюю, второй — наоборот. Поскольку вы хотите разрешить внешним устройствам подключаться напрямую к внутренним устройствам без маскировки, выберите dstnat;
   • Src.address — это адрес отправителя, т.е. внешнего компьютера. Если нет специального устройства, оставьте это поле пустым, чтобы принимать данные со всех ПК или серверов;
   • Dst.Address — адрес получателя, в данном случае маршрутизатора;
   • Протокол — строка, которую необходимо заполнить. Выберите протокол из предложенных вариантов: http, udp, tcp;
   • Src.Port — можно оставить пустым. Здесь можно ввести порт отправителя;
   • Dst.Port — эту строку нельзя оставлять пустой. Введите номер порта внешнего маршрутизатора, на который будут отправляться данные;
   • Any.Port — если номер порта отправки совпадает с номером порта получения, он может быть указан здесь. Он будет автоматически внесен в две предыдущие записи;
   • Ин.интерфейс — физический канал связи, на который будут поступать данные извне. То есть, указывается одно из гнезд RJ45, которое принимает внешнее подключение. По умолчанию маршрутизатор подключен к провайдеру через первый сокет с именем ‘ether1-gateway’. Укажите это. Это поле нельзя оставлять пустым, иначе соединение не будет установлено;
   • Out.Interface — имя адаптера принимающего компьютера. Строку можно оставить пустой;
   • Для некоторых строк предусмотрена специальная ячейка для ввода восклицательных знаков. Его установка указывает на исключение параметра. Например, на рисунке ниже показано, что маршрутизатор будет принимать данные на всех портах, кроме 3389.

1. Еще одна важная вкладка — Действие. В первой одноименной строке укажите операцию, которую должен выполнить маршрутизатор. Доступны следующие варианты:
   • Принять — простое получение информации;
   • add-dst-to-address-list — добавить адрес назначения в разрешенный список;
   • add-src-to-address-list — то же самое для входящих адресов;
   • dst-nat — отправляет информацию из внешней сети во внутреннюю сеть;
   • skip — позволяет применить правило к другому каналу. Например, если это работает для src-nat, это также будет применимо и к dst-nat;
   • Журнал — сохранение событий в файле журнала;
   • Маскарад — Это часто используемый режим маскарада;
   • Netmap — аналогичен режиму dst-nat, но имеет больше возможностей;
   • Passthrough — Этот режим не имеет значения и собирает статистику. Его можно опустить;
   • Перенаправление — «поворачивает» данные на другой порт;
   • Возврат — обратная величина правила перехода. Возвращается в состояние до применения прыжка;
   • То же — позволяет применить установленные правила к другой группе адресов;
   • src-nat — обратное действие по отношению к dst-nat. Информация передается из внутренней сети во внешнюю.
2. Используйте режим dst-nap или netmap для переадресации портов. Последний вариант является более поздней разработкой и работает лучше.
3. Следующая строка — To Addresses. Вам необходимо ввести ip-адрес устройства во внутренней сети, на которое вы перенаправляете.
4. Строка To Ports содержит номер порта устройства. Если он совпадает с dst-nat на вкладке General, то ничего писать не нужно.

Что такое демилитаризованная зона и как она работает

Далее необходимо написать объяснение вновь созданного правила, чтобы мы не забыли, зачем оно было создано. Это делается нажатием на кнопку «Комментировать».

После того как все компоненты будут установлены, подтвердите выбор, нажав на кнопку «OK». Правило появится в меню NAT. Чтобы активировать его, необходимо установить его выше других скриптов.

Использование командной строки

Чтобы подключить консоль, выберите «Новый терминал» в Winbox. Вы также можете использовать Telnet или SSH.

После подключения установите 2 правила:

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=router_node_number action=dst-nat to-address=device_address to-port=device_port /ip firewall nat add chain=srcnat src-. address=internal_address_router/24 dst-address=device_address protocol=tcp dst-port=device_node out-interface= ether1-gateway action=masquerade

Символы:

• router_outter_node_number — порт внешнего маршрутизатора, открытый для переадресации;
• device_address — ip компьютера во внутренней сети, который подключен через переадресацию;
• device_node — порт внутреннего компьютера;
• internal_router_address/24 — адрес маршрутизатора в локальной сети, «24» означает, что маска подсети равна 255.255.255.0;
• ether1-gateway — физический интерфейс, через который осуществляется связь с Интернетом.

Использование консоли может быть сложным для неопытных пользователей.

Переадресация нескольких портов

Если вам нужно применить Port Forwarding к нескольким портам, укажите запись Dst.Port на вкладке General через запятую.

В некоторых случаях, например, при пересылке udp для компьютерной телефонии, необходимо выполнить дополнительную маркировку пакетов. Для этого перейдите на вкладку «Mangle» в меню «Брандмауэр».

Снова нажмите на знак «+». Откроется знакомое окно конфигурации. Выберите вкладку «Общие».  Заполните линии, как показано на рисунке. Диапазон портов в данном случае составляет от 10000 до 20000.

Здесь опция «Chaining» принимает следующие значения:

• PREROUTING — маркировка происходит перед маршрутизацией;
• INPUT — маркировка пакетов, предназначенных для сервера;
• FORWARD — обозначает пакеты, находящиеся в пути;
• OUTPUT — обозначает данные, покидающие сервер;
• POSTROUTING — обозначает как исходящие, так и транзитные данные.

Что такое Getcontact и как его использовать

Остальные строки имеют те же настройки, что и на вкладке NAT. В Dst.Port указывается несколько портов.

Затем на вкладке Действие укажите операцию, которую необходимо выполнить. В этом случае — пометьте пакет. Укажите имя метки, например, «test» в разделе New Packet Mark.

Затем вернитесь на вкладку NAT и создайте новое правило. В окне «General» для Chain установите значение «dstnat», а в Packet Mark введите имя метки, в нашем примере это test.

Затем откройте опцию «Действие». В строке «Action» поставьте значение «netmap», а в «To Adresses» — адрес внутреннего устройства, к которому осуществляется внешнее подключение.

В разделе «To Ports» введите порт приема. Если выделенный порт отсутствует, ничего не пишите.

Переадресация всех портов и протоколов на внутреннее устройство

Чтобы перенаправить все внешние запросы на одно локальное устройство, создайте правило NAT с «dstnat» в строке Chain.

В окне «Действие» поставьте «netmap» для одноименной строки и укажите ниже адрес локального компьютера.

Больше ничего заполнять не нужно. Подтвердите изменения.

Port Forwarding для 80 порта

Ниже приведен пример конфигурации перенаправления порта 80 для веб-сервера в локальной сети.

Его адрес — 192.168.15.15, протокол — tcp, имя физического интерфейса маршрутизатора — ether5-WAN1 с адресом 10.1.100.1. Создайте правило NAT с параметрами, показанными на рисунке.

Вкладка «Общие»:

Вкладка «Действие»:

При настройке через консоль введите следующие команды:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether5-WAN1 protocol=tcp to-addresses=192.168.15.15 to-ports=80

Переадресация не функционирует

Возможно, что перенаправление не будет работать после ввода всех настроек. Причин этому может быть несколько, в первую очередь необходимо проверить следующие аспекты соединения:

1. Проверьте доступность внешнего сервера из локальной сети. Убедитесь, что ip и порт указаны правильно. Исправьте его, если оно написано неправильно. Если переадресация портов снова не работает, проверьте конфигурацию сервера.
2. Проверьте, какие правила были созданы. Убедитесь в правильности параметров. Исправьте все найденные ошибки.
3. Проверьте адрес внешнего WAN-интерфейса маршрутизатора. Возможно, что он сам входит в другую локальную сеть и имеет «серый» адрес. Если это так, выполните перенаправление на конечном маршрутизаторе, имеющем доступ в Интернет. Серые» ip-адреса охватывают следующие диапазоны: 10.0.0-10.255.255；172.16.0.0-172.31.255.255；192.168.0.0-192.168.255.255 Эти параметры не используются в Интернете и применимы только к локальным сетям.

Кнопка WPS на маршрутизаторе — что это такое

Переадресация портов отнимает много времени и требует усердия. На начальном этапе новичку может быть сложно выполнять его. Перед началом процесса рекомендуется сохранить резервную копию конфигурации маршрутизатора.

Вы можете освоить MikroTik с помощью онлайн-курса «Конфигурирование оборудования MikroTik». Курс охватывает все темы из официальной программы MTCNA. Автор является официальным инструктором MikroTik. Материал подходит как для тех, кто давно работает с оборудованием MikroTik, так и для тех, кто еще не держал его в руках. Он содержит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.