Mikrotik icmp перенаправление. Как это работает? Перенаправление трафика, адресованного одному ip, на другой ip

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны - в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем - просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного - проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox"ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces .

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс - это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local - «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway . Ether1 - это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway - «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway"ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local , остальные 3 - неполиткорректно называются slave-local . Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 - соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT - Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом - внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade - «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 - подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 - на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT"ом находится в разделе IP ->Firewall ->NAT :

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию - это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот - добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое - это Chain (Цепочка). Тут может быть всего два варианта - srcnat и dstnat . Цепочка - это, грубо говоря, направление потока данных. Srcnat - из внутренней сети во внешнюю, dstnat - соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat .
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения - всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp .
Src. Port (исходящий порт) - это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) - а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) - так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) - это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat . Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае - ether1-gateway .
Out. interface (исходящий интерфейс) - интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept - Просто принимает пакет;
add-dst-to-address-list - Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list - Аналогично предыдущему, но для исходного адреса;
dst-nat - Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump - Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat - применить правила цепочки dstnat ;
log - Просто добавляет информацию о пакете в лог роутера;
masquerade - Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap - Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough - Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect - Перенаправляет данные на другой порт в пределах роутера;
return - Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same - применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat - Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap . Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports - соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply , роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание - дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Стоит рассмотреть такой популярный вопрос, как перенаправление портов на mikrotik.

Проброс портов на роутерах фирмы Microtik можно осуществить несколькими способами, но самый простой - через программу Winbox. Для этого запускаем программу и авторизуемся (по умолчанию логин это – «root», а пароль пустой). Откроется оно настроек роутера, где вам нужно найти вкладку «IP», затем вкладку «Firewall» и наконец, нажать на вкладку «Nat»

Нажмите на кнопку «плюс», после чего откроется основное окно настройки портов mikrotik.

Как настроить проброс портов на роутере mikrotik?

Давайте поподробнее рассмотрим настройки в этом окне:

• - Chain – основное правило, указывающее направление потока данных (из сети или в сеть). В нашем случае устанавливаем dst-nat.
• - Src. Address – адрес одного источника из всемирной сети (желательно оставлять пустым).
• - Dst. Address – конечный адрес нашего роутера (если оставить поле пустым, то потребуется указать его во вкладке In Interface).
• - Protocol - основное значение, которое нужно указать для назначения порта (в нашем случае это TCP).

• - Src. Port - исходящий порт (инициация порта удаленной машины, в основном поле остается пустым).
• - Dst. Port – основной порт назначения (порт, в котором нужно указать значение: например, 80).
• - Any. Port – любой порт как исходящий, так и входящий (в основном это поле можно оставить пустым).
• - In. Interface – интерфейс, через который просматривается указанный порт (нужно указать интерфейс подключения интернета).

Так как остальные вкладки нам не нужны, перейдем на вкладку «Action».

Необходимо выбрать из ниспадающего списка действие, которое вам нужно:

• dst-nat – переадресация пакетов из внешней сети (именно этот пункт вам и стоит выбрать).

• - Action - выберите тот же пункт, что и в вкладке «Chain».
• - To Addresses – ip адрес видеорегистратора и сервера, на который мы делаем проброс порта mikrotik.
• - To Ports – укажите порт веб сервера.

Если вы нажмете кнопку «Apple», то роутер сам может добавить адрес и порт (если он был заранее прописан).

После того как настройки заполнены, желательно указать комментарии - для чего было создано данное правило (чтобы не запутаться). Для этого нажмите на кнопку «Comments» и заполните поле. После чего нажмите два раза кнопку «ОК».

Что нужно знать при настройке переадресации mikrotik?

В принципе, настройка проброса портов закончена, но есть один нюанс. Дело в том, что сервер самого роутера mikrotik работает на 80 порту. И если вам необходимо пробросить данный порт, то тогда нужно зайти на вкладку «IP», потом «Services» и изменить настройки порта веб сервера на любой другой, который не используется.

Необходимо отметить, что если вы хотите пробросить несколько портов, то в поле «To Ports» укажите номера портов через запятые (например, 80,554,и т.п.)

Это наиболее простой метод проброса портов на микротик: если он не сработал, то вам следует убедиться, что в правилах настройки файрвола нет запретов. Учтите, что и антивирусы, и при настройке также могут блокировать весь исходящий трафик.

Также проброс портов можно прописывать с помощью скриптов. Однако это значительно более сложный и трудоемкий процесс.

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

1. Откройте меню IP - Cloud
2. Поставьте галочку DDNS Enabled
3. Нажмите кнопку Apply
4. Если после этого отобразиться статус "updated " без ошибок, то у вас белый IP-адрес.

Если в правом нижнем углу отображается ошибка типа "DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work. ", то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122 . Он имеет внутреннюю подсеть 192.168.88.0/24 .

Внутри подсети есть IP-камера с адресом 192.168.88.250 , у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000 , мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке - это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

178.189.224.122 и порту 10000 192.168.88.250 и порт 80 , а не в интернет.

178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

Созданные правила можно посмотреть в меню IP - Firewall на вкладке NAT .

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.

Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554 , поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554 , перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554 .

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554 , а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс . В ОС Windows в VLC media player нужно открыть меню Медиа - Открыть URL .

Вводим адрес rtsp://login :passwd @178.189.224.122 /video.mp4

Где login - логин для доступа к IP-камере, passwd - пароль для доступа к IP-камере, 178.189.224.122 - внешний IP-адрес роутера.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

После этого видео на планшете откроется в полноэкранном режиме.

Отзывы о статье

Оценка: 5 , Голосов:

Алекс 13.01.2019 14:37:34

правила появились, но ничего не работает

Ответить Отменить ответ

Сергей 25.06.2018 07:07:24

Здравствуйте. Можете подсказать? Стоит микротик, за ним сеть, пробросили канал на организацию, нужно дать им ip оборудования для того, чтобы они прописали на них доступ и маршруты, к примеру адреса 30.40.40.1:5050 и 2:5050. Но у них уже есть маршруты по данной сети в другом регионе. Можно ли сделать через nat подмену ip. Например я им даю адреса 10.10.10.1:5050 и 2:5050 и при обращении на них они попадали на 30:40:40:1:5050 и 2:5050 соответственно.

Ответить Отменить ответ

Begley diptemy 21.06.2018 12:36:55

Bonjour j"ai fait repartition de mon Donne internet sur mon mikrotik pour acceder a distance.
Voila
Maintenance le message qui affiche sur mon Scran,
RADIUS server is not responding

Ответить Отменить ответ

Максим 01.06.2018 22:30:11

Добрый вечер! Подскажите, в чем может быть причина. В статусе вместо "updated" отображается "Error: request time out", но IP-адрес белый, на другом роутере работало все.

Ответить Отменить ответ

Роман 29.03.2018 10:12:21

А если у меня схожая задача, но камера подключена не к микротику а к другому микротику, который в свою очередь связан с основным VPN тоннелем. маршруты все прописаны, микротики видят друг друга и все устройства за ними. как должна выглядеть настройка проброса портов чтобы с внешки микротик перенаправлял в впн тоннель на камеру?

Ответить Отменить ответ

Глеб 30.01.2018 16:17:24

Добрый день, подскажите все настроил, как выше описано, в нутри сети по белому айпишнику + порт заходит, а с внешней сети не хочет заходить, чуть не треснул, помогите пжл, буду очень признателен

Ответить Отменить ответ

Глеб 30.01.2018 18:18:27

Ребята нашел проблему в фаерволе) все ок

Ответить Отменить ответ

Alexey 01.02.2018 15:10:19

Firewall is root of all evil:))

Ответить Отменить ответ

Андрей 14.05.2018 19:22:30

Добрый день! Глеб, у меня такая же проблема напишите, пожалуйста, как Вы ее решили?

Ответить Отменить ответ

Дмитрий 16.01.2018 15:09:49

Добрый день! В интернете миллион статей по данной ситуации, но нигде толком нет как сделать наоборот. Подскажите, как пробросить порты в обратном направлении. На камере по сработке датчика движения формируется письмо с изображением через внешний smtp сервер. Как ни пытался, письмо не проходит. На ТП линке все без проблем делается..

Ответить Отменить ответ

Artem 30.01.2018 14:24:54

Дмитрий, не надо обратного проброса, письмо формирует сама камера, но отправить его не может. Почему не может, надо разобраться.
Варианты:
В ящике: не настроен/слетел доступ не надежным приложениям
включилась двух этапная аутентификация
На микротике в порыве, могли запрещающими правилами фаервола закрыть все что не разрешено, тогда временно отключите все запреты проверьте работу отправки почты, если заработает добавьте выше правило разрешение на почтовые порты

Ответить Отменить ответ

Andrew 29.12.2017 12:08:04

Как правильно сделать проброс на микротик стоящий за главным микротиком. Нужно иметь доступ по Winbox на оба устройства. Второй микротик подключен к ведущему по внутреннему IP.

Ответить Отменить ответ

Дима 29.12.2017 15:15:48

Нужно пробрасывать произвольный порт на первом роутере на порт 8291 на второй микротик.
На втором микротике нужно разрешить доступ на порт 8291.
И не забудь перетащить созданные правила выше запрещающих.

# На первом роутере
/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=IP_второго_роутера to-ports=8291

/ip firewall nat add action=netmap chain=dstnat dst-address=Белый_IP_первого_роутера dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=IP_второго_роутера to-ports=8291

# На втором роутере
/ip firewall filter add action=accept chain=input disabled=no in-interface=ether1-gateway dst-port=8291 protocol=tcp comment="access to winbox"

При подключении на Белый_IP_первого_роутера по порту 8291 будешь попадать на первый роутер.
При подключении на Белый_IP_первого_роутера по порту 10000 будешь попадать на второй роутер.

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны - в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем - просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного - проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox"ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces .

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс - это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local - «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway . Ether1 - это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway - «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway"ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local , остальные 3 - неполиткорректно называются slave-local . Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 - соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT - Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом - внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade - «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 - подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 - на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT"ом находится в разделе IP ->Firewall ->NAT :

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию - это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот - добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое - это Chain (Цепочка). Тут может быть всего два варианта - srcnat и dstnat . Цепочка - это, грубо говоря, направление потока данных. Srcnat - из внутренней сети во внешнюю, dstnat - соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat .
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения - всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp .
Src. Port (исходящий порт) - это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) - а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) - так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) - это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat . Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае - ether1-gateway .
Out. interface (исходящий интерфейс) - интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept - Просто принимает пакет;
add-dst-to-address-list - Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list - Аналогично предыдущему, но для исходного адреса;
dst-nat - Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump - Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat - применить правила цепочки dstnat ;
log - Просто добавляет информацию о пакете в лог роутера;
masquerade - Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap - Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough - Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect - Перенаправляет данные на другой порт в пределах роутера;
return - Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same - применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat - Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap . Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports - соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply , роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание - дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Представляет собой одну из самых главных функций в области перенаправления трансляции сетевых адресов. Проще говоря, это возможность использования несколькими устройствами, объединенными в одну локальную сеть или подключаемыми через беспроводную связь устройствами, одного внешнего интерфейса. Если говорить еще проще, проброс портов «Микротик» (RDP) дает возможность получения доступа к определенному компьютерному терминалу или устройству через интернет-соединение извне. Таким образом, можно управлять любым устройством через удаленный доступ. Единственное, что для этого требуется, - наличие свободного порта на роутере. Далее будет рассмотрено несколько самых распространенных ситуаций, в которых требуется или настоятельно рекомендуется сделать проброс портов. «Микротик» модели RB951-2n возьмем в качестве примера. Но это не самое главное. В роутере/модеме «Микротик» проброс порта через несколько отличается от общепринятых правил. Но обо всем по порядку.

Роутер Mikrotik: общие характеристики

Владельцам роутеров серии Mikrotik несказанно повезло. Дело в том, что эти устройства в большинстве своем имеют несколько входов для сетевых подключений. В вышеуказанной модели их пять.

Это дает возможность использовать массу совершенно различных настроек даже для тех случаев, когда имеется несколько провайдеров. Согласитесь, достаточно весомое преимущество. Чтобы подключение работало, и работало корректно, придется сделать проброс портов «Микротик»-роутера. Сразу отметим, что придется немного повозиться. Зато в итоге пользователь получит достаточно много возможностей по применению современных интернет-технологий. Правда, обольщаться не стоит, поскольку настройка проброса при отсутствии определенных знаний может стать достаточно хлопотным делом. Но не стоит опускать руки. Наша инструкция поможет выполнить настройку роутеров этой серии даже самому неподготовленному пользователю. Важно соблюдать все пункты, включенные в список.

Проброс портов «Микротик»: вход в веб-интерфейс

С входом в интерфейс устройства проблем быть не должно. Стандартная процедура включает в себя использование самого обычного интернет-браузера, в котором в адресной строке нужно ввести комбинацию 192.168.88.1. Заметьте, этот адрес кардинально отличается от данных большинства других роутеров.

В качестве логина всегда используется admin, а поле пароля остается пустым. Если данный вариант не работает, просто сбросьте настройки нажатием кнопки Reset или отключением устройства от электросети на 10-15 секунд.

Общее описание параметров

После входа, прежде чем выполнять проброс портов «Микротик», желательно ознакомиться с некоторыми важными настройками и параметрами, которые придется изменять.

Для начала следует войти в раздел Interfaces (второй пункт в меню слева), где будут показаны все доступные на данный момент интерфейсы. На локальный мост пока не обращаем внимания, а смотрим на порт Ether1. Он соответствует первому порту (разъему) на роутере, в который включен кабель с разъемом RJ-45 от провайдера. Еще он называется Gateway - вход, через который можно будет получить доступ к самому устройству.

Четыре остальных порта объединены в виртуальный свитч. Второй порт имеет приоритет Master, остальные - Slave. Три последних порта ориентируются на второй, который, по сути, ими же и управляет на основе подключения к первому.

Между основными портами и интернетом в качестве некой «прослойки» установлена служба трансляции сетевых адресов NAT. Она позволяет установить и внутренние, и внешние адреса для компьютеров в одной локальной сети, которые могут не совпадать изначально.

Далее начинается маскарад. Да-да, вы не ослышались, это действительно так! Функция Masquerade работает по принципу VPN или прокси, подменяя внешний IP компьютерного терминала при выходе в интернет адресом самого роутера. Точно так же при получении отклика служба идентифицирует внутренний IP компьютера, с которого производился запрос, и отсылает ответ именно на эту машину. Если служба не включена, нужно будет активировать ее в соответствующем разделе самой операционнной системы.

Основные настройки портов

В зависимости от того, какая программа или служба должна использовать определенный свободный порт роутера, и придется отталкиваться, делая проброс портов «Микротик».

К примеру, для работы любого Torrent-клиента необходимо задействовать порт 51413, для удаленного соединения посредством использования подключения RDP - 3389, для установки связи с ByFly - 55555 и т. д. Но стоит заметить, что проброс портов «Микротик» через VPN-клиент немного отличается от стандартной процедуры (далее будет понятно, почему).

Создание правил

Но вернемся к пробросу. Заходим на вкладку Firewall/NAT и видим, что одно правило уже имеется (оно установлено по умолчанию).

Нам нужно добавить новое (делается это нажатием кнопки со значком плюса). Тут есть несколько основных параметров:

• Chain - устанавливаем Srcnat, если требуется доступ из внутренней сети во внешнюю, или Dstnat - из интернета во внутреннюю сеть;
• Protocol - выбираем TCP;
• Src. Port - без изменений;
• Dst. Port - 51413 (в данном случае для торрента);
• In. Interface - ether1-gateway;
• Out. Interface - без изменений.

Выбор действия

Выбрать операцию, которая будет активирована при приеме входящих пакетов, есть из чего. Чтобы не усложнять ситуацию, можно установить значение Accept. В этом случае все пакеты будут приниматься автоматически.

Когда потребуется произвести перенаправление данных из внутренней сети во внешнюю, можно использовать варианты dst-nat и netmap. Второй вариант предпочтительнее, поскольку является улучшенной версией первого.

Также можно перейти к разделу комментариев (Comments) и указать информацию для созданного правила, чтобы в дальнейшем система не запрашивала выбор действия. На этом проброс портов «Микротик» можно считать завершенным. Но не все так просто.

Проброс портов «Микротик» из интернета в локалку: переадресация для нескольких провайдеров

Предположим, что подключение осуществляют несколько провайдеров, и пользователь в какой-то момент хочет выбрать, чьими услугами воспользоваться или распределить их на разные машины. В роутерах «Микротик» два провайдера проброс портов поддерживают без проблем.

В этом случае при выборе действия устанавливается режим dst-nat, а в поле To Address (например, для ByFly) используется адрес 10.24.3.2 (TCP 55555). Пункт To Ports можно не трогать.

• /ip firewall nat;
• add action=dst-nat chain=dstnat comment=torrent dst-port=55555 in-interface=\;
• ByFly protocol=tcp to-addresses=10.24.3.2.

Проброс для порта 3389 (RDP)

Теперь несколько слов об удаленном управлении с использованием свободных портов роутера. Собственно, процедура практически та же.

Установки опций должны быть такими:

• Шлюз: 192.168.8.1.
• Действие: accept.
• NAT (правило должно быть установлено ранее правила masquerade).
• Цепочка: dstnat.
• Протокол: 6 (tcp) (по умолчанию).
• Порт назначения: 3389 (номер порта, на который переадресовывается пробрасываемый порт в Интернете).
• Исходящий тип интерфейса: pppoe-out.
• Действие: dst-nat.
• Переадресация на: 192.168.0.232.

В настройках протокола IPv4 нужно перейти к дополнительным параметрам и указать на вкладке параметров IP дополнительные адреса (как это показано на изображении выше), после чего прописать адрес, с которым будет взаимодействовать роутер.

Создаем правило для второго провайдера, добавляем параметры для Masquerade.

Вопросы видеонаблюдения

Давайте посмотрим, как в роутере «Микротик» проброс портов для видеонаблюдения работает на практике. В принципе, настройки почти те же самые, что и в основном случае.

Только проброс портов «Микротик» для видеорегистратора выглядит примерно так:

• Цепочка: dstnat.
• Протокол: 6 (tcp).
• Удаленный порт: 200.
• In. Interface: ether1-gateway.
• Действие: netmap.
• Переадресация на: 192.168.ХХХ.ХХХ.
• Порт: 80.

Как видим, настройки ничем не отличаются от указанных выше, но в качестве основного порта используется номер 80. Только и всего.

Заключение

Подводя итоги, можно отметить, что проброс портов «Микротик» - дело достаточно сложное, и рядовой пользователь, не знакомый хотя бы с элементарным знанием интерфейса роутеров этой серии, справится вряд ли. Благодаря приведенной инструкции вы сможете почерпнуть для себя важную информацию и произвести настройку проброса портов самостоятельно.

Практически все параметры и опции по природе своей идентичны. Различаются только режимы работы и номерами портов. В остальном же при тонкой настройке проблем быть не должно. Вопрос о том, насколько все это актуально, придется решать самостоятельно. Конечно, автоматизация подключений к интернету, в особенности при доступе к локальной сети или конкретному терминалу извне, работает не всегда. Поэтому придется потратить немного времени, чтобы произвести правильную настройку даже с использованием доступа к услугам нескольких провайдеров.