Проброс портов на MikroTik: инструкция для чайников

Здравствуйте, друзья! Сегодня мы обсудим, как настроить перенаправление портов на роутере Mikrotik. Этот устройство довольно сложное в настройке, поэтому я постараюсь изложить материал максимально доступно и подробно, чтобы даже новичок не испытывал трудностей. Я буду использовать обычное устройство в качестве примера, хотя прошивка у них примерно одинаковая.

Подключение

Прежде всего, необходимо зайти в настройки маршрутизатора. Это можно сделать через Web-интерфейс, но наилучшим вариантом будет использование программы WinBox, которую можно бесплатно скачать с официального сайта.

После установки программы заходим во вкладку «Соседи» и нажимаем кнопку «Обновить» ниже. Затем в появившемся списке выбираем свое устройство, вводим «admin» в качестве логина и нажимаем «Подключить».

Знакомство с интерфейсами

Перед тем, как я вам расскажу, как открыть порт на Микротике, давайте сделаем небольшой обзор для новичков. Сначала нам нужно посмотреть, какие интерфейсы у нас есть. Для этого перейдем в раздел «Интерфейсы».

Что такое интерфейсы в Микротике? В принципе, это каналы связи самого устройства с другими устройствами в локальной сети, а также с интернетом. Роутер в нашем случае также выступает в роли шлюза. Давайте рассмотрим подробнее каждое из подключений, и тогда все станет понятно.

• Порт «ether1-gateway» – это, можно сказать, основной порт для подключения к интернету. Однако Микротику можно назначить любой другой подобный порт или даже несколько.
• Порт «ether2-master-local» – это основной локальный порт.
• Порты «ether(3-4)-slave-local» – это второстепенные локальные порты.
• Порт «wlan1» – это беспроводная локальная сеть.
• Как можно заметить, пропущен первый пункт «bridge-local» – это виртуальный мост, который объединяет локальные порты (ether2-4) и беспроводную сеть (wlan1).

Мы изучили интерфейсы. Каждый роутер является шлюзом, общающимся с внешней глобальной (интернет) и внутренней (локальной) сетями. Для этого используется технология NAT (Network Address Translation). Она позволяет обмениваться данными между глобальной и локальной сетями. Например, компьютер в локальной сети отправляет запрос серверу в интернете. Однако возникает проблема: компьютер имеет локальный адрес.

Роутер принимает запрос и отправляет его серверу, заменяя локальный IP-адрес на внешний. Когда ответ приходит, роутер отправляет его обратно на компьютер, отправивший запрос. Именно NAT отвечает за переадресацию портов.

NAT и настройка

Обратитесь к категории «IP», а затем перейдите в раздел «Firewall».

Переходим на вкладку NAT перенаправления и обнаруживаем, что одно из правил уже присутствует. Это правило называется «маскарад», что в переводе означает «маскарад» – это та же самая функция, о которой я только что рассказывал. Оно необходимо для обеспечения связи всех локальных устройств с интернетом. «Маскарад» – это когда маршрутизатор использует внешний IP адрес для запросов от локального устройства, чтобы получить ответ от внешних серверов.

Мы должны установить другое правило, которое позволит нам получать доступ к локальной машине при запросе на порт. Теперь рассмотрим необходимые параметры:

• Chain – это направление потока и доступа. Нам необходимо установить параметр «dstnat», который позволяет получить доступ к устройству из глобальной сети в локальной. Следовательно, второй параметр «srcnat» позволяет получить доступ из локальной сети в глобальную.
• Protocol – здесь вы должны указать используемый протокол для доступа к компьютеру.
• Interface – здесь указывается интернет-интерфейс, через который вы подключены к глобальной сети. Я уже упоминал о этом порте в начале.
• Out.Interface – это тот самый интерфейс, к которому подключен устройство. Мы будем делать проброс именно на него. Можно указать этот параметр, если машина подключена к одному из локальных портов, но это необязательно.
• Port – это порт, который будет использоваться для переадресации. Также есть «Src. Port» – это порт, используемый машиной, с которой будет осуществляться запрос на локальное устройство. Указывать его не обязательно.

Мы завершили работу на первой вкладке. Теперь перейдем на четвертую вкладку и изучим раздел, где необходимо установить определенное правило.

• accept — стандартный прием данных, ничего особенного.
• add-dst-to-address-list — указанный адрес будет добавлен в основной список IP.
• add-src-to-address-list — аналогично, но для исходящего трафика при наличии параметра «srcnat».
• dst-nat — здесь пакеты будут перенаправляться из интернета на соответствующую машину.
• jump — редко используемое правило, позволяющее назначить правило для входящего трафика (srcnat) для одной цепочки исходящего трафика (dstnat). Поэтому оно и называется «Прыжок».
• log — запись запросов из интернета или локальной сети в логи, без выполнения каких-либо действий.
• О маскараде мы уже говорили.
• Netmap используется для доступа к внутренней машине. При запросе адрес роутера заменяется на адрес локального аппарата.
• Passthrough также редко используется, обычно для записи статистических данных о запросах и доступах.
• Redirect при запросе на выделенный порт, роутер будет перенаправлять данные на другой порт. Иногда нужно для создания мультипортового запроса.
• Return когда запрос приходит на порт, то он возвращает его обратно.
• Same создание одинаковой группы правил для нескольких портов и устройств.
• Src-nat то же самое как и dst-nat, только данные идут в обратную сторону.

Некоторые показатели очень похожи в своей работе. Давайте приведу конкретный пример для ясности. У нас есть автомобиль, на котором установлен Torrent. Мы будем пробрасывать конкретный порт для этой программы. Поэтому во вкладке «Общие» я указал порт 51413 в строке «Порт назначения». В моем случае лучше всего использовать «netmap». Конечно, можно установить и «dst-nat», но такое правило будет работать примерно так же.

У вас могут быть совершенно другие порты (80, 8080, 3389 и т.д.). Очень часто приходится открывать порты для видеонаблюдения или для установки домашнего сервера.

Вам следует указать IP адрес устройства и порт, с которого будет происходить перенаправление. Я настоятельно рекомендую , чтобы не забыть его позже. После этого дважды нажмите «ОК» и наслаждайтесь — правило создано!

ВАЖНО! Если у вас не работает перенаправление портов, убедитесь, что на конечном ПК настроен Firewall, если таковой имеется. Также убедитесь, что вы указали правильный интерфейс в Микротик.