Проброс портов в MikroTik по шагам для начинающих

Всем привет! Сегодня мы поговорим о пробросе портов в роутере Mikrotik. Устройство достаточно сложное в настройке, поэтому напишу максимально понятно и подробно, чтобы даже начинающий пользователь не смог найти хоть какие-то трудности. Я буду использовать пример обычного устройства, хотя прошивка для них у всех примерно одинаковая.

Подключение

Для начала нам нужно зайти в настройки роутера. Сделать это можно с помощью веб-интерфейса, но лучше воспользоваться программой WinBox, которую можно бесплатно скачать с официального сайта.

После установки и запуска перейдите на вкладку «Соседи» и нажмите кнопку «Обновить» чуть ниже. Далее в списке вы увидите свое устройство: выберите его, введите в качестве логина «admin» и нажмите «Подключить».

Знакомство с интерфейсами

Прежде чем рассказать о том, как открыть порт на микротике, небольшое отступление для новичков. Сначала мы должны увидеть, какие интерфейсы у нас есть. Для этого перейдите в «Интерфейсы».

Какие есть интерфейсы в микротике? По сути, это некие каналы связи самого устройства с другими устройствами в локальной сети, а также с интернетом. Ведь роутер в нашем случае является еще и шлюзом. Теперь давайте подробнее рассмотрим каждое из соединений, и вы все поймете.

• «ether1-gateway»: Можно сказать, что по умолчанию этот порт предназначен для подключения к Интернету. Но на самом деле Микротику можно назначить любой из этих портов или даже несколько.
• «ether2-master-local» — главный локальный порт.
• «ether(3-4)-slave-local» — второстепенные локальные порты.
• «wlan1» — это беспроводная локальная сеть.
• Как вы заметили, я пропустил первый пункт «мост-локальный» — это виртуальный мост, объединяющий локальные порты (ether2-4) и сеть Wi-Fi (wlan1).

Мы разобрались с интерфейсами. Поскольку любой маршрутизатор является шлюзом и общается как с внешней глобальной (интернет-сетью), так и с внутренней (локальной), для этого существует технология NAT (Network Address Translation). Как это работает? По сути, он позволяет обмениваться данными между глобальной и локальной сетями. Например, один из компьютеров делает интернет-запрос на сервер. Но тут возникает проблема: компьютер находится в локальной сети и имеет локальный адрес.

Роутер принимает этот запрос и, отправляя запрос на сервер, подменяет локальный IP-адрес на свой внешний. Когда приходит ответ, маршрутизатор уже отправляет ответ именно тому компьютеру, который его отправил. Именно NAT отвечает за переадресацию портов.

NAT и настройка

Найдите основной раздел «IP», затем перейдите в «Брандмауэр».

Заходим на нужную нам вкладку NAT redirection и видим, что одно из правил уже есть. Это правило называется «маскарад», что в переводе означает «маскарад»; это то самое правило, о котором я только что говорил. Это необходимо для связи всех локальных устройств с Интернетом. «Маскарад» — роутер как бы надевает маску в виде внешнего IP-адреса для получения внешними серверами ответа на запрос от локального устройства.

Нам нужно создать еще одно правило, по которому мы будем получать доступ к локальной машине при запросе порта. Теперь нужные нам параметры:

• Цепочка — это, по сути, адрес потока и доступа. Нам нужно настроить параметр «dstnat», дающий доступ к устройству из глобальной в локальную сеть. Следовательно, второй параметр «srcnat» — это доступ из локальной сети в глобальную.
• Протокол — здесь нужно указать именно протокол, по которому вы будете обращаться к компьютеру.
• Интерфейс: указывает интернет-интерфейс, через который вы подключены к глобальной сети. Я говорил об этом порте в начале.
• За пределами. Интерфейс — Но это именно тот интерфейс, к которому подключено устройство. Мы сделаем resend об этом. Можно конечно указать этот параметр, если машина подключена к одному из локальных портов, но ничего указывать нельзя.
• Порт — порт, используемый для переадресации. Еще есть «Src.Port» это, наоборот, порт, используемый машиной, с которой она будет делать запрос к локальному устройству. Нет необходимости настраивать его.

На первой вкладке мы закончили. Теперь перейдите на четвертую вкладку и откройте раздел, где нужно установить определенное правило.

• accept — нормальный прием данных, ничего особенного.
• add-dst-to-address-list — указанный нами адрес будет добавлен в основной список IP.
• add-src-to-address-list — все то же самое, только для исходящей переадресации с установленным параметром «srcnat».
• dst-nat: Здесь пакеты будут, грубо говоря, пересылаться из Интернета на соответствующую машину.
• прыжок — используется редко. Суть в том, что вы можете назначить правило для входящего трафика (srcnat) на цепочку исходящего трафика (dstnat). Именно поэтому он так и называется: «Прыжок».
• log — ничего не происходит, а при запросе из инета или наоборот из локальной сети пишем запрос в логи.
• маскарад: мы уже говорили об этом.
• netmap — используется только для доступа к внутренней машине. По запросу адрес маршрутизатора заменяется локальным адресом устройства.
• passthrough — также используется нечасто и обычно для записи статистики о запросах и доступах.
• перенаправление: при запросе выделенного порта маршрутизатор перенаправит данные на другой порт. Иногда необходимо создать многопортовый запрос.
• return: когда запрос приходит на порт, он возвращает его.
• тот же — создает одинаковый набор правил для нескольких портов и устройств.
• src-nat — это то же самое, что и dst-nat, только данные идут в обратном направлении.

Некоторые параметры очень похожи в работе. Для наглядности приведу конкретный пример. У нас есть машина с Torrent. Поэтому мы пробросим конкретный порт для этой программы. Поэтому во вкладке «Общие» в строке «Dst Port» я указал порт 51413. Поэтому в моем случае актуально использовать «netmap». Можно конечно установить «dst-nat», такое правило будет работать так же.

У вас могут быть совершенно разные порты (80, 8080, 3389 и т.д.). Очень часто необходимо открыть порты наружу для видеонаблюдения или установить домашний сервер.

Далее вам нужно будет указать IP устройства и порт, с которого будет осуществляться переадресация. Настоятельно рекомендую вам также написать комментарий, чтобы потом не забыть его. Теперь дважды нажмите «ОК» и радуйтесь — правило создано!

ПРИМЕЧАНИЕ! Если переадресация портов у вас не работает, также проверьте настройки брандмауэра на целевом ПК, если они есть. Также убедитесь, что вы указали правильный интерфейс в Mikrotik.