0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как открыть порт на Микротике через консоль

Содержание

Для начинающих:Проброс портов

Содержание

Что это?

Проброс портов это технология, позволяющая получать доступ к устройствам в локальной сети из-вне. Это происходит за счет правила, которое работает по условию: если пришел запрос на порт Х (входящий порт), то надо перенаправить трафик на порт Y (исходящий порт) устройства с IP-адресом Z. При этом входящий порт (X) и исходящий порт (Y) могут, как быть одинаковыми, так и различаться.

Для чего нужно?

Проброс портов используется, если надо получить доступ из-вне к терминальному или веб-серверу внутри организации, если используются пиринговые сети. Многопользовательские игры то же иногда используют эту технологию.

Настройка

Для примера мы пробросим 80 порт, он обычно нужен если вы решили разместить у себя в локальной сети веб-сервер с вашим веб-проектом.

В нашем примере: внешний порт маршрутизатора (ether5-WAN1) с адресом 10.1.100.1, внутренний адрес компьютера на котором веб-сервер 192.168.15.15.

Через графический интерфейс

Для того, чтобы пробросить порты надо в меню выбрать IP => Firewall и далее вкладку «NAT». Нажать значок + для добавления нового правила. Далее необходимо выполнить следующие настройки:

  • Вкладка General:
  1. Chain: dstnat
  2. Protocol: указать протокол 6 (tcp)
  3. Dst. Port: указать порт входящего соединения.
  4. In. Interface: выбрать интерфейс входящего соединения

Важно указывать входящий интерфейс, так как в противном случае маршрутизатор может перенаправить трафик с другого интерфейса по создаваемому нами правилу и это может привести к проблемам. Если в приведенном нами примере не указать входящий интерфейс, то в случае попытки из локальной сети открыть сайт по http:// маршрутизатор перенаправит поток на внутренний сервер с адресом 192.168.15.15.
Так же обратите внимание что для других задач, нужно будет указывать другой протокол (к примеру udp) — поэтому вы должны выяснить какие порты и с какими протоколами требуют проброса для вашей задачи (приложения).

  • Вкладка Action:
  1. Action: dst-nat
  2. To Addresses: указать адрес на который надо выполнить проброс
  3. To Ports: указать порт на который надо выполнить проброс

Через консоль

Если в качестве входящего порта надо использовать порт, отличный от оригинального. Например, из-вне надо получить доступ по порту 8080, а веб-сервер при этом работает по 80-му порту, то надо соответствующим образом изменить параметр «Destination Port». Dst. Port: в графическом интерфейсе или dst-port в консоли.

Проверка

Воспользуйтесь многочисленными веб сервисами проверки, например этим. Программа, которая должна отвечать по запрашиваемому порту должна быть активна, чтобы при проверке порт виделся как «открытый». Например, порт для веб-сервера на самом деле открыт, но если веб-сервер не запущен, статус порта при проверке будет «закрыт».

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка PPTP клиента на Mikrotik

Мониторим MikroTik с помощью Zabbix по SNMP

Легкая настройка NTP на Mikrotik

Сброс Mikrotik к заводским настройкам

Yeastar TA2400

Командная строка Mikrotik

4 минуты чтения

Консольный доступ на Mikrotik используется для конфигурации и управления роутером с помощью терминала по telnet, SSH и т.д. Также консоль можно использовать для написания скриптов. Ниже вы найдете базовые команды, использующиеся для администрирования роутера.

Иерархия

Всего существует большое количество команд, которые разбиты на группы, отсортированные в иерархическом порядке. Это означает, что название уровня меню отображает информацию о конфигурации в соответствующем разделе — определение не очень понятное, но, после примеров все станет более прозрачным.

К примеру, введите команду ip route print для вывода таблицы маршрутизации:

Если же ввести команду ip route , то вы как бы сразу попадете в меню манипуляции конкретной ветки:

Обратите внимание, что для вывода всех возможных команд на данном уровне достаточно ввести знак ?, а для возврата на уровень выше — знак /. Если же вам нужно выполнить команду из основного уровня — добавьте слэш (/) и команду следом, к примеру ping :

Нумерация и названия сущностей

Множество команд оперирует массивами сущностей — массивами интерфейсов, маршрутов, пользователей и т.д. Для изменения свойств сущности, предварительно должна идти команда set и указано имя или номер сущности. Различие между номером и названием состоит в том, что при обращении к сущности по имени (item name) нет необходимости использовать команду print , в отличие от номера, который может быть назначен с помощью команды. Таким образом, использование “имен” в каком-то смысле более стабильно — однако все равно возможна ситуация, в которой, к примеру, несколько пользователей одновременно настраивают маршрутизатор. Ниже приведен пример изменения параметра MTU с помощью команды interface set 0 mtu=1460

Читать еще:  Почему аккумулятор телефона не заряжается мгновенно?

Автозаполнение

В RouterOS есть две фичи, которые ускоряют конфигурацию — табуляция и сокращения команд. Табуляция — автозавершение команды после нажатия на клавишу Tab и оно работает также как автозавершение в bash для LinuxUNIX систем.

Если есть только одна альтернатива — она будет автоматически предложена и будет добавлен пробел, если же альтернатив больше — команда будет выполнена частично и пробел добавлен не будет.

  • int[Tab] станет interface
  • interface set e[Tab] станет interface set ether_

Другой фичей является сокращение команд — к примеру вместо interface можно использовать int, вместо ping использовать pi и так далее

Ниже пример как выполняется команда pi 192.1 c 3 si 100 , что абсолютно аналогично команде ping 192.0.0.1 count 3 size 100

Основные команды

Некоторые команды применимы практически на всех уровнях, эти команды — print, set, remove, add, find, get, export, enable, disable, comment, move.

  • add — добавление нового элемента с указанными параметрами, некоторые из параметров перечислены далее — copy-from, place-before, disabled, comment;
  • edit — ассоциирована с командой set, как правило используется для редактирования сущностей, содержащих большое количество текста, к примеру скриптов, но также работает для любых редактируемых сущностей;
  • find — команда возвращает внутренние номера всех сущностей, которые попадают под указанный фильтр. Обладает такими же аргументами как и команда set + имеет аргументы вида flag — такие как disabled или active (другими словами, булевые переменные);
  • move — команда меняет порядок сущностей в списке;
  • print — команда выводит всю информацию доступную с текущего уровня. Типичные модификаторы — from, where, brief, detail, count-only, file, interval, oid, without-paging. К примеру команда system clock print выводит системную дату и время, ip rout print — таблицу маршрутизации;
  • remove — удаление сущности (-ей) из списка;
  • set — установка параметров, значений и так далее;

Не забывайте, что для просмотра всех возможных аргументов и модификаторов вы можете ввести знак вопроса ? после команды или дважды нажать на клавишу Tab.

Горячие клавиши

Ниже приведен список самых полезных горячих клавиш, которые могут серьезно ускорить процесс настройки оборудования, и, даже спасти ситуацию в случае ввода некорректного сетевого адреса.

  • Ctrl-C — прерывание, к примеру для остановки процесса ping;
  • Ctrl-D — разлогинивание;
  • Ctrl-K — очистить строку от курсора до конца строки;
  • Ctrl-X — включение Безопасного режима, позволяет настраивать роутер практически без риска потерять удаленный доступ. При потере доступа, все выполненные изменения будут нивелированы через примерно 10 минут;
  • Ctrl-V — включение режима Автозаполнения (HotLock), в нем все команды будут завершаться автоматически;
  • F6 — включение режима помощи, при котором внизу терминала будут показаны типичные сочетания клавиш и как они могут быть использованы;
  • F1 или ? — помощь, вывод всех возможных команд на данном уровне;
  • Tab — автозавершение команды;
  • Mikrotik CLI
  • Микротик командная строка
  • 1930

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

😪 Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

😍 Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Проброс портов в Mikrotik – инструкция по настройке

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.
Читать еще:  Как в Windows 7, 8.1 добавить в контекстное меню команды «Копировать в папку» и «Переместить в папку»?

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

  • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
  • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
  • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
  • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
  • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Как настроить?

Всё о Интернете, сетях, компьютерах, Windows, iOS и Android

Mikrotik: проброс портов для видеорегистратора на Микротик

Проброс портов на роутере Mikrotik требуется в тех случаях, когда необходимо настроить прямой доступ к компьютеру или устройству, находящемуся в его локальной сети. Яркий пример — игровой сервер или видеорегистратор системы видеонаблюдения. Несмотря на то, что интерфейс настройки у операционной системы Routerboard, которая используется на Микротике, немного сложноват для новичков — если под рукой хорошая инструкция, то всё делается за несколько минут.

Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP->Firewall:

Дальше откройте вкладку NAT и нажмите на кнопку «+».

Появится окно создания нового правила НАТ:

В списке Chain надо выбрать правило dsnat, которое отвечает за входящий трафик. В списке Protocol выбираем протокол, который нам нужен — как правило это TCP или UDP. в поле Dst.Port надо ввести номер открываемого порта.

Далее, чтобы проброс порта на Микротике работал, надо открыть вкладку Action.

В списке Action выбираем значение dst-nat или netmap, что по сути почти одно и то же. Остаётся только прописать IP компьютера или видеорегистратора, для которого хотим пробросить порт, в поле «To Address», ну и сам номер порта в поле «To Ports». Если нужно пробросить несколько портов, то указывать надо сразу диапазоном. Нажимаем кнопку «ОК».

Теперь можно проверять доступность порта из Интернета. Только не забудьте, что этот порт должен быть активен в момент проверки. То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру.

Как открыть порт на Микротике через консоль

Для фанатов работы с маршрутизатором через консоль я расскажу как настроить проброс порта на Mikrotik через его командную консоль. Для этого достаточно создать всего два правила.
Первое правило:

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443

Этой командой мы создаём правило на входящие соединение через TCP-порт 443 на IP-адрес 192.168.1.10.
Второе правило:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=Eth5-LAN-Master action=masquerade

Здесь мы указываем что этот трафик всё будет проходить через Мастер-порт, которым является Eth5.
Вот и всё — можно проверять доступность открытого порта из внешней сети.

Как открыть порт в роутере микротик?

надо бы на айпи сервера пробросить порты 7007, 3639, 8087 извне для работы с ноутбука за пределами кафе

Читать еще:  Как отменить обновление с Windows 8.1 до Windows 10 Technical Preview или как откатиться обратно с Windows 10 Technical Preview до Windows 8.1

Есть компьютер с установленноой программой R-keeper, нужно открыть порт для удаленно доступа к серверу, Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

to addresses=айп пк

в брендмауэере винды тоже открыл

но 2ip.ru пишет что зарыт, почему так ?
белый айп есть.

подскажите как правильно сделать?

Поменять пароль на роутере который подключен к Микротик
Ситуация: Есть маршрутизатор, Mikrotik rb2011uias-2hnd-in к которому подключены два Wi-Fi роутера.

Как открыть порт FTP на роутере?
Всем привет, просьба особо негативно не реагировать на моё сообщение, ну не получается у меня.

ОТКРЫТЬ ПОРТ НА РОУТЕРЕ RT-103
Хочу открыть порт, так как создал сервер в игре Counter Strike, и другие не могут зайти на него.

Открыть 88 порт для FTP в роутере
Windows 7 Professional SP1 Роутер Trendnet TEW-652BRP имеет внешний статический белый IP, а.

прописаны все порты в одном правиле. Но на скрине вроде верно.

т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

Какие правила фаервола у тебя там — я гадать на хрустальном шаре не буду.

тоесть белый айп надо было писать в to addresse, вместо айп самого компа, ПРАВИЛЬНО?
В фильтрах порты не открыл зараза((

соответственно, внешний адрес вписывается в то ПО, которое «из вне» логинится к твоему серверу внутри сети.

У тебя на МТ приходит статический адрес (какой тип подключения? DHCP? PPPoE?) Ты, правилами в фаерволе и НАТ открываешь и пробрасываешь нужные порты во внутрь своей сети на тот ПК (или устройство), на котором запущены службы/сервисы, слушающие соответствующие порты (7007, 3639, 8087)
Тебе нужно первым делом убедится, что на этом ПК порты открыты. Это можно узнать с помощью команды

Если порты открыты, то, дальше делаешь проброс портов на МТ. Как я понимаю, у тебя дефолтный конфиг фаервола, значит в конце по форварду и инпуту у тебя стоит drop. Значит, нужно выше этих запрещающих правил прописать прописать разрешение нужных портов по форварду (тебе же внутрь сети нужно пройти, а не на МТ)
Разрешающее правило, должно быть привязано к тому интерфейсу, на котором у тебя статика. (Если у тебя интернет приходит по РРРоЕ, то в in-interface должно указано быть именно РРРоЕ-интерфейс).
Далее идем в NAT и уже тут прописываешь непосредственно сам проброс. Так же указываешь in-interface, номер порта, протокол, и в to-address указываешь свой внутренний адрес ПК, на который нужно прокинуть порты.

После этого всего с любого ПК внутри сети, зайди на Проверка доступности порта и проверь свои порты на доступность — они должны быть открыты.

Соответственно, если нужно получить доступ по RDP «из вне», то на ПК «из вне», в RDP-клиенте вводишь свой внешний статический адрес. Доступ должен быть осуществлен.

Как открыть порт на Микротике через консоль

Многие знают, что через консольный порт на MikroTik можно с компьютера производить настройку оборудования. Но не все знают, что через этот же порт можно настраивать и другое оборудование, главное чтобы на том порту был такой же консольный порт. Проверено на оборудовании MikroTik, Cisco, HP/Aruba, Eltex.

На оборудовании компании MikroTik консольный порт может быть двух видов: DB9 и RJ45. На маршрутизаторах семейства CCR это обычно DB9, на коммутаторах CRS и маршрутизаторах RB, за исключением RB1100, обычно используется разъем RJ45. На платах RouterBOARD обычно DB9.

Вообще, считаю, инженеру под рукой нужно иметь два кабеля. И сделать их можно из одного консольного кабеля cisco (голубого), с одной стороны у которого DB9 с другой RJ45. Просто режете пополам, и ставите разъемы RJ45 с нужной распиновкой.

Мне чаще встречались устройства с разъемом RJ45. Поэтому речь пойдет о roll-over кабеле у которого на обоих концах RJ45. И я расскажу как через консольный порт на MikroTik подключиться к консоли любого другого оборудования с помощью такого кабеля.

roll-over — это кабель с двумя разъемами, в нашем случае RJ45, на котором один имеет обычные распиновку, а второй обратную.

Подготовительная настройка

Сначала необходимо настроить сам MikroTik, чтобы через консольный порт можно было подключиться к другому устройству.

  • Подключаемся на наш MikroTik через ssh или WinBox, запускаем Terminal
  • Проверяем есть ли у нас консольный порт и чем он занят в нашем случае он занят Serial Console.

  • Освобождаем порт
  • еще раз проверяем теперь видно что порт свободен и можно продолжить.
    По окончании не забудьте обратно включить console, в противном случае не сможете подключиться к этому устройству через консольный порт. Подробнее в конце статьи.

  • Соединяем наш Mikrotik с другим устройством с помощью roll-over кабеля через консольные порты. Есть два варианта подключения к удаленному устройству через наш MikrotTik:
  • вариант 1: Через Winbox и терминал на самом MikroTik

    1. подключаемся к удаленному устройству, в данном случае это MikroTik
    2. нажимаем Enter и. видим наш удаленный маршрутизатор.
    3. производим необходимую настройку удаленного устройства

  • чтобы отключиться нажимаем Ctrl+A и Q
  • вариант 2: Через ssh клиента используя Special Login

    Special Login – настройка на ROS позволяющая по сети подключиться к устройству подключенному к консольному порту MikroTik.

    1. Подключаемся и через Terminal настраиваем special login
    2. запускам ssh клиента и указывая ip адрес нашего MikroTik-а (того, к которому есть доступ по сети и на котором настраивали special login)
    3. авторизуемся под именем serial и нажимаем Ener

    еще раз Enter и мы уже видим приглашение удаленного устройства

    для отключения также нажимаем Ctrl+A и Q

  • После того как все сделаем, не забываем отключить special login смотрим номер пользователя serial удаляем пользователя serial
  • Завершение

    По окончании не забудьте обратно включить консольный порт на основном MikroTik-е. В противном случае не сможете не него подключиться через консоль.

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector