45 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Mikrotik: проброс портов для видеорегистратора на Микротик

Содержание

Проброс портов на MikroTik

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

  • организации игрового сервера на домашнем компьютере,
  • организации пиринговых (одноранговых) сетей,
  • для доступа к IP-камере из интернета,
  • корректной работы торрентов,
  • работы WEB и FTP-серверов.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

  • Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
  • Src. AddressDst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
  • Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
  • Src. Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
  • Dst. Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
  • Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
  • In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
  • Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

  • accept — просто принимает данные;
  • add-dst-to-address-list — адрес назначения добавляется в список адресов;
  • add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
  • dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
  • jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat ;
  • log — просто записывает информацию о данных в лог;
  • masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
  • netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat ;
  • passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
  • redirect — данные перенаправляются на другой порт этого же роутера;
  • return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
  • same — редко используемая настройка один и тех же правил для группы адресов;
  • src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

  • 80/tcp — WEB сервер,
  • 22/tcp — SSH,
  • 1433/tcp — MS SQL Server,
  • 161/udp — snmp,
  • 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

Проброс портов на маршрутизаторе Микротик, проброс диапазона портов.

Для чего это нужно?

По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к

  • Удаленному рабочему столу по rdp
  • К локальному ftp или web серверу
  • Для доступа к ip камере
  • для доступа к видеорегистратору
  • Доступ к другим ресурсам, находящимся внутри сети.

Настройка проброса одного порта

Для начала подключитесь к Mikrotik через winbox. Затем перейдите на вкладку IP-Firewall-NAT

Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.

Chain-канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat

Src. Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов

Dst. Address— адрес назначения (всегда ip маршрутизатора).

Protocol Обязательное поле, указываем протокол работы, http, udp и т.д.

Src.Port Порт источника с которого идет запрос, для нас это не важно

Dst.Port обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.

Any.Port объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.

In.Interface интерфейс на котором настроен внешний ip адрес Микротика

Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно

Более тонкие настройки, которые редко используются

In.Interface List, Out. Interface List принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface

Packet Mark, Connection Mark, Routing Mark Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.

Connection Type Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.

Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание

Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.

После заполнения всех необходимых полей переходим на вкладку Action.

Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.

To Address – ip локального компьютера на который идет проброс

To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять

После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.

Проброс диапазона портов

Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.

В этом случае будут приниматься пакеты из диапазона 3389-3391

Можно использовать оператор отрицания

Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536

Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.

нажимаем на плюс добавить правило. И заполняем необходимые поля

Chain – цепочка, может принимать следующие параметры

PREROUTING — Маркирует пакет до принятия решения о маршрутизации.

INPUT — Маркирует пакет, предназначенный самому хосту.

FORWARD — Маркирует транзитные пакеты.

OUTPUT — Маркирует пакеты, исходящие от самого хоста.

POSTROUTING — Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.

Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting

Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.

Затем переходим на вкладку Action

Action ставим маркировку пакетов, mark packet

New Packet Mark – название маркировки, вводим удобное имя.

После чего нажимаем кнопку «ОК»

Теперь переходим во вкладку NAT и добавляем новое правило

Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action

Указываем действие netmap или dst-nat

To Adresses ip локального компьютера

Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.

Проброс всех портов и всех протоколов на локальный ip

Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.

Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке

Выбираем только канал dstnat, после чего переходим на вкладку Action

Здесь Action ставим netmap и указываем адрес назначения

Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Mikrotik: проброс портов для видеорегистратора на Микротик

Роутеры MikroTik — одни из самых распространенных «продвинутых» маршрутизаторов в России.

Поэтому мы сделали инструкцию по «пробросу» портов для MikroTik. Такая настройка необходима для обеспечения удаленного доступа к устройствам, находящихся в сети под управлением Микротик.

При помощи MikroTik можно организовать доступ к регистраторам и IP-камерам в локальной сети без использования облачного сервиса.

— нужен внешний статический «белый» IP адрес;

— ­статический адрес регистратора в локальной сети;

— мы подразумеваем, что Интернет подключение уже настроено.

Для проброса портов, необходимо зайти на маршрутизатор с правами администратора.

Необходимо создать правило проброса портов. Под «правилом» подразумевается некую совокупность настроек, которые можно ввести текстом в терминале или в графическом интерфейсе WinBox.

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=34567,80 in-interface=ether1-WAN
protocol=tcp to-addresses=192.168.1.9

ether-WAN — внешний интерфейс,
ether-LAN — интерфейс локальной сети,
192.168.1.9 — стандартный IP-адрес видеорегистратора.

Если нужно пробросить больше портов или использовать нестандартные порты, в таком случае потребуется два правила и потребуется заполнить поле «To Ports» на вкладке Action. В поле «To Ports» необходимо вписывать порт назначения (на видеорегистраторе).

Если вы хотите подключаться по внешним портам из локальной сети, в таком случае потребуется статический (не изменяющийся со временем) внешний IP адрес.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=12.34.56.78 dst-port=34567,80
protocol=tcp to-addresses=192.168.1.9

— где 12.34.56.78 ваш внешний IP адрес.

А также потребуется составить дополнительное NAT правило для доступа к локальным ресурсам по внешним портам.

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.1.0/24 src-address=
192.168.1.0/24

— где 192.168.1.0/24 подсеть регистратора.

Также правило необходимо будет вписать дополнительное правило для всех подсетей в пределах этого маршрутизатора, откуда потребуется доступ к регистратору по внешнему IP.

В конечном итоге должно получиться следующее:

Как пробросить порты на видеорегистратор?

Когда необходимо сделать доступ к видеорегистратору из интернета, чтобы можно было подключаться к нему с мобильных устройств или через ПК/ноутбук то необходимо пробросить определенные порты на видеорегистратор. В моём случае я привожу пример с видеорегистратором Rvi, но данная инструкция подойдёт для любого видеорегистратора. Нужно только посмореть в документации по каким сетевым портам работает видеорегистратор.

В данном посту я привожу пример настройку проброса портов на роутере Mikrotik. Сетевые порты видеорегистратора Rvi TCP 37777 и UDP 37778, поэтому их мы и будем пробрасывать.

Запускаем Winbox, вводим ip адрес, логин и пароль. Далее нажимаем IP-Firewall и выбираем вкладку NAT. Для пробраса портов нажимаем плюс выбираем в Chain — dstnat, protocol — tcp, Dst. port — 37777

Переходим в закладку Action и в action выбираем netmap(зеркалирование портов ну или по простому проброс) и указываем ip адрес видеорегистратора, например 192.168.89.250 и порт 37777. Нажимаем Ок. И для проброса порта UDP 37778 делаем аналогично, protocol — UPD, Dst. port — 37778.

Всё теперь у нас работает проброс. В скором времени добавлю как делать пробросы на роутерах других производителей.

15 Мая 2017

Интересно почитать

Как пробросить порты на видеорегистратор?

Описание проброса портов на видеорегистратор Rvi с помощью роутера Asus.

А можно ли сделать ip видеонаблюдение полностью беспроводное? Даже монитор подключить к видеорегистратору по воздуху?

Как-то была задача и из-за невозможности проведения монтажа кабелей было решено построить систему видеонаблюдения полностью беспроводную. Удалось это сделать, но было не просто.

Камера стала показывать черно-белое изображение(пропал цвет)

Краткое пояснение — что делать, если одна из камер в дневное время суток стала показывать черно-белое видео.

Как настроить?

Всё о Интернете, сетях, компьютерах, Windows, iOS и Android

Mikrotik: проброс портов для видеорегистратора на Микротик

Проброс портов на роутере Mikrotik требуется в тех случаях, когда необходимо настроить прямой доступ к компьютеру или устройству, находящемуся в его локальной сети. Яркий пример — игровой сервер или видеорегистратор системы видеонаблюдения. Несмотря на то, что интерфейс настройки у операционной системы Routerboard, которая используется на Микротике, немного сложноват для новичков — если под рукой хорошая инструкция, то всё делается за несколько минут.

Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP->Firewall:

Дальше откройте вкладку NAT и нажмите на кнопку «+».

Появится окно создания нового правила НАТ:

В списке Chain надо выбрать правило dsnat, которое отвечает за входящий трафик. В списке Protocol выбираем протокол, который нам нужен — как правило это TCP или UDP. в поле Dst.Port надо ввести номер открываемого порта.

Далее, чтобы проброс порта на Микротике работал, надо открыть вкладку Action.

В списке Action выбираем значение dst-nat или netmap, что по сути почти одно и то же. Остаётся только прописать IP компьютера или видеорегистратора, для которого хотим пробросить порт, в поле «To Address», ну и сам номер порта в поле «To Ports». Если нужно пробросить несколько портов, то указывать надо сразу диапазоном. Нажимаем кнопку «ОК».

Теперь можно проверять доступность порта из Интернета. Только не забудьте, что этот порт должен быть активен в момент проверки. То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру.

Как открыть порт на Микротике через консоль

Для фанатов работы с маршрутизатором через консоль я расскажу как настроить проброс порта на Mikrotik через его командную консоль. Для этого достаточно создать всего два правила.
Первое правило:

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443

Этой командой мы создаём правило на входящие соединение через TCP-порт 443 на IP-адрес 192.168.1.10.
Второе правило:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=Eth5-LAN-Master action=masquerade

Здесь мы указываем что этот трафик всё будет проходить через Мастер-порт, которым является Eth5.
Вот и всё — можно проверять доступность открытого порта из внешней сети.

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка PPTP клиента на Mikrotik

Мониторим MikroTik с помощью Zabbix по SNMP

Оптимизация WiFi на базе Mikrotik в SOHO

Настройка VLAN в Mikrotik

Yealink SIP-T40P

Как пробросить порт на роутере Mikrotik

Попасть в LAN «извне»

3 минуты чтения

Зачастую можно столкнуться с задачами, когда необходимо обеспечить доступ к внутренним корпоративным (или домашним) ресурсам из Интернета. В этом случае, нужно выполнить, так называемый «проброс портов». Что это такое, зачем это нужно и как настраивать на примере роутера Mikrotik 951Ui-2HnD – расскажем в данной статье.

Как это работает?

Давайте представим себе следующую ситуацию – у нас есть корпоративная сеть, в которой пока ещё локально разворачивается сервер IP-телефонии на базе Asterisk, управляется он при помощи графической оболочки FreePBX. Задача состоит в том, чтобы предоставить возможность администратору сервера управлять им из Интернета.

Итак, имеем следующую схему:

Для начала остановимся на понятии “проброс порта”. Проброс порта – это функционал маршрутизаторов, поддерживающих NAT, который позволяет получить доступ к ресурсам локальной сети, из Интернета по средствам перенаправления трафика определенных портов с внешнего адреса маршрутизатора на внутренний адрес хоста в локальной сети.

Иными словами, мы должны настроить на роутере правило, в котором при поступлении TCP запроса на внешний адрес, в данном случае 35.135.235.15 и определенный порт, например 23535, открывался бы доступ к интерфейсу FreePBX, который в данным момент доступен только в локальной сети по адресу 192.168.1.100 и, соответственно на порту 80 (HTTP).

Настройка

Перейдём к настройке. Заходим на адрес нашего роутера Mikrotik 951Ui-2HnD, видим следующее окно:

Скачиваем приложение WinBox. Вводим учётные данные и подключаемся. По умолчанию логин — admin, пароль — пустой. Если у вас уже настроены логин и пароль, то укажите их.

Далее необходимо создать NAT – правило. Для этого переходим по следующему пути – на панели управления слева выбираем IPFirewallNAT

Открывается следующее окно:

Нажимаем на +, открывается страница добавления нового NAT- правила.

Задаём следующие параметры:

  • Chaindstnat — направление запроса из внешней сети во внутреннюю.
  • Protocoltcp, поскольку в нашем случае нужно предоставить доступ к HTTP страничке.
  • Dst.Port23535 — это тот самый порт назначения, на который будет отправлять запрос из вне на получение доступа к FreePBX.
  • In.Interfaceall ethernet — входной интерфейс. Это интерфейс, которым роутер смотрит в Интернет и на котором он будет прослушивать указанный выше порт.

Должно получиться вот так:

На вкладках Advanced и Extra настраиваются расширенные опции, такие как лимит по битрейту, политика IPsec, время, в течение которого правило будет активно и так далее.

Переходим на вкладку Action и объясняем роутеру, какие действия он должен выполнить при поступлении запроса на указанный порт. Выбираем Actionnetmap, то есть трансляция с одного адреса на другой. To Addresses192.168.1.100, то есть адрес нашёго FreePBX. И последнее — To Ports80, то есть запрос на HTTP порт.

Должно получиться так:

Далее нажимаем OK и правило готово. Теперь если вбить в адресной строке браузера сокет 35.135.235.15:23535 то мы попадем на страницу авторизации FreePBX.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

😪 Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

😍 Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Читать еще:  Взлом WiFi роутера — как защититься?!

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector
×
×