Проброс rdp через 2 роутера

Проброс портов в NAT Mikrotik на примере RDP

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.

Схема сети и описание сценария проброса портов

Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

схема проброса порта в NAT mikrotik

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download .

Для проброса портов в Mikrotik необходимо:

  • Запустить программу Winbox;
  • Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
  • В меню программы перейти IP > Firewall > вкладка NAT;
  • Нажать кнопку [+];
  • Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: , In inteface: ;
  • Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: , To Port: .

Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Проброс порта mikrotik в графическом интерфейсе программы Winbox

Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.

1. Путь к настройкам NAT в Mikrotik:

Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.

путь к настройкам nat в mikrotik winbox

2. Настройки вкладки General NAT:

На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.

В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:

  • Chain: dstnat
  • Protocol: 6(tcp)
  • Dst. Port: 3389
  • In. Interface: ether1 (интерфейс, подключенный к интернету)

Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.

настройки general для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки General, при создании правила NAT:

  • Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
  • Src. Address: ip-адрес источника (source) пакета;
  • Dst. Address: ip-адрес назначения (destination) пакета;
  • Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
  • Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
  • Dst. port: порт, на который адресован пакет источника;
  • Any port: означает, что указанный номер порта может быть как источником так и назначением;
  • In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
  • Out. Interface: интерфейс, на который ушел пакет.

3. Настройки вкладки Action NAT:

После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.

Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.

  • Action: dst-nat
  • To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
  • To Port: 3389 (порт локального хоста, но который перенапряются пакеты)

настройки Action NAT для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки Action, при создании правила NAT:

  • Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
  • To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
  • To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).

Проброс порта mikrotik в терминале

Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.

add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-GW action=d st-nat to-addresses=192.168.0.20 to-ports=3389

Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Источник

Как сделать удаленный доступ к компьютеру за 2 роутерами на 1 ip-адресе?

Здравствуйте! Есть офис, в нем проведен проводной интернет, куплен белый ip-адрес 5.5.5.5. Стоит основной роутер mikrotik с локальным адресом 10.100.100.1 для компании №1. Появилась необходимость организовать доступ в интернет через этот же канал(других вариантов нет) к сожалению, но другой компании №2.
На основном микротике поднят DHCP и впн сервер для доступа к локальной сети 10.100.100.1/24 извне. Микротик №2 подключен к миротику №1, получает от него интернет, у него локальный адрес 10.100.200.1. На Микротик №2 поднят DHCP, и к нему подключен сервер №2 с адресом 10.100.200.200.

Как удаленно подключиться к 10.100.200.200 например по RDP?

5fc531732229b925825857.jpeg

Нужно создать правило на Микротик №1 с пробросом порта, а на микротик №2 пробрасывать порт с этого же правила на микротике №1? То есть, к примеру подключаюсь к 5.5.5.5:7788 извне, на микротик №1 проброс порта 7788 на адрес 10.100.200.1 микротик №2 на этот же порт 7788, а на микротик №2 пробрасываем порт 7788 уже на 3389 по адресу 10.100.200.200?

Да, все верно двойной проброс портов если у вас сеть за вторым микротиком натится. Если на втором микротике ната нет, то проброс портов делается только на первом.

Войдите, чтобы написать ответ

Как пробросить трафик из под сети VPN на RouterOS?

Источник

Проброс rdp через 2 роутера

Виртуальный сервер через два роутера

Здравствуйте!
Подскажите, как можно пробросить доступ к серверу по rdp, подключенного через два роутера (если в деталях, то стоят DI-524 и DIR-620)?
Так уж повелось, что одна локалка выходит в инет через другую через два роутера, пока был нужен только доступ в инет, проблем не было. Но тут понадобилось дать доступ снаружи к одному из компов, находящемуся как раз в дальней сети. Настроил на двух роутерах «виртуальный сервер», но из инета могу попасть только на компы из первой локалки, а во вторую локалку — никак, ни из инета, ни из первой локалки. поменял местами роутеры, всё перенастроил — ситуация та же.
Подскажите, как лучше поступить, уже возникла мысль, настроить vlan-ы на 620-м, вроде в новой прошивке они появились, и оставить всё с одним роутером, а второй только как свитч использовать, но не ясен принцип, почему через два роутера порты не пробрасываются?

Настройки такие:
1-й роутер:
LAN: ip=192.168.0.1
Виртуальный сервер: внешн. порт=53389, внутр. порт.=3389, внутр. ip=192.168.0.50

2-й роутер:
WAN: 192.168.0.50
LAN: 192.168.1.1
Виртуальный сервер: внешн. порт=3389, внутр. порт.=3389, внутр. ip=192.168.1.50

Здравствуйте. Что за ревизия 620го и какая на нем прошивка? Шлюзом на конечном компьютере стоит 192.168.1.1? Откуда проверяете?

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

Источник

Mikrotik ПРоброс порта, через 2 микротика, pptp настроен! не вижe RDP Серверов

Здравствуйте Уважаемые форумчане, вопрос следующео плана:
Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им — с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться. но Удаленный рабочий стол, меня послал подальше . почемуто . помогите кто чем может! Спасибо

Хочу светить, только второго роутера белым айпишником, что б о первом никто не знал! что за ним есть какие сервера и службы!
Проброс делаю на белый айпи второго микротика, порт 887799 а принимаю на на первом микротике на порт 3389 . мне нужен удаленный рабочий стол!

Есть 2 белый айпи на микротиках! Связал микротики тунелем!
Сделал проброс порта на первый микротик, мне нужен за ним стоящий сервер с удаленным рабочим столом! — всё заработало,
Теперь надо сделать так же, но через белый айпи второго микротика!

(4) Если у тебя роутер2 связан тунелем с роутером1, подключение происходит к роутеру2, то что бы все работало нужно:
1) Роутер2 должен знать маршрут к сети с RDP сервером.
2) RDP сервер должен знать маршрут к Роутеру2.
3) Ну роутере2 должен быть настроен проброс порта 3389 на RDP сервер.

(5) Можно конечно тупо (через попу) сделать 2 проброса (роутер2->роутер1->RDP сервер), но на любителя изврат.

(5) Они пингуют друг друга! свои подсети точнее . это укладывается в определение Знать маршрут к сети?

(7) Если они пингуют друг-друга то нахрена проброс портов?
Проброс портов нужен для доступа к устройствам за NAТ.
Где тут у вас NAT? Если нет NAT значит нет и проброса портов, ибо через что пробрасывать?

(12) Конечно понятнее, только почему об этом в (0) ни слова, а вместо этого куча не нужной информации про PPTP тоннели.

https://www.youtube.com/user/mikrotikvideo тут смотрел? может приоритеты нарушены? И подсети разные или одинаковые?

Тогда не понятно вот это —
«Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться. но»

Проброс порта делают как раз потому что пинговать не возможно, ибо идет трансляция адресов.

Если пингуется то никакого проброса портов не нужно.

192.168.8.1 трасерт с него на 192.168.9.1

192.168.9.11 — тунель
192.168.9.1 — назначение

(15) Опишите лучше схематично структуру сети, с указанием ip адресов.
А то на словах боюсь долго вы так будете выяснять.

Источник

Читайте также:  Настройка роутера tp link смайл
Оцените статью
Adblock
detector