- Проброс портов в NAT Mikrotik на примере RDP
- Схема сети и описание сценария проброса портов
- Проброс порта mikrotik в графическом интерфейсе программы Winbox
- Проброс порта mikrotik в терминале
- Перенаправление запросов (проброс портов) на Mikrotik
- Настройка проброса
- Примеры пробросов
- RDP (удаленный рабочий стол)
- WWW (80 или веб-сервер или http)
- HTTPS
- FTP
- Видеонаблюдение
- Почтовая система Zimbra
- NAT Loopback (nat reflection)
Проброс портов в NAT Mikrotik на примере RDP
Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.
Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.
Схема сети и описание сценария проброса портов
Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.
Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.
Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.
Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download .
Для проброса портов в Mikrotik необходимо:
- Запустить программу Winbox;
- Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
- В меню программы перейти IP > Firewall > вкладка NAT;
- Нажать кнопку [+];
- Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: , In inteface: ;
- Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: , To Port: .
Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.
Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.
Проброс порта mikrotik в графическом интерфейсе программы Winbox
Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.
1. Путь к настройкам NAT в Mikrotik:
Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.
2. Настройки вкладки General NAT:
На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.
В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:
- Chain: dstnat
- Protocol: 6(tcp)
- Dst. Port: 3389
- In. Interface: ether1 (интерфейс, подключенный к интернету)
Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.
Пояснение к параметрам вкладки General, при создании правила NAT:
- Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
- Src. Address: ip-адрес источника (source) пакета;
- Dst. Address: ip-адрес назначения (destination) пакета;
- Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
- Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
- Dst. port: порт, на который адресован пакет источника;
- Any port: означает, что указанный номер порта может быть как источником так и назначением;
- In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
- Out. Interface: интерфейс, на который ушел пакет.
3. Настройки вкладки Action NAT:
После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.
Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.
- Action: dst-nat
- To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
- To Port: 3389 (порт локального хоста, но который перенапряются пакеты)
Пояснение к параметрам вкладки Action, при создании правила NAT:
- Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
- To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
- To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).
Проброс порта mikrotik в терминале
Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.
add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-GW action=d st-nat to-addresses=192.168.0.20 to-ports=3389
Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik . Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Перенаправление запросов (проброс портов) на Mikrotik
Обновлено: 20.04.2023 Опубликовано: 20.06.2017
Инструкция описывает процесс настройки перенаправления сетевых запросов с внешнего подключения на компьютеры в локальной сети.
Настройка проброса
Переходим по разделам IP — Firewall — NAT — Add New: Далее настройка выполняется в зависимости от того, какой сервис нужно опубликовать.
Примеры пробросов
RDP (удаленный рабочий стол)
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — rdp;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
* если данная настройка не сработает, меняем протокол на tcp и задаем порт RDP — по умолчанию, 3389.
WWW (80 или веб-сервер или http)
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 80;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
HTTPS
Настройка та же, что для 80 порта, но в место 80 пишем 443.
FTP
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 20,21;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
Видеонаблюдение
Системы видеонаблюдения могут работать на различных портах, поэтому первым делом обращаемся к инструкции системы, с которой необходимо работать.
В данном примере рассмотрим проброс RTSP.
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — udp;
- Dst. Port — 554;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
* RTSP работает по протоколам TCP и UDP. В данном примере правило настроено для последнего.
Почтовая система Zimbra
Для нормальной работы почтовой системы необходимо пробросить следующие порты:
- 25 — основной порт для обмена почтой по протоколу SMTP.
- 80 — веб-интерфейс для чтения почты (http).
- 110 — POP3 для загрузки почты.
- 143 — IMAP для работы с почтовым ящиком с помощью клиента.
- 443 — SSL веб-интерфейс для чтения почты (https).
- 465 — безопасный SMTP для отправки почты с почтового клиента.
- 587 — SMTP для отправки почты с почтового клиента (submission).
- 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
- 995 — SSL POP3 для загрузки почты.
- 5222 — для подключения к Zimbra по протоколу XMPP.
- 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
- 7071 — для защищенного доступа к администраторской консоли.
- 8443 — SSL веб-интерфейс для чтения почты (https).
- 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
- 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
- 7110 — POP3 для загрузки почты.
- 7995 — SSL POP3 для загрузки почты.
- 9071 — для защищенного подключения к администраторской консоли.
Важно отметить, что не все перечисленные порты понадобятся именно вам. Если мы не планируем использовать POP3, то и соответствующие порты для него пробрасывать не нужно.
Сама настройка на микротике будет такой:
- Chain — dstnat;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
NAT Loopback (nat reflection)
Проброс не будет работать для внутренней сети, если исходящий внешний IP совпадает с тем, на котором опубликован сервис. Предположим, что у нас внешний адрес 95.161.166.156 и мы хотим пробросить порты 80 и 443. Все попытки к нему подключиться из внутренней сети будут заканчиваться ошибкой Connection Timeout.
Для решения задачи публикации сервиса клиентам внутренней сети есть два классическим способа:
1. Разделять ответы DNS таким образом, чтобы внутренние пользователи получали внутренний адрес, а внешние — внешний. Полезные материалы на эту тему — Настройка Split DNS на одном сервере Bind и Установка и примеры настройки Dnsmasq.
2. Использовать специальные правила при создании пробросов, которые отделяли бы внутренние запросы от внешних. Это может называться NAT Loopback или NAT Reflection.
В рамках нашей инструкции мы рассмотрим второй метод. Нам нужно создать два правила: первое — для проброса из внутренней подсети на внутренний адрес; второе — маскарадинг.
- Chain — dstnat;
- Src. Address — внутренняя подсеть;
- Dst. Address — внешний IP-адрес;
- Protocol — tcp;
- Dst. Port — 80,443;
- Action — dst-nat;
- To Address — IP-адрес сервера, на который должно идти перенаправление.
- Chain — srcnat;
- Src. Address — внутренняя подсеть;
- Dst. Address — IP-адрес сервера, на который должно идти перенаправление;
- Protocol — tcp;
- Dst. Port — 80,443;
- Action — masquerade;