Mikrotik: работа с портами от А до Я

Ниша маршрутизаторов для бизнес-задач занята роутерами Mikrotik. Они встречаются не только в офисах, но и в обычных домах/квартирах. Такая популярность достигнута за счет соотношения «функциональность–цена».

В настройке роутеры Микротик не слишком простые – придется поучиться основам выставления различных конфигураций на оборудовании. Даже простые задачи могут вызвать немало вопросов. Далее предстоит разобраться с пробросом NAT портов в Mikrotik. Информация пригодится преимущественно новичкам, которые ранее не имели дел с соответствующим оборудованием.

Проброс порта – это…

Проброс (он же forwarding) – это специальная технология маршрутизатора. С ее помощью можно обращаться к узлам, находящимся за роутером путем перенаправления трафика для тех или иных портов с внешнего адреса устройства на внутренний адрес узла в локальной сети. Соответствующая опция становится возможной за счет технологий NAT.

Схема работы

Чтобы был понятен принцип работы соответствующей схемы, необходимо изучить наглядный пример. В нем будет реализован простой сценарий – когда через NAT требуется организовать подключение к удаленному рабочему столу компьютера в офисе. Через него будет настроено предоставление доступа к корпоративному веб-сайту посредством интернета.

Для этого будет использоваться схема, представленная выше. Она работает так:

1. Весь трафик, поступающий через роутер Mikrotik, проходит через firewall.
2. Происходит обработка информации согласно условиям файервола.
3. Одна из составляющих firewall NAT (Network Address Translation). Она отвечает за преобразование сетевых IP адресов (ip firewall).
4. В NAT требуется указать внутренний адрес и port, который будет перенаправлять запросы. Это необходимо для подключения к программам, а также различным сервисам в пределах внутренней локальной сети.
5. В примере запрос на ip 87.236.16.206, а также порт 3389 (это и есть удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и port 3389.

Далее предстоит изучить несколько способов проброса порта Mikrotik. Необходимо рассмотреть наиболее простые и эффективные концепции для новичков. К ним относят использование программы Winbox, а также терминала.

Краткая схема проброса

Настройка на роутере Микротик проброса NAT – это базовая операция, которая может быть реализована несколькими методами. Чтобы активировать перенаправление портов, потребуется:

1. Запустить Winbox.
2. Указать IP адрес роутера. На данном этапе требуется ввести логин и пароль.
3. Нажать на Enter.
4. Перейти в меню программы в раздел IP – Firewall – NAT;
5. Нажать на кнопку с изображением плюса («+»).
6. Указать в chain: dstnat, Protocol: 6 (tcp), Dst. Ports: (номер порта), In interface: (интерфейс, который был заранее подключен к интернету).
7. Войти во вкладку Action.
8. Установить Action: dst-nat, To address: (компьютер в пределах локальной сети), to port: (порт компьютера).

Это – краткая инструкция, при помощи которой переадресация настраивается в несколько кликов. Некоторые пытаются настраивать проброс на роутере через Netmap. Поступать так не совсем правильно. Netmap обладает совершенно другой задачей. Данное приложение используется для статического отображения одного IP диапазона адресов в другой. В основном Netmap применяется для распределения общедоступных IP хостам в частных сетях, а также для настройки взаимодействия сетей с одной и той же адресацией.

Чтобы ранее предложенная схема проброса портов Mikrotik через Winbox была более понятной, далее она будет изучена на примере графического интерфейса. Такой подход поможет не запутаться в алгоритме даже новичкам, которые раньше не имели дел с переадресацией.

Настройка графическим интерфейсом Winbox

Начинающим пользователям не всегда понятно, как работает Winbox, поэтому им при работе с нат и другими роутерными технологиями рекомендуется пользоваться графическим интерфейсом.

Перед тем как открыть Winbox, его необходимо инициализировать на устройство:

1. Перейти по этой ссылке.
2. Открыть выпадающее меню, нажав по кнопке WinBox.
3. Выбрать операционную систему (разрядность).
4. Дождаться завершения загрузки установщика.
5. Осуществить открытие «Мастера установки» приложение Winbox.
6. Следуя подсказкам на экране, завершить инициализацию программного обеспечения.

На данном этапе рекомендуется перезагрузить устройство. Это необходимо для нормальной работы нового программного обеспечения на оборудовании.

Непосредственная настройка — инструкция

Теперь, когда необходимое приложение для настройки Микротик готово, можно прокинуть (forward) NAT порты. В этом поможет графический интерфейс:

1. Подождать пока открывается Winbox, а затем открыть таблицу правил NAT. Для этого потребуется перейти в IP – Firewall – NAT: .
2. Зайти во вкладку General. Здесь указываются параметры, по которым роутер понимает, какие сетевые пакеты требуют обработки. Обычно достаточно указать: chain, protocol, dst.port, in. interface. Остальные параметры не являются обязательными. Они служат для более точной set mapping (подключения): .
3. Открываем вкладку Action NAT. Здесь происходит создание действий для правил обработки пакетов в роутере. Здесь предстоит записать для перенаправления сетевых компонентов action: dst-nat. Далее требуется записать локальный ip-адрес и port, который будет перенаправлять сетевой трафик to addresses и to ports: .

Теперь остается сохранить изменения. Вот так можно пользоваться натом через Winbox.

Пояснения ко вкладкам настроек

Чуть позже пробросим порты через терминал, а также ssh для желаемого сайта. Сначала новичкам рекомендуется изучить пояснения к ранее предложенной инструкции. Они помогут лучше понимать, за что отвечает тот или иной параметр во вкладках на каждом этапе.

Когда настраивается переадресация портов, необходимо использовать вкладку General. В ней:

1. Chain – цепочка. Данный пункт – открытие и определение этапа прохождения пакета. Здесь srcnat – исходящий пакет, покидающий nat, а dstnat – входящий.
2. Src. Addresses – ip-адрес пакетного источника.
3. Dst. Addresses – ip-адрес назначения пакета.
4. Protocol – протокол. В данном меню открывается спектр выбора разных OSI-уровней. Они могут быть: канальными (l2tp), сетевыми (icmp или ospf), транспортными (tcp, udp), прикладными rdp) и иными.
5. Src. Port – port источника пакета. В настройках проброса портов Mikrotik встречается редко. Связано это с тем, что порт источника обычно является динамическим. Он может иметь самые разные значения.
6. Dst. Port – порт, на который необходимо переадресовывать пакеты.
7. Any port – указывает на то, что уникальный номер порта может быть не только источником, но и непосредственным значением.
8. In. Interface – интерфейс, на который должен приходить заданный пакет сайта от источника. К нему подключается интернет.
9. Out. Interface – интерфейс, на который уходят пакетные данные.

Если необходимо прокинуть port, пользователям потребуется обратить внимание на вкладку Action при создании NAT. Она имеет меньше пунктов:

1. Action – действие, которое выполняется с полученным пакетом. Dst-nat – это команда, которая помогает переадресовать пакеты с сайта (или иного источника) на указанные далее порт и адрес.
2. To address – диапазон адресов, на которые перенаправляются пакетные данные. Здесь указывается адрес хоста, чей port пробрасывается.
3. To port – пункт, отвечающий за «получателя» пакетных данных из NAT. Это и есть пробрасываемый port.

Прокинуть NAT не слишком трудно, если придерживаться определенных инструкций. Изучаемый процесс можно активировать через терминал, а также при помощи ssh и ftp.

Работа с терминалом

Проброс Микротик можно сделать при помощи терминала роутера. Для этого потребуется:

1. Подождать пока открывается и запускается терминал.
2. Перейти в NAT для этого используется команда: ip firewall nat.
3. Добавить правило: .

Теперь все будет работать в полную силу. Далее предстоит изучить еще несколько способов проброса порта Mikrotik. Они больше подходят опытным специалистам. NAT-настройки будут меняться в зависимости от сервиса, который будет публиковаться.

Удаленный рабочий стол

Чтобы воспользоваться технологией RDP, потребуется выставить настройки:

• chain – dstnat;
• dst. Address – внешний IP;
• protocol – rdp;
• action – dst-nat;
• to address – сервер, на который осуществляется перенаправление.

Если единые настройки не работают, потребуется поменять протокол на TCP. Port RDP должен быть по умолчанию 3389.

Веб-сервер

Здесь настройки будут такими:

• chain – dstnat;
• dst.address – внешний ip;
• protocol – tcp;
• action – dst-nat;
• to address – IP-сервера, на который происходит перенаправление;
• dst.port – 80.

Выше – пример того, как будет выглядеть окно с параметрами. Если нужно осуществить открытие и перенаправление HTTPS, характеристики окажутся аналогичными. Исключение – port. Он будет не 80, а 443.

FTP

Здесь предстоит обратить внимание на dst.port. Он должен быть 20,21:

Остальные характеристики выставляются так же, как и в предыдущих случаях. Главное – это определение диапазона IP-адресов, с которыми планируется дальнейшая работа.

Настройка видеонаблюдения

Видеонаблюдение в отличие от ssh и ftp может работать на различных ports. Именно поэтому точная настройка будет зависеть от используемой системы. Ниже представлен пример проброса RTSP:

RTSP работает в пределах диапазона TCP и UDP. В приведенном примере параметры выставлены для последнего.

Как быстрее освоить тему

Теперь ясно, как происходит перенаправление портов Mikrotik. Здесь можно увидеть больше настроек соответствующей технологии. Но лучше разобраться с данным направлением помогут разнообразные компьютерные дистанционные курсы. Они предлагают лабораторные работы и интересную практику, помощь в составлении портфолио, а также инновационные и тщательно продуманные программы обучения.

При выборе направления по работе с Микротик, тренер Mikrotik и автор курса будет находиться на связи 24/7. Кураторство опытными специалистами во время обучения позволит быстрее освоить любую настройку роутера. На специализированных компьютерных курсах пользователя с нуля научат:

• программировать;
• настраивать роутеры и другое оборудование;
• тестировать программные продукты;
• администрировать сети и устройства, а также многому другому.

P. S. Интересуют компьютерные сети, сетевые технологии, протоколы передачи данных? Обратите внимание на следующие курсы в Otus:

• Network engineer;
• Network engineer. Basic.