Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).
В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.
Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:
Если в правом нижнем углу отображается ошибка типа "DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work. ", то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.
Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122 . Он имеет внутреннюю подсеть 192.168.88.0/24 .
Внутри подсети есть IP-камера с адресом 192.168.88.250 , у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.
Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000 , мы попадали на Web-интерфейс IP-камеры.
10000 в адресной строке - это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.
Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.
Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24
/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24
10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80
178.189.224.122 и порту 10000 192.168.88.250 и порт 80 , а не в интернет.
178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80
Созданные правила можно посмотреть в меню IP - Firewall на вкладке NAT .
Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.
Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.
Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554 , поэтому его нужно пробросить в роутере MikroTik.
Обращения из интернета к порту 554 , перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554 .
/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554
Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554 , а не в интернет.
/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554
Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс . В ОС Windows в VLC media player нужно открыть меню Медиа - Открыть URL .
Вводим адрес rtsp://login :passwd @178.189.224.122 /video.mp4
Где login - логин для доступа к IP-камере, passwd - пароль для доступа к IP-камере, 178.189.224.122 - внешний IP-адрес роутера.
Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.
После этого видео на планшете откроется в полноэкранном режиме.
Оценка: 5 , Голосов:
Алекс 13.01.2019 14:37:34
правила появились, но ничего не работает
Ответить Отменить ответ
Сергей 25.06.2018 07:07:24
Здравствуйте. Можете подсказать? Стоит микротик, за ним сеть, пробросили канал на организацию, нужно дать им ip оборудования для того, чтобы они прописали на них доступ и маршруты, к примеру адреса 30.40.40.1:5050 и 2:5050. Но у них уже есть маршруты по данной сети в другом регионе. Можно ли сделать через nat подмену ip. Например я им даю адреса 10.10.10.1:5050 и 2:5050 и при обращении на них они попадали на 30:40:40:1:5050 и 2:5050 соответственно.
Ответить Отменить ответ
Begley diptemy 21.06.2018 12:36:55
Bonjour j"ai fait repartition de mon Donne internet sur mon mikrotik pour acceder a distance.
Voila
Maintenance le message qui affiche sur mon Scran,
RADIUS server is not responding
Ответить Отменить ответ
Максим 01.06.2018 22:30:11
Добрый вечер! Подскажите, в чем может быть причина. В статусе вместо "updated" отображается "Error: request time out", но IP-адрес белый, на другом роутере работало все.
Ответить Отменить ответ
Роман 29.03.2018 10:12:21
А если у меня схожая задача, но камера подключена не к микротику а к другому микротику, который в свою очередь связан с основным VPN тоннелем. маршруты все прописаны, микротики видят друг друга и все устройства за ними. как должна выглядеть настройка проброса портов чтобы с внешки микротик перенаправлял в впн тоннель на камеру?
Ответить Отменить ответ
Глеб 30.01.2018 16:17:24
Добрый день, подскажите все настроил, как выше описано, в нутри сети по белому айпишнику + порт заходит, а с внешней сети не хочет заходить, чуть не треснул, помогите пжл, буду очень признателен
Ответить Отменить ответ
Глеб 30.01.2018 18:18:27
Ребята нашел проблему в фаерволе) все ок
Ответить Отменить ответ
Alexey 01.02.2018 15:10:19
Firewall is root of all evil:))
Ответить Отменить ответ
Андрей 14.05.2018 19:22:30
Добрый день! Глеб, у меня такая же проблема напишите, пожалуйста, как Вы ее решили?
Ответить Отменить ответ
Дмитрий 16.01.2018 15:09:49
Добрый день! В интернете миллион статей по данной ситуации, но нигде толком нет как сделать наоборот. Подскажите, как пробросить порты в обратном направлении. На камере по сработке датчика движения формируется письмо с изображением через внешний smtp сервер. Как ни пытался, письмо не проходит. На ТП линке все без проблем делается..
Ответить Отменить ответ
Artem 30.01.2018 14:24:54
Дмитрий, не надо обратного проброса, письмо формирует сама камера, но отправить его не может. Почему не может, надо разобраться.
Варианты:
В ящике: не настроен/слетел доступ не надежным приложениям
включилась двух этапная аутентификация
На микротике в порыве, могли запрещающими правилами фаервола закрыть все что не разрешено, тогда временно отключите все запреты проверьте работу отправки почты, если заработает добавьте выше правило разрешение на почтовые порты
Ответить Отменить ответ
Andrew 29.12.2017 12:08:04
Как правильно сделать проброс на микротик стоящий за главным микротиком. Нужно иметь доступ по Winbox на оба устройства. Второй микротик подключен к ведущему по внутреннему IP.
Ответить Отменить ответ
Дима 29.12.2017 15:15:48
Нужно пробрасывать произвольный порт на первом роутере на порт 8291 на второй микротик.
На втором микротике нужно разрешить доступ на порт 8291.
И не забудь перетащить созданные правила выше запрещающих.
# На первом роутере
/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=IP_второго_роутера to-ports=8291
/ip firewall nat add action=netmap chain=dstnat dst-address=Белый_IP_первого_роутера dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=IP_второго_роутера to-ports=8291
# На втором роутере
/ip firewall filter add action=accept chain=input disabled=no in-interface=ether1-gateway dst-port=8291 protocol=tcp comment="access to winbox"
При подключении на Белый_IP_первого_роутера по порту 8291 будешь попадать на первый роутер.
При подключении на Белый_IP_первого_роутера по порту 10000 будешь попадать на второй роутер.
По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к
Для начала подключитесь к Mikrotik через . Затем перейдите на вкладку IP-Firewall-NAT
Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.
Chain -канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat
Src . Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов
Dst . Address — адрес назначения (всегда ip маршрутизатора).
Protocol — Обязательное поле, указываем протокол работы, http, udp и т.д.
Src . Port – Порт источника с которого идет запрос, для нас это не важно
Dst . Port — обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.
Any . Port – объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.
In . Interface – интерфейс на котором настроен внешний ip адрес Микротика
Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно
Более тонкие настройки, которые редко используются
In.Interface List, Out. Interface List – принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface
Packet Mark , Connection Mark , Routing Mark – Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.
Connection Type — Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.
Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание
Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.
После заполнения всех необходимых полей переходим на вкладку Action .
Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.
To Address – ip локального компьютера на который идет проброс
To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять
После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.
Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.
В этом случае будут приниматься пакеты из диапазона 3389-3391
Можно использовать оператор отрицания
Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536
Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.
нажимаем на плюс добавить правило. И заполняем необходимые поля
Chain – цепочка, может принимать следующие параметры
PREROUTING - Маркирует пакет до принятия решения о маршрутизации.
INPUT - Маркирует пакет, предназначенный самому хосту.
FORWARD - Маркирует транзитные пакеты.
OUTPUT - Маркирует пакеты, исходящие от самого хоста.
POSTROUTING - Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.
Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting
Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.
Затем переходим на вкладку Action
Action ставим маркировку пакетов, mark packet
New Packet Mark – название маркировки, вводим удобное имя.
После чего нажимаем кнопку «ОК»
Теперь переходим во вкладку NAT и добавляем новое правило
Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action
Указываем действие netmap или dst-nat
To Adresses — ip локального компьютера
Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.
Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.
Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке
Выбираем только канал dstnat, после чего переходим на вкладку Action
Здесь Action ставим netmap и указываем адрес назначения
Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе « » все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на .
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .
Стоит рассмотреть такой популярный вопрос, как перенаправление портов на mikrotik.
Проброс портов на роутерах фирмы Microtik можно осуществить несколькими способами, но самый простой - через программу Winbox. Для этого запускаем программу и авторизуемся (по умолчанию логин это – «root», а пароль пустой). Откроется оно настроек роутера, где вам нужно найти вкладку «IP», затем вкладку «Firewall» и наконец, нажать на вкладку «Nat»
Нажмите на кнопку «плюс», после чего откроется основное окно настройки портов mikrotik.
Давайте поподробнее рассмотрим настройки в этом окне:
Так как остальные вкладки нам не нужны, перейдем на вкладку «Action».
Необходимо выбрать из ниспадающего списка действие, которое вам нужно:
Если вы нажмете кнопку «Apple», то роутер сам может добавить адрес и порт (если он был заранее прописан).
После того как настройки заполнены, желательно указать комментарии - для чего было создано данное правило (чтобы не запутаться). Для этого нажмите на кнопку «Comments» и заполните поле. После чего нажмите два раза кнопку «ОК».
В принципе, настройка проброса портов закончена, но есть один нюанс. Дело в том, что сервер самого роутера mikrotik работает на 80 порту. И если вам необходимо пробросить данный порт, то тогда нужно зайти на вкладку «IP», потом «Services» и изменить настройки порта веб сервера на любой другой, который не используется.
Необходимо отметить, что если вы хотите пробросить несколько портов, то в поле «To Ports» укажите номера портов через запятые (например, 80,554,и т.п.)
Это наиболее простой метод проброса портов на микротик: если он не сработал, то вам следует убедиться, что в правилах настройки файрвола нет запретов. Учтите, что и антивирусы, и при настройке также могут блокировать весь исходящий трафик.
Также проброс портов можно прописывать с помощью скриптов. Однако это значительно более сложный и трудоемкий процесс.
Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе . Думаю, вы это все знаете, так что давайте начнем.
]Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.
Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:
Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.
Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.
Здесь настраиваем так:
Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.
Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.
Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.
Таким образом можно пробросить 80 порт много раз, только подключаться из вне придется указывая явно порт, например http://2.34.67.8:8080.
Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.
Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services
Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка - это дела практике.
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе « ». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно .