Проброс портов на MikroTik: инструкция для чайников

Всем привет! Сегодня поговорим про проброс портов на роутере Mikrotik. Аппарат достаточно сложный в настройках, именно поэтому я буду писать максимально понятно и подробно, чтобы даже начинающий пользователь не смог столкнуться хоть с какими-то трудностями. Буду приводить на примере обычного аппарата, хотя прошивка у них примерно у всех одинаковая.

Подключение

Сначала нам нужно зайти в настройки маршрутизатора. Можно это сделать с помощью Web-интерфейса, но лучше использовать программу WinBox, которую свободно можно скачать с официального сайта.

После установки и запуска заходим во вкладку «Neighbors» и нажимаем по кнопке «Refresh» чуть ниже. Далее в списке вы увидите свой аппарат – выбираем его вводим в качестве логина «admin» и нажимаем «Connect».

Знакомство с интерфейсами

Прежде чем я расскажу про то, как открыть порт на Микротике, небольшой экскурс для новичков. Для начала нам нужно посмотреть, какие интерфейсы у нас есть. Для этого переходим в «Interfaces».

Что такое интерфейсы в Микротике? По сути это некие каналы связи самого аппарата с другими устройствами локальной сети, а также с интернетом. Ведь роутер в нашем случае — это ещё и шлюз. Сейчас рассмотрим более подробно каждое из подключений, и вы все поймете.

• «ether1-gateway» – можно сказать, что по умолчанию этот порт предназначен для подключения интернета. Но на самом деле Микротику можно назначить любой подобный порт или даже несколько.
• «ether2-master-local» – это главный локальный порт.
• «ether(3-4)-slave-local» – это второстепенные локальные порты.
• «wlan1» – беспроводная локальная сеть.
• Как вы заметили я пропустил первый пункт «bridge-local» – это виртуальный мост, который объединяет локальные порты (ether2-4) и Wi-Fi сеть (wlan1).

С интерфейсами мы разобрались. Так как любой роутер является шлюзом и общается как с внешней глобальной (интернет сетью), так и с внутренней (локальной), для этого существует NAT (Network Address Translation) технология. Как она работает? По сути она позволяет обмениваться данными между глобальной и локальной сетью. Например, один из компьютеров дает запрос в интернет к серверу. Но тут встает проблемы – комп находится в локальной сети и имеет локальный адрес.

Роутер принимает этот запрос и отправляя запрос серверу он подменяет локальный IP адрес на свой-внешний. Когда ответ приходит, роутер уже отправляет ответ именно тому компьютеру, который его отправлял. Именно NAT и отвечает за переадресацию портов.

NAT и настройка

Найдите основной раздел «IP», потом перейдите в «Firewall».

Переходим на нужную нам вкладку NAT перенаправления и видим, что одно из правил уже есть. Называется это правило «masquerade», что в переводе означает «маскарад» – это как раз то самое правило, о котором я только что рассказывал. Оно необходимо для общения всех локальных устройств с интернетом. «Маскарад» – будто бы маршрутизатор надевает маску в виде внешнего IP адреса для внешних серверов, чтобы получить ответ по запросу от локального устройства.

Нам же нужно создать другое правило, где мы будем при запросе на порт получать доступ к локальной машине. Теперь по тем параметрам, которые нам необходимы:

• Chain – по сути это направление потока и доступа. Нам нужно поставить параметр «dstnat», который дает доступ к устройству из глобальной сети в локальную. Соответственно второй параметр «srcnat» – это доступ из локальной к глобальной сети.
• Protocol – здесь нужно указать именно тот протокол, по которому вы будете обращаться к компьютеру.
• Interface – тут указывает интернет интерфейс, через который вы подключены к глобальной сети. Про данный порт я говорил в самом начале.
• Out. Interface – а вот это именно тот интерфейс, к которому подключен аппарат. На него мы и будет делать проброс. Конечно, можно прописать данный параметр, если машина подключена к одному из локальных портов, но можно ничего и не указывать.
• Port – порт, который и будет использоваться для переадресации. Есть еще «Src. Port» – это, наоборот, тот порт, используемый машиной, с которой вы и будете делать запрос на локальное устройство. Ставить его не нужно.

На первой вкладке мы закончили. Теперь переходим на четвертую вкладку и открываем раздел где нужно установить некое правило.

• accept — обычный прием данных, ничего особенного.
• add-dst-to-address-list — адрес, который мы укажем, потом будет добавлен в основной список IP.
• add-src-to-address-list — все то же самое, только на исходящий проброс при установленном параметре «srcnat».
• dst-nat — тут пакеты, грубо говоря, будут переадресовываться из интернета на соответствующую машину.
• jump — редко когда используется. Суть в том, что вы для одной цепочки исходящего трафика (dstnat) можете назначить правило для входящего трафика (srcnat). Именно поэтому он так и называется: «Прыжок».
• log — ничего не происходит, а при запросе из интернета или наоборот из локальной сети запрос записываем в логи.
• masquerade — об этом мы уже говорили.
• netmap — используется как раз для доступа к внутренней машине. При запросе идет замена адреса роутера на адрес локального аппарата.
• passthrough — также используется достаточно редко и обычно для записи статистических данных о запросах и доступах.
• redirect — при запросе на выделенный порт, роутер будет перенаправлять данные на другой порт. Иногда нужно для создания мультипортового запроса.
• return — когда запрос приходит на порт, то он возвращает его обратно.
• same — создание одинаковой группы правил для нескольких портов и устройств.
• src-nat — то же самое как и dst-nat, только данные идут в обратную сторону.

Некоторые параметры очень схожи по работе. Для наглядности я приведу конкретный пример. У нас есть машина, на которой есть Torrent. Вот мы и будет пробрасывать конкретный порт для данной программы. Именно поэтому на вкладке «General» в строке «Dst Port» я указал 51413 порт. Поэтому в моем случае актуально использовать «netmap». Можно, конечно, установить и «dst-nat», работать такое правило будет примерно так же.

У вас могут быть совершенно другие порты (80, 8080, 3389 и т.д.). Очень часто нужно открыть порты наружу для видеонаблюдения или для установки домашнего сервера.

Внизу нужно будет указать IP аппарат и порт, с которого будет идти переадресация. Я настоятельно рекомендую написать также комментарий, чтобы потом не забыть. Теперь два раза жмем «OK» и радуемся – правило создано!

ПРИМЕЧАНИЕ! Если у вас не работает проброс портов, то проверьте также настройку Firewall на конечном ПК, если он есть. Также убедитесь, что вы указали нужный интерфейс в Микротик.