Как открыть порты на микротике для видеорегистратора

Обновлено: 09.01.2025

У проброса портов есть масса названий, от чего может возникнуть путаница. Кто-то привык называть это форвардингом, кто-то – перенаправлением порта. В англоязычной литературе называют коротко и ёмко – Dst . NAT . Всё это означает одно и то же – разновидность трансляции сетевых адресов, при которых происходит подмена адреса назначения. Можно представить это как путь «снаружи-внутрь», в отличие от Маскарадинга ( Src . NAT ) – «изнутри-наружу».

Для чего это нужно

Когда сегмент локальной сети спрятан за NAT , обычно нет способов инициировать соединение с «серыми» адресами находясь со стороны Интернета. А это бывает необходимо, например, для организации удалённого доступа на какой-нибудь сервер в DMZ . Или, например, на видеорегистратор для удалённого просмотра изображений. Если возникла такая задача и в качестве маршрутизатора выступает Микротик, будем делать проброс нужных портов.

Как настроить

Шаг 0. Подготовительный

На этом шаге определяемся, какие сервисы на каких сетевых узлах нам необходимо «опубликовать». Для RDP -доступа на сервер 192.168.1.10, например, нужно публиковать 192.168.1.10:3389 (если порт по умолчанию не менялся). Для доступа на видеорегистратор, может публиковаться, например, 192.168.1.201 :8080 .

Шаг 1. Переходим в настройки Mikrotik

(покажу на примере winbox ). Открываем раздел « IP » – « Firewall » на вкладку « NAT »

Шаг 2. Создаём правило

Нажимаем "+" в этом окне и указываем примерно следующее:

Chain (цепочка): dstnat
Protocol (протокол): tcp или udp
Dst.Port (порт назначения): порт внешний
In. Interface (входящий интерфейс): указывается сторона провайдера

Вкладка "Action" - действия:

Action (действие): В качестве действия выбираем "dst-nat" - подмена адреса назначения
Log (журналирование): по желанию.
To Addresses: адрес хоста, куда будет перенаправлен входящий пакет
To Ports: номер порта хоста, куда будет перенаправлен пакет.

Шаг 3: Правило должно быть раньше маскарадинга

Думаю, шаг не обязательный, но вот какое дело - Микротик обрабатывает правила по порядку. Теоретически есть шанс того, что в dst-nat пакет не залетит. Учитывая, что это более "узкое" правило, эффективнее его поставить первым.

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Для чего нужен проброс портов?

Для чего вообще вам может понадобиться такая настройка? Чаще всего Port Forwarding используется для:

организации игрового сервера на домашнем компьютере,
организации пиринговых (одноранговых) сетей,
для доступа к IP-камере из интернета,
корректной работы торрентов,
работы WEB и FTP-серверов.

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг - подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

Chain - направление потока данных. В списке выбора - srcnat, что означает "изнутри наружу", т. е. из локальной сети во внешний мир, и dstnat - из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
Src. AddressDst. Address - внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
Protocol - здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
Src. Port (исходящий порт) - порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно.
Dst. Port (порт назначения) - проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
Any. Port (любой порт) - если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
In. interface (входящий интерфейс) - здесь указываем интерфейс роутера MikroTik, на котором используется, "слушается" этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
Out. interface (исходящий интерфейс) - интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

accept — просто принимает данные;
add-dst-to-address-list — адрес назначения добавляется в список адресов;
add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat ;
log — просто записывает информацию о данных в лог;
masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat ;
passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
redirect — данные перенаправляются на другой порт этого же роутера;
return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
same — редко используемая настройка один и тех же правил для группы адресов;
src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

80/tcp — WEB сервер,
22/tcp — SSH,
1433/tcp — MS SQL Server,
161/udp — snmp,
23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP->Firewall:

Появится окно создания нового правила НАТ:

Далее, чтобы проброс порта на Микротике работал, надо открыть вкладку Action.

Теперь можно проверять доступность порта из Интернета. Только не забудьте, что этот порт должен быть активен в момент проверки. То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру.

Как открыть порт на Микротике через консоль

Для фанатов работы с маршрутизатором через консоль я расскажу как настроить проброс порта на Mikrotik через его командную консоль. Для этого достаточно создать всего два правила.
Первое правило:

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.10 to-port=443

Этой командой мы создаём правило на входящие соединение через TCP-порт 443 на IP-адрес 192.168.1.10.
Второе правило:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=443 out-interface=Eth5-LAN-Master action=masquerade

For every complex problem, there is a solution that is simple, neat, and wrong.

Список форумовФорум по операционной системе MikroTik RouterOSМаршрутизация, коммутация
Поиск

проброс порта для подключения видеорегистратора

Перейти на страницу:

проброс порта для подключения видеорегистратора

Приветствую, ознакомился с разными темами по пробросу портов, к сожалению, в моем случае ничего не помогло.
Задача, есть видеорегистратор RVi-R04LA, которые настраивается через web-браузер, в локалке к нему доступ есть.
Надо организовать доступ к нему извне через маршрутизатор Mikrotik 750r2 hEx Lite. В NAT создал правило согласно этой статье
http://lantorg.com/article/probros-portov-na-mikrotik.

К сожалению, мазила пишет, что не может установить соединение с сервером. Может проблема в том, что на регистратор можно зайти только через web-браузер, который использует 80 порт, соответственно, если я пытаюсь зайти через другой порт - то доступа нет. Такое может быть?

Ставить в правиле порт 80 не имеет смысла, т.к. в такой случае подключаюсь к конфигуратору самого микротика.

Заранее благодарю за внимание и советы.

покажите правило созданное, телепаты в отпуске

ставить порт 80 имеет смысл, поскольку правило dst-nat перехватывает пакеты раньше, чем они дойдут до внутреннего веб-сервера с конфигуратором. если менять внешний порт - просто установить to-ports=80, тоже должно работать

убедиться, что камера имеет доступ в Интернет через данный роутер (чтобы могла отвечать на запросы)

также некоторые камеры требуют не только 80 порта - пишите точные ошибки браузера на всякий случай

Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 200
In. Interface: ether1-gateway
Action: netmap
To Address: 192.168.xxx.xxx
To Ports: 80

почти заработало. заменил в последней строчке 200 на 80 (спасибо за совет). страница входа загрузилась, только вот какой пароль я бы не вводил пишет ошибка входа.

Всем привет! Сегодня поговорим про проброс портов на роутере Mikrotik. Аппарат достаточно сложный в настройках, именно поэтому я буду писать максимально понятно и подробно, чтобы даже начинающий пользователь не смог столкнуться хоть с какими-то трудностями. Буду приводить на примере обычного аппарата, хотя прошивка у них примерно у всех одинаковая.

Подключение

Сначала нам нужно зайти в настройки маршрутизатора. Можно это сделать с помощью Web-интерфейса, но лучше использовать программу WinBox, которую свободно можно скачать с официального сайта.

После установки и запуска заходим во вкладку «Neighbors» и нажимаем по кнопке «Refresh» чуть ниже. Далее в списке вы увидите свой аппарат – выбираем его вводим в качестве логина «admin» и нажимаем «Connect».

Знакомство с интерфейсами

Прежде чем я расскажу про то, как открыть порт на Микротике, небольшой экскурс для новичков. Для начала нам нужно посмотреть, какие интерфейсы у нас есть. Для этого переходим в «Interfaces».

Что такое интерфейсы в Микротике? По сути это некие каналы связи самого аппарата с другими устройствами локальной сети, а также с интернетом. Ведь роутер в нашем случае — это ещё и шлюз. Сейчас рассмотрим более подробно каждое из подключений, и вы все поймете.

С интерфейсами мы разобрались. Так как любой роутер является шлюзом и общается как с внешней глобальной (интернет сетью), так и с внутренней (локальной), для этого существует NAT (Network Address Translation) технология. Как она работает? По сути она позволяет обмениваться данными между глобальной и локальной сетью. Например, один из компьютеров дает запрос в интернет к серверу. Но тут встает проблемы – комп находится в локальной сети и имеет локальный адрес.

Роутер принимает этот запрос и отправляя запрос серверу он подменяет локальный IP адрес на свой-внешний. Когда ответ приходит, роутер уже отправляет ответ именно тому компьютеру, который его отправлял. Именно NAT и отвечает за переадресацию портов.

NAT и настройка

Найдите основной раздел «IP», потом перейдите в «Firewall».

Нам же нужно создать другое правило, где мы будем при запросе на порт получать доступ к локальной машине. Теперь по тем параметрам, которые нам необходимы:

На первой вкладке мы закончили. Теперь переходим на четвертую вкладку и открываем раздел где нужно установить некое правило.

accept — обычный прием данных, ничего особенного.
add-dst-to-address-list — адрес, который мы укажем, потом будет добавлен в основной список IP.
add-src-to-address-list — все то же самое, только на исходящий проброс при установленном параметре «srcnat».
dst-nat — тут пакеты, грубо говоря, будут переадресовываться из интернета на соответствующую машину.
jump — редко когда используется. Суть в том, что вы для одной цепочки исходящего трафика (dstnat) можете назначить правило для входящего трафика (srcnat). Именно поэтому он так и называется: «Прыжок».
log — ничего не происходит, а при запросе из интернета или наоборот из локальной сети запрос записываем в логи.
masquerade — об этом мы уже говорили.
netmap — используется как раз для доступа к внутренней машине. При запросе идет замена адреса роутера на адрес локального аппарата.
passthrough — также используется достаточно редко и обычно для записи статистических данных о запросах и доступах.
redirect — при запросе на выделенный порт, роутер будет перенаправлять данные на другой порт. Иногда нужно для создания мультипортового запроса.
return — когда запрос приходит на порт, то он возвращает его обратно.
same — создание одинаковой группы правил для нескольких портов и устройств.
src-nat — то же самое как и dst-nat, только данные идут в обратную сторону.

Некоторые параметры очень схожи по работе. Для наглядности я приведу конкретный пример. У нас есть машина, на которой есть Torrent. Вот мы и будет пробрасывать конкретный порт для данной программы. Именно поэтому на вкладке «General» в строке «Dst Port» я указал 51413 порт. Поэтому в моем случае актуально использовать «netmap». Можно, конечно, установить и «dst-nat», работать такое правило будет примерно так же.

У вас могут быть совершенно другие порты (80, 8080, 3389 и т.д.). Очень часто нужно открыть порты наружу для видеонаблюдения или для установки домашнего сервера.

Внизу нужно будет указать IP аппарат и порт, с которого будет идти переадресация. Я настоятельно рекомендую написать также комментарий, чтобы потом не забыть. Теперь два раза жмем «OK» и радуемся – правило создано!

ПРИМЕЧАНИЕ! Если у вас не работает проброс портов, то проверьте также настройку Firewall на конечном ПК, если он есть. Также убедитесь, что вы указали нужный интерфейс в Микротик.

Читайте также: