Чтобы пробросить порт на маршрутизаторе Mikrotik, необходимо открыть меню «IP» — «Firewall», выбрать вкладку «NAT» и добавить новое правило нажав «Add new» или «+«.
В открывшемся окне необходимо указать следующие основные параметры:
Chain (Цепочка): dstnat (означает что соединение будет идти из внешней сети во внутреннюю).
Protocol: протокол, tcp/udp/…
Dst. Port: порт назначения, который будет виден из вне (1 — 65535).
In. interface: входящий интерфейс на котором слушается указанный выше порт, например «ether1-gateway».
Action (Действие): netmap
To Addresses: IP адрес сетевого устройства/компьютера внутри сети с которого необходимо пробросить порты, например 192.168.88.250
To Ports: порт который необходимо пробросить.
Приведу несколько примеров портов: 3389/tcp — удаленный рабочий стол, 80/tcp — вэб сервер, 23/tcp — telnet, 161/udp — snmp, 22/tcp — SSH, 1433/tcp — MS SQL Server и т.д.)
Чтобы из-локальной сети был доступ к внешнему IP маршрутизатора, необходимо добавить еще два правила.
Первое:
Chain: dstnat
Src. Address: 192.168.88.0/24 (внутренняя сеть)
Dst. Address: внешн_ip_маршрутизатора
Protocol: tcp
Dst. Port: порт
Action: dst-nat
To Addresses: ip_внутри_сети
To Ports: порт
Второе:
Chain: srcnat
Src. Address: 192.168.88.0/24 (внутренняя сеть)
Dst. Address: ip_устройства_внутри_сети
Protocol: tcp
Dst. Port: порт
Action: src-nat
To Addresses: 192.168.88.1 (внутренний ip маршрутизатора)
Например к DVR Dahua нужно пробросить порты: 80 tcp, 554 tcp, 37777 tcp, 37778 udp. Для просмотра достаточно порта 37777 tcp, если за маршрутизатором много камер, то можно пробросить порты 37779 tcp, 37979 tcp и т.д., при этом порты обязательно должны быть изменены на видеокамере на такие же.
Смотрите также мои статьи:
Настройка Hairpin NAT на RouterOS (Mikrotik)
Настройка удаленного доступа
В первом правиле для доступа к внешнему айпи из внутренней сети двусмысленно указано «To Addresses: ip_внутри_сети». Здесь мы указываем айпи девайса на который пробрасываем порт или внутренний айпи роутера? Уточните пожалуйста, а так-то статья супер.
IP адрес устройства на которое пробрасываем порт
Вопрос, может и не в тему. Есть два роутера, у обоих статические адреса, открыл доступ извне на обоих. Назовём их а и б. Не могу попасть на роутер а, находясь в сети роутера б. Из любых других внешних сетей попадаю без проблем.
Роутеры а и б находятся в одной сети провайдера с адресами отличающимися только одной последней цифрой. В чём может быть проблема?
Пишите провайдеру. Фишка в том, что всё сходится на одном маршрутизаторе, за пределы которого пакеты не уходят, поскольку он не считает их внешними, а внутренняя маршрутизация запрещена. Недавно у меня такое было с МТС, всё решилось буквально за полчаса.
Спасибо, проблема была у провайдера)
Если IP адреса которые вы получили от провайдера не видят друг друга, то это вопрос скорее всего к провайдеру. Сейчас многие провайдеры блокируют доступ по сети серым IP адресам, так безопаснее, возможно их параметры изоляции влияют и на белые статические.
Замечательная статья!!!! Все класс. День бился с роутером, а тут одна минута и все работает!!!!! Спасибо за статью!
Спасибо, тоже долго бился с видео-наблюдением, тестировать приходилось сидя в тоже локальной сети что и само видео-наблюдение.
В моем случае я ошибся с выбором протокола UDP для порта 554 и 8000, надо было ставить TCP и не морочить себе мозг.
спосибо. помогло
день возился с этим
А как открыть 21 порт изнутри? Мне надо изнутри на фтп сервера в интернете ходить. А у меня микротик не пускает :(
Спасибо! :D
Hairpin NAT
Вам в помощь
вопрос следующий?
Есть mikrotik. Есть ip камера.Динамический ip адрес. Извне попадаю на камеру без проблем, прописав правила, а как из внутренней сети попасть на камеру, если Ip адрес динамический
У ip-камеры то внутренний ip-адрес не меняется, по нему внутри сети и заходить.
Єто то понятно. Но как зайти по внешнему?
Неудобно клиенту ставить , внутренняя сеть, внешняя.
Тогда нужно заказать у интернет-провайдера статический и пробросить его как описано в этой статье, по другому никак.
А зачем так сложно. Любой роутер это может. Значит и mikrotik может. Надо просто знать как єто сделать.
Просто молодец!!! Поклон.
Огромное спасибо. Всё очень доступно.++++++++++++!!!
In. interface: входящий интерфейс на котором слушается указанный выше порт, например ether1-gateway // Если у куого то pppoe то вместо ether1-gateway ставите подключение pppoe/
Автор ты Бог. Лично склоняюсь перед тобой на коленях. Я пол дня мучился. А ты за 2 минуты всё решил.
Спасибо, инструкция помогла, долго бился над локальной сетью.
Спасибо.
Большое спасибо