Налаштування Mikrotik, кидок портів rdp і ftp. Як зробити кидок портів в Mikrotik?

Для роутерів бренду Mikrotik кидок портів потрібно робити досить часто. Однак і для мережевих адміністраторів, і для непідготовлених користувачів вирішення цієї проблеми часто виявляється досить важким справою. Далі наводиться коротка інструкція, дотримуючись якої можна легко здійснити будь-які операції цього типу, правда, доведеться трохи повозитися.

Налаштування Mikrotik з пробросом портів. Навіщо це потрібно?

Перш ніж приступати до налаштування маршрутизатора, варто трохи зупинитися на принципах прокидання портів і на те, для чого все це використовується.


Налаштування Mikrotik, встановлена за замовчуванням, така, що комп'ютери, перебувають під внутрішньої або зовнішньої мережі, адреси IP, присвоєні іншим терміналів, не бачать. Тут використовується правило так званого маскараду, коли сам маршрутизатор при надходженні запиту підміняє адресу машини, якій він призначається власним зовнішнім IP, хоча і відкриває необхідний порт. Виходить, що всі пристрої, об'єднані в мережу, бачать тільки роутер, а між собою залишаються невидимими. У зв'язку з цим у деяких ситуаціях для пристроїв Mikrotik кидок портів стає нагальною необхідністю. Найбільш часто зустрічаються випадками можна назвати наступні: організація віддаленого доступу до пристроїв у мережі на основі технологій RDP; створення ігрового або FTP-сервера; організація пірінгових мереж і настройка коректного функціонування торрент-клієнтів; доступ до камерам і систем відеоспостереження ззовні через інтернет.

Доступ до веб-інтерфейсу

Отже, приступаємо. Для маршрутизаторів Mikrotik кидок портів (RDP, FTP і т. д.) починається з входу в систему керування пристроєм, звану веб-інтерфейсом. І якщо для більшості відомих роутерів в якості стандартних адрес використовуються поєднання 192168 з закінченнями або 0.1 або 1.1 тут такий варіант не проходить.


Для доступу в веб-браузері (краще всього використовувати стандартний Internet Explorer) в адресному рядку прописується комбінація 19216888.1 в поле логіну вводиться admin, а рядок пароля, як правило, залишається порожній. У випадку, коли доступ з якихось причин виявляється заблокованим (роутер не сприймає логін), потрібно зробити скидання налаштувань, натиснувши на відповідну кнопку або відключивши пристрій від електроживлення на 10-15 секунд.

Загальні параметри та налаштування

Вхід в інтерфейс зроблений. Тепер найголовніше: в Mikrotik кидок портів заснований на створенні так званих правил виключення для функції Masquerade (той самий маскарад з підміною IP-адрес, який згадувався вище). У загальних налаштуваннях розділу Firewall/NAT можна помітити, що одне правило вже є. Воно встановлено в якості одного із заводських налаштувань. Кидок портів в загальному випадку полягає у додаванні нового правила шляхом натискання кнопки з піктограмою плюса, після чого необхідно буде заповнити кілька основних полів налаштувань.

Приклади використовуваних портів

Тепер розглянемо деякі можливі приклади використання портів. В залежності від того, для чого саме буде використовуватися кожен відкривається порт, значення можуть бути такими:
Torrent: tcp/51413; SSH: tcp/22; SQL Server: tcp/1433; WEB Server: tcp/80; telnet: tcp/23; RDP: tcp/3389; snmp: udp/161 і т. д. Ці значення як раз і будуть використані для перекидання кожного такого порту.

Створення правил і вибір дій

Тепер створюємо нове правило і приступаємо до заповнення полів налаштувань. Тут потрібно бути дуже уважним і виходити саме з того, якою необхідно здійснити доступ (зсередини назовні або навпаки). Параметри повинні бути такими: Chain: srcnat використовується для доступу з локальної мережі, так сказати, у зовнішній світ, dstnat – для доступу до локальної мережі ззовні (вибираємо для вхідних підключень другий варіант); поля адрес Src. і Dst. залишаємо порожніми; в полі протоколу вибираємо або tcp або udp (зазвичай встановлюється значення 6 (tcp); Src. Port залишаємо пустим, тобто вихідний порт для зовнішніх підключень не важливий; Dst. Port (порт призначення): вказується порт для вищенаведених прикладів (наприклад, 51413 для торрентів, 3389 для RDP і т. д.); Any Port можна залишити порожнім, але якщо вказати номер, один порт буде використовуватися і як вхідний, і як вихідний; In. Interface: вписується порт самого роутера (зазвичай це ether1-gateway); Out. Interface: вказується вихідний інтерфейс (можна пропустити). Примітка: у разі перекидання портів для віддаленого підключення ззовні (RDP) в поле Src. Address вказується IP віддаленого комп'ютера, з якого передбачається здійснювати доступ. Стандартний порт RDP-підключення 3389. Однак більшість фахівців займатися подібними речами не рекомендує, оскільки набагато безпечніше і простіше налаштувати маршрутизатор VPN. Далі в роутер Mikrotik кидок портів передбачає вибір дії (Action). Власне, тут достатньо вказати лише три параметри: Action: accept (простий прийом), але для доступу ззовні вказується dst-nat (можна вказати більш просунуту налаштування netmap); Addresses To: вписується внутрішній адресу машини, на який повинна буде відбуватися перенаправлення; To Ports: у загальному випадку виставляється значення 80 але для коректної роботи того ж торрента вказується 51413.

Налаштування Mikrotik: кидок портів FTP

Нарешті, кілька слів про те, які налаштування знадобляться для FTP. Насамперед потрібно налаштувати сам FTP-сервер, наприклад, на основі FileZilla, але це окрема розмова. В даному випадку нас більше цікавить кидок портів FTP Mikrotik, а не налаштування серверної частини.
Як вважається, FTP-сервер хоч і вимагає зазначення певного діапазону портів, однак абсолютно нормально працює на керуючому порте 21. Його необхідно задіяти. Як і в загальному випадку, спочатку потрібно створити нове правило, тільки у даній ситуації їх буде два: для керуючого порту і для всього діапазону портів. Для порту 21 параметри повинні бути такими: Chain: dst-nat; Dst. Address: зовнішній адресу роутера (наприклад, 111.28); Protocol: 6 (tcp); Dst. Port: 21 In. Interface: ether1-gateway. Для вкладки дії Action встановлюються наступні значення: Action: dst-nat; Dst. Address: адреса терміналу, на якому встановлений FTP—сервер; To Ports: 21. Для діапазону (наприклад, 50000-50050) всі опції аналогічні, за винятком двох параметрів: у загальних налаштуваннях для Dst. Port вказується весь діапазон портів; при виборі дії той же діапазон вписується в поле To Ports. Зверніть увагу, що при налаштуванні проходу для FTP потрібно слідувати документації роутера, а в ній сказано, що не рекомендується використовувати початковий поріг діапазону портів нижче значення 1024. Цей момент теж варто врахувати. В принципі, ще можна задіяти функцію Hairpin NAT Mikrotik, але вона потрібна тільки у тих випадках, коли потрібно увійти під зовнішнім IP локальної мережі. У загальному випадку активувати її не потрібно.