Как пробросить 80 порт на микротик

Проброс портов на роутере Mikrotik

Рассмотрим задачу проброса портов на роутере Mikrotik. В нашем примере мы будем пробрасывать 80-й порт, чтобы открыть доступ извне к веб-интерфейсу нашего принтера.

1. Открываем IP -> Firewall -> NAT, создаем новое правило, нажав на +, во вкладке General ставим параметр Chain в режим dstnat, Protocol — в 6 (tcp), Dst. Port — 80:

Следует учесть, что в вашем случае протокол и порт назначения могут быть (и скорее всего будут) другими.

2. Переходим во вкладку Action, ставим параметр Action в режим dst-nat, в поле To Addresses вбиваем IP-адрес нашего принтера:

3. Теперь попробуем подключиться к принтеру по 80 порту снаружи:

Работает! Mission completed.

2 небольших комментария:
Во-первых, в нашем примере на роутере выполнена лишь базовая настройка брандмауэра, которая не блокирует ничего. Если у вас брандмауэр настроен более строго — необходимо будет донастроить его на разрешение правила порт-форвардинга (в рамках этой заметки на этом останавливаться не будем — оставим предупреждением).
Во-вторых, если вы планируете маскировать открытый порт (публикуя наружу, например, порт 6666, при соединении с которым должен будет ответить 80-й порт публикуемого сервиса/приложения/устройства), то в пункте 1 следует указать замаскированный Dst. Port, а в пункте 2 в параметре To Ports указать порт, по которому реально будет отвечать публикуемый узел.

Как пробросить порт на Mikrotik Routerboard

Интерфейс настройки роутеров Mikrotik, а вернее используемой в нём RouterBoard OS, немного сложен для неподготовленного человека. А уже настроить проброс портов на роутер Mikrotik такому человеку вдвойне сложно, потому что он не совсем понимает что делает, а тут ещё и оборудование сложное.

Проброс портов или Port Forwarding на маршрутизаторе необходим для того, чтобы он мог пропускать через себя прямые соединения между компьютерами за ним и другими ПК или серверами в Интернете. Например, это необходимо для доступа к видеорегистратору, RDP-подключения или VPN соединения из внешней сети. Это не особенность конкретно Микротика — так работают все роутеры, ведь их задача управлять подключением к провайдеру и раздавать Интернет на подключенные устройства.

Настройка Mikrotik Port Forwardind через консоль

Настройка проброса портов на Микротик сводится всего лишь к созданию в параметрах NAT двух правил фильтрации пакетов. Для примера сделаем это для RDP-подключения — 3389.
Подключаемся к устройству через Telnet или SSH, либо используя Terminal в главном меню Winbox и вводим следующие команды:

Правило 1:

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=3389 action=dst-nat to-address=192.168.1.2 to-port=3389

Правило 2:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=3389 out-interface=Eth5-LAN-Master action=masquerade

Теперь немного поясню:
192.168.1.2 — IP-адрес компьютера, на который надо получить доступ из внешней сети. Он находится за роутером Микротик.
192.168.1.0/24 — это внутренняя подсеть роутера, в которой расположеные подключенные к нему устройства. Здесь /24 указывает на то, что используется маска 255.255.255.0
Eth5-LAN-Master — В моём примере порты объединены через Switch, а Eth5 — это мастер-порт, к которому привязаны остальные порты. Проще говоря, без разницы к какому порту будет подключен клиент с ip 192.168.1.2 — для него будут выполнятся прописанные выше правила.
Используемый протокол — TCP. Елси надо будет сделать проброс порта на Микротик для протокола UDP — тогда укажите в команде его.

Проброс портов на Микротик через графический интерфейс

Подключаемся к роутеру Mikrotik через Winbox или заходим в веб-интерфейс. В меню открываем раздел IP >>> Firewall:

На открывшейся странице параметров фаерволла открываем вкладку NAT и нажимаем в ней на кнопку с плюсом:

Появится окно создания правила для NAT:

На вкладке General в в поле Chain указывается направление потока данных.
dstnat — входящее направление из внешней сети во внутреннюю
srcnat — исходящее направление из локальной сети во внешнюю.
Оставляем значение dstnat.
В поле Protocol надо указать тип используемого протокола по которому будет бегать трафик через пробрасываемый порт — tcp или udp.
Dst. Port — это порт назначения, здесь надо указать внешний порта роутера, на который будет идти подключение из вне.
В поле In. interface покажем входящий интерфейс роутера MikroTik, на котором хотим открыть порт.

Переходим на вкладку Action:

В строчке Action надо указать Микротику действие, которое он должен сделать. В нашем случае надо использовать действие dst-nat, которое перенаправляет данные из внешней сети во внутреннюю. Так же можно использовать действие netmap, которое является расширенным вариантом dst-nat. В строчку To Address вносим IP-адрес компьютера для которого делаем Port Forwarding на Mikrotik. У меня в примере это 192.168.1.2. Ниже, в строку To Ports надо прописать номер порта, который мы открываем. Нажимаем на кнопку «ОК». Проверяем доступность сервера или видеорегистратора, для котором мы всё это делали, из Интернета.

Инструкции и советы:

• 192.168.l.l недоступен, в чём причина?
• 192.168 0.1 Вход в роутер D-Link и TP-Link
• Поменять пароль WiFi роутера
• admin admin не подходит — что делать?
• 192.168.100.1 Huawei HG8245
• Как настроить вай-фай на TP-Link
• Как поставить и поменять пароль на вход
• 192.168.1.1 my keenetic net
• Как зайти в настройки роутера TP-Link, Asus
• Забыл пароль на 192.168.1.1 — как быть?
• Для чего нужен IP-адрес 192.168.1.1
• Что такое VLAN 802.1 Q тегирование?!
• Настройка сети в Debian и Ubuntu Linux?!
• Ошибки подключения к Интернету PPP и VPN
• Вход на tplinklogin.net для роутера ТП-Линк
• Настройка WiFi ASUS
• Обновление прошивки роутера
• CentOS: настройка сети из консоли
• Обновление прошивки роутера
• Модем Промсвязь М-200 А
• Настройка модема MT-PON-AT4 для ByFly
• Роутер не сохраняет настройки
• Как узнать пароль от своего WiFi
• tplinkwifi.net и tplinkmodem.net
• Как посмотреть ip адрес роутера
• Как сменить канал на роутере
• Почему роутер не раздаёт WiFi
• Как скрыть сеть WiFi на роутере
• Как отключить WiFi на роутере
• Как сменить DNS сервер Windows 10
• Настройка Huawei HG532E

Полезная информация:

• Как подключить ADSL модем
• Как раздать WiFi без роутера
• Как подключить роутер FTTB ETTH
• Статическая маршрутизация Windows 10
• Трассировка маршрута сети
• Как пинговать ip адрес роутера
• Технология доступа FTTX, FTTB, FTTC
• Цифровое телевидение iptv Ростелеком
• Как повысить скорость роутера
• IP телефония SIP от Мегафон, МТС
• Ubiquity AirOS пароль по умолчанию
• Wireless Multicast Forwarding
• Что такое маска подсети 255.255.255.0
• Стандарты wifi 802.11 b/g/n
• Какой пароль роутера Ростелеком
• Решение проблем с DNS сервером
• Что такое метрика сети и маршрута
• Чем отличаются серый и белый IP адреса
• Как узнать MAC адрес по IP
• Как измерить скорость Интернет соединения
• Как создать сеть между компьютерами
• Как увеличить скорость WiFi
• Как поменять пароль WiFi Ростелеком
• Как соединить два роутера
• Как настроить режим WDS мост на TP-Link
• Как подключить компьютер к компьютеру
• Как посмотреть пароль от своего WiFi роутера
• Mikrotik проброс портов Routerboard
• где пароль WiFi в Windows 10
• Чем отличается коммутатор от маршрутизатора и роутера
• Почему горит красным лампочка Интернет
• Почему плохо работает WiFi роутер
• Как открыть порты
• Почему плохо работает wi-fi
• Вход в админку роутера Ростелеком

Реклама и объявления:

Other versions:

• English
• Spanish and Portuguese

Проброс портов в роутере MikroTik

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

1. Откройте меню IP — Cloud
2. Поставьте галочку DDNS Enabled
3. Нажмите кнопку Apply
4. Если после этого отобразиться статус «updated» без ошибок, то у вас белый IP-адрес.

Если в правом нижнем углу отображается ошибка типа «DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work.«, то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122. Он имеет внутреннюю подсеть 192.168.88.0/24.

Внутри подсети есть IP-камера с адресом 192.168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке — это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 10000 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 80, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

Созданные правила можно посмотреть в меню IP — Firewall на вкладке NAT.

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.

Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554, поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554.

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс. В ОС Windows в VLC media player нужно открыть меню Медиа — Открыть URL.

Вводим адрес rtsp://login:passwd@178.189.224.122/video.mp4

, где login — логин для доступа к IP-камере, passwd — пароль для доступа к IP-камере, 178.189.224.122 — внешний IP-адрес роутера.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

Далее нажмите Открыть сетевой ресурс. В нижней части появится миниатюра видео с камеры. Нажмите на нее.

После этого видео на планшете откроется в полноэкранном режиме.

Удаленно настраиваем оборудование. Стоимость.
Vodafone: +38 095 406-06-02
Киевстар: +38 067 675-65-55
Life: +38 093 889-78-96

Микротик, проброс 80 порта не работает

Подскажите, ситуация такая, проброшены 80, 443, 81 порт до nginx reverse в локальной сети. Nginx перенаправляет по http на два сервера в локалке (homeassistant, nextcloud). С наружи по 81 порту в веб интерфейс nginx proxy manager заходит, если снаружи пытаюсь зайти по https на сервера в локалке, в логах nginx вижу запрос, а вот по http в логах пусто. В логе микротика есть приходящие пакеты на 80 порт в логах nginx пусто. Стоит сменить в правиле проброса порт с 80 на например 1234 и заходить снаружи как http://mydomen.duckdns.org:1234, все работает, homeassistant открывается .Что может блокировать 80 порт в микротике? Не работает проброс 80 и 8080 порта. Веб в микротике отключен. В файрволе правил нет, только маскарад и 3 порта проброшены.

Alexx-80
21.04.22 19:03:26 MSK

Может у тебя провайдер блокирует порты? Часто так делают чтобы снаружи не торчали устройства со стандартными учетными записями

beka ★
( 21.04.22 19:19:49 MSK )
Ответ на: комментарий от beka 21.04.22 19:19:49 MSK

Может быть, надо в саппорт написать, провайдер DOM.RU Вот правило: chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=80 log=yes log-prefix=»» — не работает но что то пришло в логе микрота — dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 60.255.137.44:49264->5.3.251.77:80, len 44

chain=dstnat action=dst-nat to-addresses=10.10.10.15 to-ports=80 protocol=tcp in-interface=pppoe-out1 dst-port=1234 log=yes log-prefix=»» а так работает

Alexx-80
( 21.04.22 19:33:31 MSK ) автор топика

Так ты это, смени стандартный http порт самого микротика, или точнее, какого он вообще у тебя поднят?! winbox тоже активен!? Выруби все варианты доступа кроме ssh!

hargard ★★
( 21.04.22 19:41:12 MSK )
Ответ на: комментарий от hargard 21.04.22 19:41:12 MSK

0 X telnet 23
1 X ftp 21
2 X www 80
3 X ssh 22
4 X www-ssl 443 none
5 X api 8728
6 winbox 8291
7 X api-ssl 8729 none

только winbox включен

Alexx-80
( 21.04.22 19:49:36 MSK ) автор топика
Последнее исправление: Alexx-80 21.04.22 19:50:30 MSK (всего исправлений: 1)

Ответ на: комментарий от Alexx-80 21.04.22 19:49:36 MSK

Хоть бы поменял его с дефолтного.

ip service set www port=8080

hargard ★★
( 21.04.22 19:58:05 MSK )
Ответ на: комментарий от hargard 21.04.22 19:58:05 MSK

Сделал не помогло но пакеты приходят вроде dstnat: in:pppoe-out1 out:(unknown 0), proto TCP (SYN), 188.162.204.158:21986->5.5.231.86:80, len 60

Alexx-80
( 21.04.22 20:45:34 MSK ) автор топика

Не работает проброс 80 и 8080 порта. Веб в микротике отключен. В файрволе правил нет, только маскарад и 3 порта проброшены.

/ip firewall export terse /ip route export terse 

Kolins ★★★
( 22.04.22 09:20:13 MSK )
Ответ на: комментарий от hargard 21.04.22 19:41:12 MSK

Так ты это, смени стандартный http порт самого микротика

DNAT раньше отрабатывает и заменяет адрес получателя

Kolins ★★★
( 22.04.22 09:21:05 MSK )

Буквально на днях с подобной проблемой столкнулся (если правильно вопрос понял), но на TP-Link. С 80го не прокидывался ни в какую, а с любого другого — запросто. Оказалось, что внутренний сервер админки TP-Link-а хоть и не был высунут наружу, а висел только внутрь локалки, блокировал проброс 80го порта. Повесил админку на другой порт — проброс с 80го сразу заработал. Может в этом же проблема?

deys ★★★
( 22.04.22 10:08:19 MSK )
Ответ на: комментарий от Kolins 22.04.22 09:20:13 MSK

[Alexx@MikroTik] > /ip firewall export terse

apr/22/2022 09:14:35 by RouterOS 7.2.1

software >/ip firewall filter add action=add-src-to-address-list address-list=DNS_FLOOD address-list-timeout=none-dynamic chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp /ip firewall filter add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.10.10.15 to-ports=80 /ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=10.10.10.15 to-ports=443 /ip firewall nat add action=dst-nat chain=dstnat dst-port=81 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=10.10.10.15 to-ports=81 /ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address-list=»»

[Alexx@MikroTik] > /ip route export terse

apr/22/2022 09:16:24 by RouterOS 7.2.1

software Alexx-80
( 22.04.22 12:16:47 MSK ) автор топика

Ответ на: комментарий от deys 22.04.22 10:08:19 MSK

Я веб сервер его на 8080 перевесил и выключил

Alexx-80
( 22.04.22 12:17:52 MSK ) автор топика
Ответ на: комментарий от Alexx-80 22.04.22 12:16:47 MSK

nat выглядит норм (хотя to-ports не обязательно прописывать, если совпадают номера)

/ip firewall mangle add action=log chain=postrouting connection-nat-state=dstnat dst-port=80 log=yes protocol=tcp 

Добавь такое правило и попробуй открыть свой сайт по 80, потом в логи загляни.

P.S. и /ip firewall filter стоит настроить

Kolins ★★★
( 22.04.22 12:28:49 MSK )
Ответ на: комментарий от Kolins 22.04.22 12:28:49 MSK

Похоже микротик тут не причем , вот лог postrouting: in:pppoe-out1 out:ether1, proto TCP (SYN), 188.162.204.158:45384->10.10.10.15:80, NAT 188.162.204.158:45384->(5.5.251.86:80->10.10.10.15:80), len 60

А что стоит настроить в /ip firewall filter

Alexx-80
( 22.04.22 13:29:51 MSK ) автор топика
Ответ на: комментарий от Alexx-80 22.04.22 13:29:51 MSK

А что стоит настроить в /ip firewall filter

Держи базовый, надо и на свои заменить и включить два disabled правила, потом по надобности будишь добавлять разрешения.

/ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=input protocol=icmp add action=accept chain=input in-interface= add action=drop chain=input disabled=yes add action=accept chain=forward connection-state=established,related add action=accept chain=forward connection-state=new in-interface= add action=accept chain=forward connection-nat-state=dstnat in-interface= add action=drop chain=forward disabled=yes 

Следующий шаг — tcpdump на сервере с nginx, если трафик приходит и в демон попадает, то уже его конфиги ковырять.

Kolins ★★★
( 22.04.22 13:42:07 MSK )
Ответ на: комментарий от Kolins 22.04.22 13:42:07 MSK
Alexx-80
( 22.04.22 14:49:48 MSK ) автор топика
Ответ на: комментарий от Kolins 22.04.22 13:42:07 MSK

Спрошу здесь, картина такая — есть физический сервер с proxmox в виртуалке Микротик, все вышесказанные в 1 посте сервера тоже там, что бы проверить запустил еще один физический сервер, на нем веб сервер nginx. Пробросил на него порт 80 с микротика, захватил пакеты. Я правильно понимаю что ответ nginx не доходит до браузера и он по новой спрашивает? Как отследить где пакеты останавливаются?

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp1s0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:21:49.914718 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0 11:21:49.914811 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:21:50.723958 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0 11:21:50.724026 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:21:51.720692 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:21:52.714312 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0 11:21:52.714381 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:21:54.712696 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:21:56.741756 IP client.yota.ru.16167 > 10.10.10.19.http: Flags [S], seq 3588967513, win 65535, options [mss 1360,sackOK,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,nop,wscale 8], length 0 11:21:56.741831 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 11:22:00.740707 IP 10.10.10.19.http > client.yota.ru.16167: Flags [S.], seq 3563537817, ack 3588967514, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 ``` 

Alexx-80
( 24.04.22 10:53:39 MSK ) автор топика
Ответ на: комментарий от Alexx-80 24.04.22 10:53:39 MSK

Выяснил с помощью Packet Sniffer микротика что на локальный интерфейс eth1 приходят пакеты для 10.10.10.19 и ответы на client.yota.ru. А на интефейс pppoe-out1 пакеты только на 10.10.10.19, обратных нет. Получается микротик блокирует исходящие пакеты, как узнать?