2 rdp windows 10 mikrotik один не работает

Обновлено: 08.07.2024

Проброс порта делают как раз потому что пинговать не возможно, ибо идет трансляция адресов.

Если пингуется то никакого проброса портов не нужно.

192.168.8.1 трасерт с него на 192.168.9.1

192.168.9.11 - тунель
192.168.9.1 - назначение

(15) Опишите лучше схематично структуру сети, с указанием ip адресов.
А то на словах боюсь долго вы так будете выяснять.

А по схеме все проще.

2 роутера 2 честный айпи, сети 192.168.9.0/24 и 192.168.8.0/24 (21) Схему сети, с адресами и указанием точек откуда и куда надо получить доступ.

(22) Что значит не поняли, не знаете?

Вы утверждали в (12) что у вас два NAT.

Так где они? Откуда и куда идет трансляция адресов?

получить доступ по белому айпи 192,168,8,1 (белый 90,54,65,85)микротик первый

к компу в подсети 192,168,9,1 - 192,168,9,9 (белый 90,54,65,83)- рдп!

два микротика, два ната, за одним из микротиков РДП сервак спрятан! надо Стучасть на белый айпи 90.54.65.83 попадать на Машинку которая за 90.54.65.85 для этого ТУНЕЛЬ. но не работает! (25) Уже лучше.
значит провайдер выдает белый адрес 90,54,65,83 микротику, за микротиком серая сеть 192,168,9,9 в которой находится нужный RDP сервер.
И к нему нужно получить доступ из интернета.
Так? (29) так, отлько стучась на соседний роутер. с айпи 90.54.65.85

(28) Это что-то невообразимое.

Если нужная машина за 90.54.65.85, то надо стучаться именно на 90.54.65.85, и на нем же пробрасывать порт до нужной машины.
А тоннель тут нафиг не нужен.

хочу светить айпи толко ВПН сервера, что б не знали кто клиент. и какой у него честный айпи . (30) Поймите - у вас за NAT'ом не может быть белого адреса. так мне и не надо! мне надо как то попасть с ВПН сервера, к ВПН клиенту! на рабочий стол! (что я не шарю, допинайте ногами. )

(32) Понятно.
Тогда забудьте вообще что есть такой адрес - 90.54.65.85
Ибо он тут не важен и никуда не стучит.

Значит у вас есть белый адрес 90,54,65,83 выданный микротику, за этим микротиком серая сеть - какая адресация сети?
И на этом же микротике поднят тоннель в сеть с нужным роутером. Какая адресация сети тоннеля?

(34) Чтобы попасть с VPN сервера к VPN клиенту нужно просто прописать маршрут!!

Но уж никак не порт пробрасывать!
Ибо никаких NAT там не может быть!

ок забыл, про адрес 90.54.65.85, есть тунел на впн сервере 90.54.65.83 адреса впн ЛОКАЛ АДРЕСС 192.168.9.11 РЕМУТ АДРЕС 192.168.9.22 Если у вас там тоннель поднят между сетями ( тоннель это виртуальная частная сеть)
Заметьте - частная, и там не может быть никаких белых адресов. маршрут 192.168.9.11 pptp-out1 rachable
192.168.9.0/24 192.168.9.11 rachable

(37) Уважаемый двайте про что то одно.

Либо у вас есть тоннель и он работает - тогда никаких белых адресов вида 90.54.65.85 быть не может.

Либо у вас нет тонннеля и доступ нужен по белым адресам.

С какого серого адреса нужно попасть на какой серый адрес.

В общем скажите адреса клиента который будет подключаться к серверу, и адрес сервера.
Именно локальный адрес, вида 192.

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Освоить MikroTik Вы можете с помощью онлайн-куса « Настройка оборудования MikroTik ». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.

Схема сети и описание сценария проброса портов

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

схема проброса порта в NAT mikrotik

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Для проброса портов в Mikrotik необходимо:

  • Запустить программу Winbox;
  • Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
  • В меню программы перейти IP > Firewall > вкладка NAT;
  • Нажать кнопку [+];
  • Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
  • Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.

Многие используют для проброса портов Netmap - это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Проброс порта mikrotik в графическом интерфейсе программы Winbox

Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.

1. Путь к настройкам NAT в Mikrotik:

Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.

путь к настройкам nat в mikrotik winbox

2. Настройки вкладки General NAT:

На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.

В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:

  • Chain: dstnat
  • Protocol: 6(tcp)
  • Dst. Port: 3389
  • In. Interface: ether1 (интерфейс, подключенный к интернету)

Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.

настройки general для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки General, при создании правила NAT:

  • Chain: цепочка, определяет этап прохождения пакета; dstnat - входящий пакет, идущий в nat, srcnat - исходящий пакет, покидающий nat;
  • Src. Address: ip-адрес источника (source) пакета;
  • Dst. Address: ip-адрес назначения (destination) пакета;
  • Protocol: протокол, доступны для выбора протоколы различных уровней OSI - канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
  • Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
  • Dst. port: порт, на который адресован пакет источника;
  • Any port: означает, что указанный номер порта может быть как источником так и назначением;
  • In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
  • Out. Interface: интерфейс, на который ушел пакет.

3. Настройки вкладки Action NAT:

После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.

Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.

  • Action: dst-nat
  • To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
  • To Port: 3389 (порт локального хоста, но который перенапряются пакеты)

настройки Action NAT для проброса порта 3389 mikrotik

Пояснение к параметрам вкладки Action, при создании правила NAT:

Проброс порта mikrotik в терминале

Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.

1. Переходим в NAT:

2. Добавляем правило:

Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы - оставляйте комментарии, будем разбираться.

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Войти

Сейчас на странице 0 пользователей

Нет пользователей, просматривающих эту страницу.

Похожие публикации

PORTISHEAD

Приветствую.
Купил за недорого эту железяку. RB951Ui-2HnD.
До сегодня дела с микротиками не имел. Но вот решил набраться опыта. Но пока что-то не очень получается.
Делал сброс роутеру.
Ничего.
Ни winbox64 ни netinstall-6.49 не видят железку.
ВайФай никакой не раздаёт.
При включении на миг загораются светодиоды 3 и 4 лан и гаснут, но дальше даже при подключённом лан кабеле в любой из разъёмов - они не загораются.
Айпиадрес как прописывал своей сетевой 192.168.88.21 так и ставил автоматом.
Ничего.
На адрес 192.168.88.1 не заходит.
Что делаю не так? Заранее спасибо
Добрый день на филиале необходимо организовать сеть на MikroTik'е. Работают "хитрые сотрудники" которые бывало сбрасывали настройки на заводские, в связи с чем пропадала возможность удаленного доступа к филиалу. Есть способ как то поменять конфигурацию заводских настроек на свои что бы "диверсии" не удавались? Или как то запретить сброс на заводские настройки? Буду очень благодарен за помощь.

Иван Авилов

-RB3011UiAS-RM - 10-ти портовый управляемый маршрутизатор с SFP. 10х10/100/1000 RJ45 ports, 1xSFP port, 1xRJ45 Serial port, USB 3.0 type A port. Процессор двухядерный IPQ-8064 1.4 GHz, ОЗУ 1 GB, флэш память 128 MB. PoE in/PoE out. Адаптер питания 24V 1.2A. Корпус для монтажа в стойку.
-в новом состоянии
- в комплекте только маршрутизатор
цена 2900грн.

Продам наружные точки доступа Mikrotik SXT 2 2HnD б/у
В наличии 4 шт
POE питание и блок питания в комплекте.
Цена комплекта 850 грн/шт

image

В связи с пандемией вируса covid-19 и всеобщим карантином во многих странах единственным выходом многих компаний, чтобы продолжать работу — удаленный доступ к рабочим местам через интернет. Есть много относительно безопасных методов для удаленной работы — но учитывая масштаб проблемы, необходим простой для любых пользователей метод удаленного подключения к офису и без необходимости дополнительных настроек, объяснений, утомительных консультаций и длинных инструкций. Таким методом есть любимый многими админами RDP (Remote Desktop Protocol). Подключение напрямую к рабочему месту по RDP идеально решает нашу задачу, кроме одной большой ложки дегтя — держать отрытым для интернета порт RDP очень небезопасно. Поэтому ниже предлагаю простой, но надежный метод защиты.

Так как часто я сталкиваюсь с небольшими организациями, где в качестве выхода в интернет используют устройства Mikrotik, то ниже будет показано, как это реализовать на микротике, но метод защиты Port Knocking легко реализуем и на других устройствах более высокого класса при аналогичных настройках входного маршрутизатора и firewall.

Коротко о Port Knocking. Идеальная внешняя защита сети подключенной к интернет — это когда все ресурсы и порты закрыты извне фаерволом. И хотя роутер с таким настроенным фаерволом никак не реагирует приходящие извне пакеты, он их прослушивает. Поэтому можно роутер настроить так, что при получении определенной (кодовой) последовательности сетевых пакетов на разные порты, он (роутер) для IP откуда пришли пакеты открывает доступ к определенным ресурсам(портам, протоколам и пр).

Теперь к делу. Детального описания настройки фаервола на микротике делать не буду — в интернете для этого полно качественных источников. В идеале firewall блокирует все входящие пакеты, но

Разрешает входящий трафик от уже установленных(established, related) соединений.
Теперь настраиваем Port Knocking на Микротике:

первые два правила


запрещают входящие пакеты с IP адресов, которые попали в черный список при сканировании портов;


добавляет ip в список хостов, которые сделали правильный первый стук на нужный порт (19000);
Следующие четыре правила:


создают порты ловушки для желающих просканировать ваши порты, и при обнаружении таких попыток заносят их ip в черный список на 60 минут, в течении которых первые два правила не дадут таким хостам возможности постучаться в правильные порты;


помещает ip в список разрешенных на 1 минуту (достаточно для установления соединения), так как сделан второй правильный стук в нужный порт(16000);


перемещает наши правила вверх по цепочки обработки фаерволом, так как скорее всего у нас уже будут настроены разные запрещающие правила, которые не дадут сработать нашим вновь созданным. Самое первое правило в микротике начинается с нуля, но у меня на устройстве ноль быль занят встроенным правилом и невозможно было переместить — я переместил на 1. Поэтому смотрим по нашим настройкам — куда можно переместить и указываем нужный номер.


осуществляет проброс произвольно выбранного порта 33890 на обычный RDP порт 3389 и ip нужного нам компьютера или терминального сервера. Таких правил мы создаем для всех необходимых внутренних ресурсов, желательно выставляя нестандартные(и разные) внешние порты. Естественно, что ip внутренних ресурсов должны быть либо статичными либо закреплены на DHCP сервере.

Теперь наш микротик настроен и нам нужна простая для пользователя процедура подключения к нашему внутреннему RDP. Так как у нас это в основном Windows пользователи, то создаем простой bat файл и назовем его StartRDP.bat:


соответственно 1.htm содержит следующий код:

Порт в первой ссылке :19000 соответствует первому порту по которому нужно стучаться, во второй соответственно второму. Между ссылками короткая инструкция, которая показывает, что делать если вдруг наше соединение из-за коротких неполадок в сети оборвалось — обновляем страницу, порт RDP для нас вновь открывается на 1 мин минуту и наш сеанс восстанавливается. Также текст между тегами img образует для браузера микрозадержку, которая снижает вероятность доставки первым пакета на второй порт (16000) — пока за две недели пользования (30 человек) таких случаев не было.

Далее идет файл 1.rdp, который мы можем настроить один для всех или отдельно для каждого пользователя (я так и сделал — легче потратить дополнительно 15 минут, чем несколько часов на консультации тех, кто не смог разобраться)


из интересных настроек тут use multimon:i:1 — это включает использование нескольких мониторов — некоторым это необходимо, а включить сами не додумаются.

connection type:i:6 и networkautodetect:i:0 — так интернет у большинства выше 10 мбит, то включаем тип соединения 6(локальная сеть 10Мбит и выше) и отключаем networkautodetect, так как если по умолчанию(auto), то даже редкая небольшая задержка в сети автоматически надолго устанавливает заниженную скорость для нашего сеанса, что может создавать заметные задержки в работе, особенно в графических программах.

disable wallpaper:i:1 — отключаем картинку рабочего стола
username:s:myuserlogin — логин пользователя указываем, так как значительная часть наших пользователей не знает своего логина
domain:s:mydomain — указываем домен или имя компьютера

Но если мы хотим упростить себе задачу по созданию процедуры подключения, то можем воспользоваться и PowerShell — StartRDP.ps1


Также немного про RDP клиент в Windows: MS прошла долгий путь оптимизации протокола и его серверной и клиентской части, реализовала много полезных фич — таких как работа с аппаратным 3D, оптимизация разрешения экрана под ваш монитор, мультиэкран и прочее. Но естественно, все реализовано в режиме обратной совместимости и если клиент Windows 7, а удаленный ПК Windows 10, то RDP работать будет используя протокол версии 7.0. Но благо можно обновлять версии RDP до более свежих версий — например можно повысить версию протокола с 7.0(Windows 7) до 8.1. Поэтому для удобства клиентов нужно максимально повысить версии серверной части, а также скинуть ссылки на обновление до новых версий клиентов протокола RDP.

В итоге мы имеем простую и относительно безопасную технологию удаленного подключения к рабочему ПК или терминальному серверу. Но для более безопасного подключения наш способ Port Knocking можно усложнять для атаки на несколько порядков, путем добавления портов для проверки — можно по той же логике добавить 3,4,5,6… порт и в таком случае прямое вторжение в вашу сеть будет почти неосуществимым.

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Настройка проброса порта rdp на mikrotik

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Вrладка Action nat

Здесь настраиваем так:

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Проброс 80 порта на роутере

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.


dstnat 80 порт

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Пустой Firewall mikrotik

Открыть порт на mikrotik

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Читайте также: