Mikrotik не открывается порт windows

Обновлено: 07.07.2024

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Освоить MikroTik Вы можете с помощью онлайн-куса « Настройка оборудования MikroTik ». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.

Схема сети и описание сценария проброса портов

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Для проброса портов в Mikrotik необходимо:

Запустить программу Winbox;
Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
В меню программы перейти IP > Firewall > вкладка NAT;
Нажать кнопку [+];
Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.

Многие используют для проброса портов Netmap - это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Проброс порта mikrotik в графическом интерфейсе программы Winbox

Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.

1. Путь к настройкам NAT в Mikrotik:

Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.

2. Настройки вкладки General NAT:

На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.

В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:

Chain: dstnat
Protocol: 6(tcp)
Dst. Port: 3389
In. Interface: ether1 (интерфейс, подключенный к интернету)

Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.

Пояснение к параметрам вкладки General, при создании правила NAT:

Chain: цепочка, определяет этап прохождения пакета; dstnat - входящий пакет, идущий в nat, srcnat - исходящий пакет, покидающий nat;
Src. Address: ip-адрес источника (source) пакета;
Dst. Address: ip-адрес назначения (destination) пакета;
Protocol: протокол, доступны для выбора протоколы различных уровней OSI - канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
Dst. port: порт, на который адресован пакет источника;
Any port: означает, что указанный номер порта может быть как источником так и назначением;
In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
Out. Interface: интерфейс, на который ушел пакет.

3. Настройки вкладки Action NAT:

После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.

Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.

Action: dst-nat
To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
To Port: 3389 (порт локального хоста, но который перенапряются пакеты)

Пояснение к параметрам вкладки Action, при создании правила NAT:

Проброс порта mikrotik в терминале

Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.

1. Переходим в NAT:

2. Добавляем правило:

Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы - оставляйте комментарии, будем разбираться.

Многие начинающие микротиководы задают вопрос, как настроить в mikrotik проброс портов или по-другому перенаправление портов. В данной статье детально, на примерах опишу как настраивать это правильно и что делать, куда смотреть если проброс не работает. Для понимая этого материала вам нужны базовые знания работы NAT, строение ip пакета (то, что в нем есть адрес источника и отправителя) и TCP и UDP протоколы. Также потренироваться все это настраивать можно на эмуляторе eve-ng. Думаю, вы это все знаете, так что давайте начнем.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
Dst. Port – вот здесь указываем 3389 как писалось выше.
Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.
Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Проброс 80 порта на mikrotik

Бывают ситуации, когда у вас в сети есть веб-сервер с каким-либо сайтом работающем на 80 порту, его можно пробросить точно также как было показано для порта RDP 3389 но лучше сделать по другому.

Как видно из скрина выше и ниже, мы делаем dstnat tcp подключений, приходящих на порт 8080 с интерфейса ether1, на ip 192.168.13.100 порт 80.

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт?

Рано или поздно, у MikroTik с белым IP адресом, можно заметить нагрузку на процессор и утечку трафика, которая вызвана внешними запросами к Вашему DNS серверу.

Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял MikroTik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

/ip firewall filter
add chain=input action=drop protocol=udp in-interface=«провайдера» dst-port=53

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

Что бы сделать так же, добавляем первое правило, которое будет заносить все IP флудильщиков в специальный список IP адресов.

Chain – input;
Protocol – 17 (udp);
Dst.port – 53;
In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это PPPoE-соединение Ростелекома;
Action – add src to address list;
Address List – DNS_FLOOD (название может быть любым).

И второе правило, которое и будет ограничивать.

На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

2. Отключаем стандартные порты.

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет.

У меня выглядит вот так:

Советую и вам так сделать. Это означает что к роутеру можно присоединиться только через винбокс и только из внутренней сети (вместо 192.168.10.0 — должна стоять ваша сеть).

Еще у MikroTik по-умолчанию включен вот такой пункт IP->DNS:

Allow Remote Requests заставляет слушать DNS-сервис на всех портах маршрутизатора. Таким образом при включении сервиса мы становились отличным хостом для атаки ботами и прочей нечистью из Интернетов.

А так как у меня была статика IP последние 2 месяца, то я был вообще идеальным DNS… к слову на работе все галки были сняты сразу, так как на тот момент я про нее уже знал.

После снятия галочки, картина такая:

Иногда снятие галочки Allow Remote Requests приводит к некоторым «нерабочим» сайтам по интернету, так как мы выдаём собственный DNS в локальную сеть.

Allow Remote Requests можно поставить если Вы хотите чтоб микротик выступал в роли кэширующего DNS, но в этом случае необходимо запретить обработку запросов DNS поступающих на порты которые смотрят в сеть провайдера и разрешить обрабатывать запросы только из локальной сети.

3. Закрываем любой порт.

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать.

Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик).

Все! Вот так просто! Порт закрыт.

Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В MikroTik’e с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

Перенаправление портов Mikrotik

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
Dst. Port – вот здесь указываем 3389 как писалось выше.
Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот.

Здесь настраиваем так:

Проброс 80 порта на mikrotik

Открыть порт на микротик

89 вопросов по настройке MikroTik

chain: dstnat
Protocol: 6 (tcp)
dst.port: 80
in.interface: ether1-gateway
Action: dst-nat
to adresses: 192.168.0.5
to ports: 80

chain: dstnat
Protocol: 6 (tcp)
dst.port: 80
Action: dst-nat
to adresses: 192.168.0.5
to ports: 80

This webpage is not available
ERR_CONNECTION_TIMED_OUT

Есть компьютер с установленноой программой R-keeper, нужно открыть порт для удаленно доступа к серверу, Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

to addresses=айп пк

в брендмауэере винды тоже открыл

подскажите как правильно сделать?

__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь

Поменять пароль на роутере который подключен к Микротик
Ситуация: Есть маршрутизатор, Mikrotik rb2011uias-2hnd-in к которому подключены два Wi-Fi роутера.

ОТКРЫТЬ ПОРТ НА РОУТЕРЕ RT-103
Хочу открыть порт, так как создал сервер в игре Counter Strike, и другие не могут зайти на него.

Открыть 88 порт для FTP в роутере
Windows 7 Professional SP1 Роутер Trendnet TEW-652BRP имеет внешний статический белый IP, а.

Открываю порт в микротике так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.50 to-ports=7007
protocol=tcp dst-port= 7007, 3639, 8087 In. Interface=ether1

прописаны все порты в одном правиле. Но на скрине вроде верно.

т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду.

потому что скорее всего в фаерволе не открыты порты Может я что путаю, но у меня без форварда в фильтрах всё работает.
потому что скорее всего в фаерволе не открыты порты Для проверки этого, советую ТС по локальной машине NMAP-om пройтись и понятно всё будет. значит у тебя в фаерволе нет запрещающего правила всего и вся на WAN интерфейсе.
У меня посл. правило дропает всё. А выше я открываю то, что мне нужно. Т.е. если не разрешено, значит запрещено. т.е. на ether1 приходит белый адрес? А в filters порты открыл на форвард?

тоесть белый айп надо было писать в to addresse, вместо айп самого компа, ПРАВИЛЬНО?
В фильтрах порты не открыл зараза((

Какие правила фаервола у тебя там - я гадать на хрустальном шаре не буду. фаервол дефолтный, получается из за этого, там последнее правило в фильтрах все дропает так? нет. в to addresse пишешь внутренний адрес - куда перенаправляешь.
ну если есть такое правило, то да, выше нужно его открыть (разрешить) ну изначально ты написал, что тебе нужно пробросить порты для работы "из вне"

соответственно, внешний адрес вписывается в то ПО, которое "из вне" логинится к твоему серверу внутри сети.

У тебя на МТ приходит статический адрес (какой тип подключения? DHCP? PPPoE?) Ты, правилами в фаерволе и НАТ открываешь и пробрасываешь нужные порты во внутрь своей сети на тот ПК (или устройство), на котором запущены службы/сервисы, слушающие соответствующие порты (7007, 3639, 8087)
Тебе нужно первым делом убедится, что на этом ПК порты открыты. Это можно узнать с помощью команды

Если порты открыты, то, дальше делаешь проброс портов на МТ. Как я понимаю, у тебя дефолтный конфиг фаервола, значит в конце по форварду и инпуту у тебя стоит drop. Значит, нужно выше этих запрещающих правил прописать прописать разрешение нужных портов по форварду (тебе же внутрь сети нужно пройти, а не на МТ)
Разрешающее правило, должно быть привязано к тому интерфейсу, на котором у тебя статика. (Если у тебя интернет приходит по РРРоЕ, то в in-interface должно указано быть именно РРРоЕ-интерфейс).
Далее идем в NAT и уже тут прописываешь непосредственно сам проброс. Так же указываешь in-interface, номер порта, протокол, и в to-address указываешь свой внутренний адрес ПК, на который нужно прокинуть порты.

После этого всего с любого ПК внутри сети, зайди на Проверка доступности порта и проверь свои порты на доступность - они должны быть открыты.

Соответственно, если нужно получить доступ по RDP "из вне", то на ПК "из вне", в RDP-клиенте вводишь свой внешний статический адрес. Доступ должен быть осуществлен.

Читайте также: