Андрей Смирнов
Время чтения: ~20 мин.
Просмотров: 0

Проброс портов в mikrotik

Summary

Sub-menu:

Network Address Translation is an Internet standard that allows hosts on local area networks to use one set of IP addresses for internal communications and another set of IP addresses for external communications. A LAN that uses NAT is referred as natted network. For NAT to function, there should be a NAT gateway in each natted network. The NAT gateway (NAT router) performs IP address rewriting on the way a packet travel from/to LAN.

There are two types of NAT:

  • source NAT or srcnat. This type of NAT is performed on packets that are originated from a natted network. A NAT router replaces the private source address of an IP packet with a new public IP address as it travels through the router. A reverse operation is applied to the reply packets travelling in the other direction.
  • destination NAT or dstnat. This type of NAT is performed on packets that are destined to the natted network. It is most comonly used to make hosts on a private network to be acceesible from the Internet. A NAT router performing dstnat replaces the destination IP address of an IP packet as it travel through the router towards a private network.

Hosts behind a NAT-enabled router do not have true end-to-end connectivity. Therefore some Internet protocols might not work in scenarios with NAT. Services that require the initiation of TCP connection from outside the private network or stateless protocols such as UDP, can be disrupted. Moreover, some protocols are inherently incompatible with NAT, a bold example is AH protocol from the IPsec suite.

To overcome these limitations RouterOS includes a number of so-called , that enable NAT traversal for various protocols.

Masquerade

Firewall NAT is unique subversion of , it was designed for specific use in situations when public IP can randomly change, for example DHCP-server changes it, or PPPoE tunnel after disconnect gets different IP, in short — when public IP is dynamic.

Every time interface disconnects and/or its IP address changes, router will clear all masqueraded connection tracking entries that send packet out that interface, this way improving system recovery time after public ip address change.

Unfortunately this can lead to some issues when is used in setups with unstable connections/links that get routed over different link when primary is down. In such scenario following things can happen:

  • on disconnect, all related connection tracking entries are purged;
  • next packet from every purged (previously masqueraded) connection will come into firewall as , and, if primary interface is not back, packet will be routed out via alternative route (if you have any) thus creating new connection;
  • primary link comes back, routing is restored over primary link, so packets that belong to existing connections are sent over primary interface without being masqueraded leaking local IPs to a public network.

You can workaround this by creating blackhole route as alternative to route that might disappear on disconnect).

When is used instead, connection tracking entries remain and connections can simply resume.

Создание правил и выбор действий

Теперь создаем новое правило и приступаем к заполнению полей настроек. Здесь нужно быть очень внимательным и исходить именно из того, какой доступ необходимо осуществить (изнутри наружу или наоборот).

Параметры должны быть такими:

  • Chain: srcnat используется для доступа из локальной сети, так сказать, во внешний мир, dstnat – для доступа к локальной сети извне (выбираем для входящих подключений второй вариант);
  • поля адресов Src. и Dst. оставляем пустыми;
  • в поле протокола выбираем либо tcp, либо udp (обычно устанавливается значение 6 (tcp);
  • Src. Port оставляем незаполненным, т.е. исходящий порт для внешних подключений не важен;
  • Dst. Port (порт назначения): указывается порт для вышеприведенных примеров (например, 51413 для торрентов, 3389 для RDP и т.д.);
  • Any Port можно оставить пустым, но если указать номер, один порт будет использоваться и как входящий, и как исходящий;
  • In. Interface: вписывается порт самого роутера (обычно это ether1-gateway);
  • Out. Interface: указывается исходящий интерфейс (можно пропустить).

Примечание: в случае проброса портов для удаленного подключения извне (RDP) в поле Src. Address указывается IP удаленного компьютера, с которого предполагается осуществлять доступ. Стандартный порт RDP-подключения 3389. Однако большинство специалистов заниматься подобными вещами не рекомендует, поскольку намного безопаснее и проще настроить на маршрутизаторе VPN.

Далее в роутере Mikrotik проброс портов предполагает выбор действия (Action). Собственно, здесь достаточно указать всего три параметра:

  • Action: accept (простой прием), но для доступа извне указывается dst-nat (можно указать более продвинутую настройку netmap);
  • To Addresses: вписывается внутренний адрес машины, на который должно будет происходить перенаправление;
  • To Ports: в общем случае выставляется значение 80, но для корректной работы того же торрента указывается 51413.

Настройка сервера PPPoE на Микротик

Нам необходимо создать адресное пространство (IP пул). Подключимся к NetworkCore и перейдем в IP – Pool.

Создадим новый. Задаем понятное название и диапазон адресов.

Сохраняем и переходим к следующему пункту.

Создание профиля

Переходим к созданию профиля. Открываем PPP – Profiles.

  • Задаем понятное имя профиля;
  • Local Address – 172.16.25.1;
  • Remote Address – ранее созданный пул;
  • DNS – в качестве примера 8.8.8.8;
  • Change TCP MSS – yes;
  • Use UPnP – no.

Переходим в Protocols.

  • Use MPLS – no;
  • Use Compression – no;
  • Use Encryption – yes.

Открываем Limits.

Only One – no.

Сохраняем и идем далее.

Создание пользователей

Т.к. PPPoE требует аутентификацию по логину и паролю, нам необходимо создать два пользователя, по одному для каждого офиса. Последовательно открываем PPP – Secrets.

  • Name – учетная запись, регистр имеет значение;
  • Password – пароль;
  • Service – можно выбрать any, но я предпочитаю указывать конкретные сервисы;
  • Profile – раннее созданный профиль.

По аналогии создаем пользователя для офиса SPB.

Включение сервера

Для ограничения широковещательного трафика я не стал создавать bridge и добавлять в него порты, связанные с офисами. Так же я создал одну сеть, что не рекомендуется для production сети. Сервер настраивается в PPP – PPPoE Servers. Создадим первый, подключенный к московскому офису.

Задаем параметры:

  • Service Name — указываем уникальное имя сервиса;
  • Interface – ether2 для офиса в Москве;
  • Default profile – раннее созданный профиль;
  • One Session Peer Host – ставим галочку;
  • Authentication – оставляем только MSCHAPv1 и MSCHAPv2.

Есть возможность указать задержку ответа в параметре PAD0 Delay. Данный параметр будет полезен для сценариев с несколькими серверами. Его мы не изменяем.

Сохраняем и создаем еще один, но только указываем другое имя сервиса и порт ether3 в параметре interface.

Настройка клиента PPoE на Микротик

Необходимо настроить таким образом, чтобы был доступ в интернет. На московском роутере я покажу как это сделать. Для начала проверим что на нем нет никаких IP адресов и маршрутов.

Далее переходим в PPP – Interface и добавляем новый.

В создании интерфейса на вкладке General зададим:

  • Name – понятное название интерфейса;
  • Interface – тот интерфейс, который подключен к провайдеру, в нашем случае ether1.

Предлагаю воспользоваться утилитой PPPoE Scan – она позволяет без подключения и аутентификации просканировать эфир на наличие каких-либо серверов. Особенно полезная штука для поиска неисправностей доступности крупнейшего провайдера нашей страны. После нажатия кнопки Start утилита начинает сканирование. На скриншоте ниже, виден наш сервер с заданным именем сервиса и AC Name – он берется из Identity в меню System. При желании можно сменить.

Закрываем утилиту и переходим во вкладку Dial Out.

  • Service – for-MSC (можно не указывать);
  • AC Name – NetworkCore (можно не указывать);
  • User – MSC – обязательный параметр;
  • Password – обязательный параметр;
  • Use Peer DNS – ставим галочку;
  • Allow – снимаем галочки с chap и pap.

Add Default Route нужен для автоматического добавления маршрута 0.0.0.0/0 в нашу таблицу маршрутизации. Данная запись обеспечит выход в интернет

Обращаю внимание, что она устанавливается на клиентской стороне. Сохраняем и проверяем на вкладке Status

Мы видим внизу статус – connected, что символизирует об успешном подключении. Исходя из скриншота выше можно сказать, что, последний раз соединение поднялось 05.02.2020 в 19:51, время жизни 44 секунды, получили адрес 172.16.25.20, Service Name — for-MSC, AC Name — NetworkCore. Попробуем проверить доступность интернета.

Отправив ping запрос по доменному имени, мы убедились, что имя преобразуется – это означает что DNS сервер добавился без проблем и получаем ответы на запросы — работает интернет-соединение. Не ленимся и перепроверим в соответствующих консолях.

Проделаем аналогичные действия на Mikrotik в Питере и посмотрим, что происходит на главном роутере NetworkCore.

Как мы видим, на интерфейсах ether2 и ether3 появились дополнительные соединения. Далее мы можем из этих интерфейсов сделать статические адрес листы и в зависимости от ситуации, разрешать или запрещать определенный трафик. В данном примере я продемонстрировал как с помощью PPPoE на роутере Mikrotik разрешить доступ в интернет, вы же можете предоставлять с его помощью доступ к иным службам или сетям

Спасибо за внимание

Проброс портов на роутере

Проброс портов на роутере Mikrotik начинается с этого:

  • Нужно открыть браузер и вбить в поле адреса локальный адрес роутера. По умолчанию это Mikrotik (адрес 192.168.0.1). Имя пользователя «admin», пароль «admin».
  • После ввода данных откроется интерфейс роутера.
  • Нужно взглянуть на левую верхнюю часть меню и найти там параметр «Переадресация» («Retrack» или «Forwarding»). Если на роутере установлен какой-то альтернативный язык, нужно скачать прошивку с официального сайта и установить её.
  • Нужно кликнуть по пункту и зайти в Виртуальные серверы (Virtual Servers).
  • Такая процедура позволит получать удалённый доступ к любому компьютеру в LAN, причём, устройство, которое находится в LAN необязательно должно быть включено.
  • На следующей странице нужно найти кнопку «Добавить» (Add New) и нажать её.
  • Далее нужно внести информацию в поля, чтобы можно было получить доступ к другому устройству.
  • Порт сервиса (Service Port) можно написать произвольный, к примеру, 77. Этот порт нужно указать при входе на конкретное устройство из Интернета в отдельной программе или в адресном поле браузера через символ «:», после хост-адреса.
  • Внутренний порт (Internal Port) нужно указывать точно. Его можно уточнить в инструкции к устройству ( по стандарту это 80).
  • IP адрес (IP Address) – это интегрированный LAN-адрес машины. Он находится в свойствах самого устройства, либо уточняется в ходе теста сети.
  • Нажмите кнопку Сохранить (Save) и получите один готовый проброшенный порт, который можно Удалять (Delete) или Изменять (Modify) по желанию.
  • Перезагружать устройство не нужно.
  • Снова нажмите кнопку Добавить (Add New) и пробросьте следующий порт.
    Будет показан пример проброса порта с номером «8000», который предназначается для удаленного доступа приложений.
  • После нажатия клавиши «Сохранить» открываются два доступных порта для удаленного доступа.

Альтернативный способ — запустить роутер в тестовом режиме (зажать кнопку выключения и функциональную клавишу). Пока роутер перезагружается, нужно открыть в адресной сроке браузера адрес 192.168.0.1. Когда страница загрузится, данных не будет. Нужно периодически обновлять страницу, пока соединение не будет установлено. На странице будут 2 кнопки «Return to standart settings» и «Swap port». Первая кнопка — сброс к настройкам, вторая — смена портов. Нажатие по второй кнопке автоматически создаст максимальное кол-во свободных портов, за которыми можно закрепить устройства. Сделать это можно при помощи добавления нового соединения.

Доступ к ресурсам через VPN.

Очень часто нас спрашивают, примерно такой вопрос.

«У нас есть два филиала, и мы хотим предоставить доступ к внутренним ресурсам второго филиала, через публичный адрес первого филиала»

Для того чтобы понять какой кейс мы будем решать, необходима схема и её некоторое описание.

И так у нас есть два филиала, с внешними адресами, хотя достаточно и одного адреса публичного адреса с любой из сторон.

Если у вас одни IP адрес, то в этом случае вы ограниченны в выборе VPN типа, обязательно в виде клиент серверной реализацией.

Опишем задачу, в сети R1 есть веб сервер с адресом 192.168.1.100 при попытки внешнего клиента установить соединение с сервером через маршрутизатор R1, он должен успешно установить соединение. Точно также если клиент попытается установить соединение с данным сервером через маршрутизатор R2, он сделать это успешно.

В сети маршрутизатора R2 есть сервис SMTP 25 порт TCP с адресом 192.168.2.25, точно также, как и веб сервис, он должен быть доступен через оба маршрутизатора.

Давайте настроим первым делом маршрутизаторы, то, как вы это делаете обычно.

На R1

На R2

Мы не будем учитывать настройку фильтра firewall, это требует отдельной большой статьи, а то и курса, как минимум MTCNA. Я надеюсь, вы знаете, как надо настраивать firewall MikroTik.

Также нам необходимо настроить NAT. Настраиваем как обычно, без каких либо излишеств.

На R1

На R2

src-nat не привел в примере, так как он может быть у вас разный, он не как не скажется на работу сервисов. Вы должны самостоятельно сделать правило, как минимум masquerade.

обратите внимание, что dst-nat у нас правила на обоих маршрутизаторах одинаковые, можно добавить ещ1ё в фильтр dst-address, но тут всё зависит от конкретной реализации

VPN

Конечно, нам необходимо настроить VPN, без каких-либо излишек без шифрования и прочего, вы сами должны определить для себя какой тип инкапсуляции и нужно ли вам шифрование. Возможно, что вы у провайдера берёте услугу L2VPN, то тогда у вас есть отдельный интерфейс, возможно в виде VLAN.

Создадим самый простой VPN на основе IP инкапсуляции.

На R1

На R2

Для удобства используем одинаковые имена интерфейсов.

Создали туннель и назначили на него IP адрес с сетью /30.

После всего прочего, нам необходимо настроить маршрутизацию, чтобы хосты разных сетей были доступны. Т.е. обеспечиваем IP связность.

На R1

На R2

На данный момент, у вас должно заработать связность и хосты должны быть доступны по IP адресам.

И даже доступным сервисы, но только не сервисы, которые идут через dst-nat в другой филиал.

Прежде что-либо настроить нам надо разобраться почему не работает текущая схема.

Самая главная причина, в том, что когда от сервера приходит пакет в ответ на существующее соединение, маршрутизатора R2 отправляет пакет через себя в интернет, а нам необходимо, чтобы он его доставил на R1, а также он отправляет его «в чём мать родила», без подмены адреса источника. Хотя подмена и не нужна, но в такой ситуации вы компрометируете свою внутреннюю сеть, как минимум перед провайдером.

Перенаправление портов Mikrotik

Все настройки по прокидыванию портов делаются в разделе IP -> Firewall -> Nat. Ниже опишу все параметры и на примере пробросим RDP 3389 на сервер или компьютер.

Стрелочками показано в какой раздел заходить, нажимаем + и создадим новое правило NAT. Итак:

  • Chain – здесь выбираем что будем заменять в ip пакете (то есть адрес отправителя или получателя). Для нашего примера с RDP выбираем dstnat.
  • Src. Address – можем указать тут конкретный ip с которого нужно осуществлять проброс порта (то есть если здесь указать 2.45.34.77, то при работающем правиле проброс будет работать только при подключении с этого адреса). Нам этого не надо поэтому оставляем пустым.
  • Dst. Address – здесь указываем белый ip нашего роутера к которому будет подключаться по RDP а он в свою очередь будет натить на сервер. (Здесь имеет смыслю указывать ip если у вас несколько белых адресов на интерфейсе.) В нашем случае оставляем пустым.
  • Protocol – выбираем какой протокол будем пробрасывать (RDP работает по TCP протоколу и порту 3389). Очевидно, выбираем
  • Src. Port – Порт с которого будет подключения. Оставляем пустым, для нашего примера он не нужен.
  • Dst. Port – вот здесь указываем 3389 как писалось выше.
  • Any. Port – бываю случае порты src и dst одинаковые его можно вписать сюда, или когда нужно пробросить все TCP. (оставляем пустым)
  • In. Interface – входящий интерфейс микротика, указываем тот на котором висит белый ip. У меня этот. 
  • Out. Interface – исходящий интерфейс, тут можно указать тот который смотрит в вашу локальную сеть а можно и ничего не указывать, тогда mikrotik сам выберет его по адресу подсети.
  • In. Interface list – тут указывается интерфейс лист. То есть, если у вас 2 и более каналов в интернет, их можно все объединить в interface list и указать тут. Тогда не надо будет для каждого провайдера делать правило проброса RDP.
  • Out. Interface List – тоже самое что и 10 пункт только исходящий.

Остальные пункты с 12 по 16 вам сейчас не нужны, они используются для более сложных схем, таких как маркировка трафика и отправка его в конкретную таблицу маршрутизации и тд.

Теперь переходим на вкладку Action на которой мы скажем роутеру что делать с полученным пакетом и куда его отправлять.

Здесь настраиваем так:

  • Action – действие которое mikrotik должен произвести, выбираем dst-nat, так как нам надо запрос приходящий на белый ip с портом 3389 перенаправить на адрес из серой сети.
  • Галочка Log будет писать все nat трансляции в лог файл – этого делать не стоит.
  • Log Prefix – будет добавлять в лог в начало строки произвольные символы которые тут напишете.
  • To Addresses – люда вписываем ip сервера (серый) на который нужно настроить перенаправление портов на mikrotik.
  • To Ports – ну и TCP порт на который пересылать.

Вот так просто настраивается проброс портов на mikrotik, дальше приведу еще несколько примеров для различных сервисов.

Изменение и удаление портов на роутере Mikrotik

Исходя из инструкции «Как открыть порт», можно заметить, что в открывшемся порте на роутере есть параметры «Изменить» и «Удалить». В зависимости от протокола выбирается один из параметров, так как для удаления некоторых портов требуется сначала освободить под смену новый (пустой) порт, иначе роутер будет накапливать ошибки.

Если пользователь случайно удалил порт с пометками «UDP» и «Disabled», после чего роутер перестал предоставлять интернет-соединение, нужно скачать стандартную прошивку и установить её снова, так как пустое место в таблице всё равно останется, а порт неактивен и не поможет в получении удалённого доступа.

Переадресация не функционирует

Есть вероятность, что после всех настроек, проброс не заработает. Причин может быть несколько, в первую очередь следует проверить следующие аспекты подключения:

  1. Проверить доступность внешнего сервера из локальной сети. Удостовериться, что его ip и порт прописаны верно. Исправить, в случае ошибочного написания. Если опять не получается выполнить Port Forwarding, то проверить конфигурацию сервера.
  2. Просмотреть созданные правила. Проверить правильность написания параметров. Исправить замеченные ошибки.
  3. Проверить адрес внешнего интерфейса роутера WAN. Возможно, он сам входит в другую локальную сеть и имеет «серый» адрес. Если это так, то необходимо сделать проброс на конечном маршрутизаторе, имеющем выход в интернет. К «серым» ip-адресам относятся следующие диапазоны: 10.0.0.0—10.255.255.255;172.16.0.0—172.31.255.255;192.168.0.0—192.168.255.255. Они не используются в интернете и применяются только в локальных сетях.

Port Forwarding трудоемкое и требующее внимательности мероприятие. Возможно, что с первого раза новичку будет трудно его осуществить. Желательно сохранить резервную копию конфигурации маршрутизатора перед началом процесса.

Доступ к веб-интерфейсу

Итак, приступаем. Для маршрутизаторов Mikrotik проброс портов (RDP, FTP и т.д.) начинается со входа в систему управления устройством, называемую веб-интерфейсом. И если для большинства известных роутеров в качестве стандартных адресов используются сочетания 192.168 с окончаниями либо 0.1, либо 1.1, здесь такой вариант не проходит.

Для доступа в веб-браузере (лучше всего использовать стандартный Internet Explorer) в адресной строке прописывается комбинация 192.168.88.1, в поле логина вводится admin, а строка пароля, как правило, остается пустой. В случае, когда доступ по каким-то причинам оказывается заблокированным (роутер не воспринимает логин), потребуется сделать сброс настроек, нажав на соответствующую кнопку или отключив устройство от электропитания на 10-15 секунд.

Принцип действия и область применения

Большинство пользовательских роутеров используют механизм подмены адреса PAT или NAT Masquerading. При таком сценарии, устройства во внутренней сети соединяются с интернетом через маршрутизатор. При этом они не «видны» наружным пользователям, контакт осуществляется через внешний IP-адрес роутера, подключенного к провайдеру.

В такой схеме каждому члену сети (ЛВС) кроме адреса присваивается номер порта. При поступлении запроса с внутреннего ПК, роутер открывает соответствующий порт, меняет на нем адрес на внешний и отправляет данные в интернет. Поэтому данный процесс назвали «masquerading» или «маскардинг» — внутренний ПК «скрывает» свой IP, «надев» маску маршрутизатора.

Главными преимуществами в такой схеме подключения являются:

  • повышенная безопасность локальной сети;
  • малое количество IP-адресов для соединения с провайдером;
  • гибкость при смене поставщика интернет-услуг.

Из-за подобного сценария работы PAT, роутер обрабатывает запросы, которые посылает внутренний ПК. Если первым к нему обратится наружный сервер или компьютер, то маршрутизатор не поддержит соединение и «ответит» отказом.

Но часто возникают ситуации, когда необходимо получить данные из ЛВС, не ожидая посылки запроса из нее. Например, в следующих случаях:

  • подключение к IP-камере или видерегистратору удаленно, через интернет;
  • для правильного функционирования торрентов;
  • доступ к P2P-сетям и локальным FTP и WEB серверам;
  • создание домашних игровых серверов.

Для этого в роутере инициализируется исключение из механизма NAT Masquerading, при котором, поступившие из вне данные, через выделенный порт поступают к указанному ПК во внутренней (локальной) сети. Происходит «прямой контакт» внутреннего и внешнего устройств.

Такое соединение называется «Port Forwarding» или «пробросом». Изменяя настройки маршрутизатора MikroTik, можно установить соответствующую конфигурацию.

Настройка процедуры «Port forwarding» (проброс портов) в Mikrotik

Настройка вкладки «General»

  • требуется нажать «плюс» и в открывшемся окне заполнить пару значений: chain — вектор маршрута данных. Из списка выбрать — srcnat, что подразумевает принцип «изнутри-наружу», данные передаются из локальной сети во внешнюю и «dstnat» — из внешней сети во внутреннюю.
  • Src. Address/ Dst. Address — внешний адрес, с которого будет начинаться подключение, и адрес назначения (нужно установить адрес нашего маршрутизатора).
  • protocol — в этом пункте требуется указать разновидность протокола для данного соединения (tcp или udp). Пункт обязательный, без него ничего не выйдет
  • Src. Port (исходящий порт) — порт предназначен для удаленного устройства, с которого переносятся данные, (нужно оставить пустым).
  • Dst. Port (конечный порт) — нужно указать ссылку на внешний порт роутера, на который будет поступать информация от удаленного устройства и передаваться на наш ПК по LAN.
    Any. Port (произвольный порт) — если здесь указать номер порта, то роутер будет понимать, что этот порт —
  • выходящий и входящий одновременно (интеграция двух вышеописанных полей в одно).
  • In. interface (входной интерфейс) — здесь требуется указать интерфейс роутера MikroTik, на котором «прослушивается» этот порт. В нашем случае, так как мы проводим проброс для трансляции данных снаружи, это интерфейс, по которому маршрутизатор подключается к сети Интернет, по стандарту это «ether1-gateway». Значение нужно указать обязательно, иначе порт не будет виден по LAN. Если подключаться к провайдеру по протоколу «PPPOE», то скорее всего, нужно будет прописать его, а не WAN-интерфейс.
  • Out. interface (выходной интерфейс) — интерфейс для коннекта с ПК, на котором пробрасывают порты.

Настройка вкладки «Action»

В строке «Action» нужно прописать действие, которое выполнит роутер. Другими словами, это скрипты действий, или набор алгоритма действий, которая будет использовать роутер при получении данных. Таким образом можно полностью автоматизировать рабочие процессы, чтобы пользователь не принимал в них прямого участия.

Возможные варианты:

  • accept — стандартный приём данных;
  • add-dst-to-address-list — добавить конечный адрес в список роутера;
  • add-src-to-address-list — выходящий адрес будет добавлен в соответственный список адресов;
  • dst-nat — передаёт данные из внешней сети в LAN;
  • jump — наследования правил другого (смежного или соседнего канала), к примеру, при активном значении «srcnat» — применяется правило для «dstnat»;
  • log — записывать все действия в файл;
  • masquerade — замена внутреннего адреса ПК или другой машины из LAN на адрес маршрутизации;
  • netmap — создание переадресации одного массива адресов на другой,. Оказывает более глобальное действие, чем
  • dst-nat;
  • passthrough — этот пункт конфигурации правил нужно пропустить и пройти к следующему. Он нужен только для статистики;
  • redirect — информация передаётся на другой порт этого же маршрутизатора;
    return — если доступ в этот канал был получен по функции jump, то это правило вернёт данные обратно;
  • same — редко используемая настройка один и тех же правил для группы адресов; src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление). Для наших конфигураций подойдут параметры «dst-nat» и «netmap». Нужно отметить последний.

В строке «To Adresses» нужно прописать внутренний IP-адрес компьютера или устройства, на который роутер перенаправит данные по протоколу проброса порта.

В поле «To Ports», соответственно, номер порта.

При загрузке пресета из интернета и последующем сбросе к заводским настройкам при помощи функции Return to Factory reset, можно получить полностью проброшенные порты, которые могут быть использованы удалённым устройством, поэтому стандартные настройки роутера, которые могут нарушаться в процессе проброса, будут соответствовать заводским. Рекомендуется создавать точки восстановления системы или резервную копию файла роутера, как в случае поломки это будет единственным способом вернуться на момент рабочего состояния, и полностью откатить нежелательные изменения.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации