+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с настройкой переадресации портов при динамическом IP (домашний интернет)

Проблемы с настройкой переадресации портов при динамическом IP (домашний интернет), RouterOS

BackwardsCire

Guest

27.06.2012 17:45:00

Невозможность настроить переадресацию портов с динамическим IP (домашний интернет) на RB450G

Я совсем новичок в MikroTik и у меня просто нет сил разобраться с простой переадресацией портов на моём RB450G. Использую его как домашний роутер, потому что устал от дешёвого домашнего оборудования, которое постоянно срывается и вылетает (linksys, netgear и прочие). Раньше у меня был Linksys WRT120N, где переадресация портов была настолько простой, что достаточно было указать IP-приёмника. Я достаточно много искал и читал форумы, привыкал к интерфейсу MikroTik.

Через WinBox настроил роутер, поменял внутренний IP и DHCP на своё любимое адресное пространство, настроил кастомные DNS и NTP, обновил систему до последней версии 5.18. У меня жилой интернет с динамическим IP от провайдера, и пока всё работает отлично — скорость в интернете и локальной сети выросла по сравнению с Linksys. Плюс теперь роутер не греется как сковородка, чтобы на нём яйца жарить.

Есть три системы, которым нужно открыть порты:
- Windows RDP: 3389, внутренний IP 172.27.27.251
- Linux веб-сервер: 22, 80, 443, внутренний IP 172.27.27.252
- Synology NAS: 1194 и 1723, внутренний IP 172.27.27.254

Внутренний IP самого роутера — 172.27.27.1.

Все примеры настройки переадресации, которые я нашёл, предполагают наличие статического внешнего IP. У меня же динамический, и это не сработает долго. Конфигурация на роутере чистая, поэтому я даже не вижу цепочки DST-NAT в разделе NAT в Firewall. При попытке настройки меня просят указать внешний IP и не принимают имя интерфейса. Если делаю новую правило переадресации, то поле «to-address» вообще не появляется, только «address list», и я не понимаю, что надо выбрать в выпадающем меню действия.

Дальше попробую настроить всё через командную строку, вставив изменённые команды из Вики, но мне кажется, что я просто упускаю какие-то очевидные шаги.

Надеюсь, кто-то из опытных гуру пожалеет новичка и подробно объяснит, что именно нужно сделать, чтобы настроить переадресацию портов для динамического IP с чистой конфигурацией. Спасибо!

gotsprings Guest	#2 0 26.10.2014 12:52:00 /ip firewall nat add action=dst-nat chain=dstnat comment="мой сервер" dst-address=121.121.25.229 dst-port=9165 protocol=tcp to-addresses=192.168.2.3

wirelessadweb

Guest

07.01.2013 08:41:00

Привет! Я тоже новичок в Mikrotik и провёл весь воскресный день, пытаясь настроить простой проброс порта 80 на внутренний адрес. Пробовал настраивать с нуля, использовал дефолтную конфигурацию. Даже ставил две разные версии ОС. Хочу использовать webfig и пробросить 80-й порт на внутреннюю камеру. Использовал правило из вики, а теперь и это, здесь, меняя dst-address на In-Interface, как описано. Пробовал разные варианты с action: dst-nat или netmap. В IP/Services/www поменял порт на 81, и он доступен в дефолтной конфигурации, если отключить фильтры. Но до 80-го порта добраться никак не получается, что бы я ни делал. Даже пробовал сменить порт на самой камере, чтобы убрать ее с 80-го — бесполезно. Нужно ли добавлять какой-то фильтр?

RomelSan Guest	#4 0 07.01.2013 14:09:00 Проверь это снаружи вашей сети… Если хотите протестировать и изнутри, тогда нужно настроить Hairpin NAT. http://wiki.mikrotik.com/wiki/Hairpin_NAT

wirelessadweb

Guest

07.01.2013 14:46:00

Спасибо за пост — я тестирую это извне, и это должно быть очень просто. Я уже настраивал такое на других роутерах, с Mikrotik я знаком не очень хорошо, но строго следовал инструкциям здесь, работая с дефолтной конфигурацией на Omnitik с OS 5.20 и RB751u-2Hnd с 5.22. Если отключить последний фильтр из дефолтной конфигурации, могу зайти в webfig на порт 81.

gotsprings Guest	#6 0 07.01.2013 17:56:00 Некоторые провайдеры блокируют входящие соединения на порт 80. Это сделано, чтобы вы не могли запускать веб-сервер у себя дома.

wirelessadweb

Guest

08.01.2013 07:33:00

Мне не нужна была шпилька, мне нужна была проверка здравого смысла, поэтому я подключил роутер, который знаю — Ubiquity, и получил тот же результат. И вот тут меня осенило — проверил камеру и вуаля. Спасибо всем за ответы, в следующий раз обязательно проверю тестовую среду перед тем, как писать снова.

illuminet

Guest

19.05.2014 01:55:00

Я пытался настроить так, как показано, но, к сожалению, не получилось. Я выполнил все описанные выше шаги. Моя ситуация: у меня есть сервер с локальным IP-адресом 192.168.2.3 и портом 9165, мой публичный IP: 121.121.25.229. Я использовал dst nat, следовал каждому шагу, но все равно не получается подключиться. Кто-нибудь может помочь?

Trackboy

Guest

22.10.2014 16:57:00

Всем привет! У меня проблема с пробросом портов. Не хотел создавать новую тему. У меня есть сервер, и мне нужно пробросить два порта. Проблема в том, что оба порта не работают одновременно. IP-адрес сервера: 10.10.10.2 10.10.10.2:40000 (торрент) 10.10.10.2:28000 (еще один сервис) Если отключить торрент-порт, второй начинает работать.

fearsome

Guest

#10

12.04.2015 03:08:00

Я уже долго пытаюсь настроить это, но ничего не работает. Я пытаюсь запустить выделенный сервер Half-Life Source Engine. Некоторые говорят, что достаточно открыть UDP-порт 27015 (в моём случае 27016). Но после 8 часов попыток =[ у меня всё равно ничего не получается, и, скорее всего, проблема именно в роутере.

Я пробовал открыть все возможные порты и их комбинации, но никак не могу разобраться. И я знаю, что некоторые настройки правильные, потому что вижу, что по этим портам идёт трафик. Я попробовал выполнить указанную команду, но получил синтаксическую ошибку — не могу сделать действие dns-nat. Это единственное, чего мне не удаётся, всё остальное я могу сделать, но в списке серверов мой сервер так и не появляется.

В целом, порты настроены так: action dst-nat, chain dstnat, dst address — мой внешний IP, protocol tcp||udp, dst port 27016 и куча других портов, которые я нашёл в интернете. В интерфейсе ether1-gateway указываю LAN IP серверного компьютера и те же порты, что прописаны в dst port для каждой правила.

Самое раздражающее — я не могу понять, как вообще проверять и отлаживать эту ситуацию. Если у кого-то есть идеи, пожалуйста, подскажите. У меня даже нет возможности проверить, доступен ли конкретный IP и порт снаружи — кроме как глядеть в список игровых серверов, чтобы понять, правильно ли настроен роутер, или же я просто указываю не те порты или что-то в этом духе.

Admin529

Guest

#11

07.08.2016 20:11:00

Кто-нибудь может помочь с пробросом портов из внешней сети на мои камеры видеонаблюдения? Вот моя конфигурация: WAN IP у меня статический от провайдера Verizon FiOS. Когда я проверяю порт через порт-чекер, он показывает, что порт закрыт. Это из-за того, что я проверяю с внутреннего ПК или это ошибка «пользователь у компа» (PEBKAC)?

WAN IP = 100.9.62.250
IP ПК = 192.168.100.15
IP камеры = 192.168.100.100
Нужно открыть несколько портов, но для начала возьмём один — порт 1050.

Пытаюсь уже два дня с перерывами, но без результата. Вот что делаю:

IP > FIREWALL > NAT > вкладка ACTION
action = dst nat
to address = 192.168.100.15
to port = 1050

Вкладка General
chain = dstnat
src address = пусто
dst address = 100.9.62.250
protocol = tcp
src port = пусто
dst port = 1050
остальные поля пустые

Если кто-то может помочь, буду очень благодарен!!!
Огромное спасибо, надеюсь скоро получить ответ.
Роб

gotsprings Guest	#12 0 08.08.2016 02:11:00 Предполагая, что статический IP от Verizon действительно назначен роутеру и не находится за NAT’ом роутера Fios… /ip firewall nat add action=dst-nat chain=dstnat dst-address=100.9.62.250 dst-port=1050 protocol=tcp to-addresses=192.168.100.15

jupiter95

Guest

#13

30.08.2016 18:58:00

Ещё один новый пользователь, который не может настроить NAT: В куче постов я нашёл такую команду /ip firewall nat add chain=dstnat dst-port= action=dns-nat protocol=<tcp/udp> to-address= in-interface=.

Концепцию я понял, но всё равно не могу заставить это работать. Кто-нибудь может объяснить, как правильно настроить разделы firewall — и filter, и NAT? Предположим, я удалю все записи и хочу сделать всё с нуля.

У меня ситуация такая: трафик LAN в интернет работает нормально. Какие диагностические шаги можно предпринять?

ZeroByte Guest	#14 0 30.08.2016 19:31:00 В целом, для правильной работы проброса порта через фаервола нужно, чтобы выполнялись две вещи: правило трансляции в таблице NAT, которое указывает роутеру, какие изменения вносить в заголовки пакетов, и правила фильтрации, которые позволяют получившемуся потоку пакетов пройти через роутер. Первый пункт может усложниться, если вы пытаетесь сделать hairpin NAT — то есть зайти на «внешний IP» с хоста, находящегося в той же IP-сети, что и «внутренний IP». В этом случае правило dstnat может потребовать изменения в зависимости от условий совпадения, а также понадобится «правило hairpin nat», которое будет менять SRC-адрес клиентского хоста на внутренний IP роутера. Это нужно, чтобы ответы от сервера отправлялись на роутер и там переводились обратно. Второй пункт сам по себе не особенно сложный — единственное «подводное камни», что фильтры видят пакеты ПОСЛЕ применения dst-nat, поэтому они должны допускать подключения на основе внутреннего IP сервера, а не публичного.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры