Mikrotik od zera – Przekierowanie portów #03

Przekierowanie portów

Jak pamiętasz ze wstępu konfigurujemy router Mikrotika do pracy w małym biurze. Nasze biuro wyposażone jest w kilka kamer oraz rejestrator. Naszym zadaniem jest przekierowanie portów, tak, aby rejestrator był widoczny z zewnątrz. Z bocznego memu wybieramy IP->Firewall i przechodzimy na zakładkę NAT. Znakiem plusa dodajemy nowy wpis. Rejestrator posiada statyczny adres IP 10.10.0.100 oraz nasłuchuje na domyślnym porcie tcp 8000. W nowym oknie uzupełniamy:

  • Dst. Address: jeżeli mamy kilka publicznych adresów IP, możemy wskazać precyzyjnie na jaki adres ma zostać przekierowany port. W naszym przypadku mamy jeden adres, dlatego to pole może zostać puste.
  • Protocol: wskazujemy w zależności od rodzaju usługi, w tym przypadku wybieramy tcp
  • Dst. Port: 8000
  • Action: dst-nat
  • To Addresses: 10.10.0.100, czyli adres rejstratora
  • To Ports: 8000
Mikrotik Firewall dodainie reguły na przekierowanie portów
Mikrotik Firewall dodanie reguły dst-nat

Hairpin NAT

W niektórych przypadkach zwykłe przekierowanie portów, to za mało. Problem pojawia się w kiedy będą podłączony do sieci lokalnej chcemy podłączyć się do rejestratora używając publicznego adresu IP, czyli skorzystać z utworzonego wcześniej przekierowania. Niestety bez zastosowania tak zwanego Hairpin Nat, nie będziemy w stanie podłączyć się do rejestratora. Rozwiązaniem jest dodanie kolejnej reguły w Firewallu. Ponowanie przechodzimy na IP->Firewall, zakładka NAT i dodajemy nowy wpis. Uzupełniamy pola:

  • Src. Address:podajemy adres lokalnej podsieci
  • Dst. Address:podajemy adres routera, z włączonym wykrzyknikiem, który spowoduje, iż reguła zostania zastosowana dla wszystkich adresów oprócz adresu routera
  • Action:maskarada
Mikrotik Firewall NAT dodanie Hairpin NAT
Mikrotik Firewall NAT dodanie Hairpin NAT

Reguły w Firewallu przetwarzane są z górny na dół, dlatego bardzo ważne jest, aby nowa reguła Hairpin NAT była pod główną reguła z maskaradą.

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6

Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+

Materiał Video

14 komentarzy

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *