Хотите, мы Вам перезвоним?
  • Киев: (044) 383-54-55
  • Днепр-вск: (056) 767-50-05
  • Харьков: (057) 764-02-54
  • Запорожье: (061) 707-78-07
Мобильные номера
 
Продукция
 
Производители
 
Новости
 
Статьи

Проброс портов в роутере MikroTik

13.10.2017

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.

 

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

  1. Откройте меню IP - Cloud
  2. Поставьте галочку DDNS Enabled
  3. Нажмите кнопку Apply
  4. Если после этого отобразиться статус "updated" без ошибок, то у вас белый IP-адрес.

Проверка белого IP-адреса в роутере MikroTik

 

Если в правом нижнем углу отображается ошибка типа "DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work.", то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.

Признак серого IP-адреса

 

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122. Он имеет внутреннюю подсеть 192.168.88.0/24.

Внутри подсети есть IP-камера с адресом 192.168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Схема сети

 

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке - это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.

Меню New Terminal в роутере MikroTik

 

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

 

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

 

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 10000 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 80, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

 

Созданные правила можно посмотреть в меню IP - Firewall на вкладке NAT.

Проброс портов в роутере MikroTik

 

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.

Вход в админку IP-камеры

 

Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.

Web-интерфейс настроек IP-камеры

 

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554, поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554.

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

 

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

 

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс. В ОС Windows в VLC media player нужно открыть меню Медиа - Открыть URL.

Меню VLC media player в iPad

 

Вводим адрес rtsp://login:passwd@178.189.224.122/video.mp4

, где login - логин для доступа к IP-камере, passwd - пароль для доступа к IP-камере, 178.189.224.122 - внешний IP-адрес роутера.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

Открыть сетевой ресурс RTSP в VLC media player

 

Далее нажмите Открыть сетевой ресурс. В нижней части появится миниатюра видео с камеры. Нажмите на нее.

Открыть RTSP поток в VLC media player

 

После этого видео на планшете откроется в полноэкранном режиме.

RTSP видео в VLC media player

 

Печатная версия Поделитесь статьёй:
  • Обычная форма
  • Facebook

Отзывы о статье

  Оценка: 5, Голосов: 11, Комментариев: 20

Добавить отзыв
Ваше Имя: *
Ваш e-mail:  

Отзыв: *
Оценка:  
Введите символы: *
Обновить
 
Роман 29.03.2018 10:12:21
А если у меня схожая задача, но камера подключена не к микротику а к другому микротику, который в свою очередь связан с основным VPN тоннелем. маршруты все прописаны , микротики видят друг друга и все устройства за ними. как должна выглядеть настройка проброса портов чтобы с внешки микротик перенаправлял в впн тоннель на камеру ?
Глеб 30.01.2018 16:17:24
Добрый день, подскажите все настроил, как выше описано, в нутри сети по белому айпишнику + порт заходит, а с внешней сети не хочет заходить, чуть не треснул, помогите пжл, буду очень признателен
Глеб 30.01.2018 18:18:27
Ребята нашел проблему в фаерволе) все ок
Alexey 01.02.2018 15:10:19
Firewall is root of all evil :))
Дмитрий 16.01.2018 15:09:49
Добрый день! В интернете миллион статей по данной ситуации, но нигде толком нет как сделать наоборот. Подскажите, как пробросить порты в обратном направлении. На камере по сработке датчика движения формируется письмо с изображением через внешний smtp сервер. Как ни пытался, письмо не проходит. На ТП линке все без проблем делается..
Artem 30.01.2018 14:24:54
Дмитрий, не надо обратного проброса, письмо формирует сама камера, но отправить его не может. Почему не может, надо разобраться.
Варианты:
В ящике: не настроен/слетел доступ не надежным приложениям
включилась двух этапная аутентификация
На микротике в порыве, могли запрещающими правилами фаервола закрыть все что не разрешено, тогда временно отключите все запреты проверьте работу отправки почты, если заработает добавьте выше правило разрешение на почтовые порты
Andrew 29.12.2017 12:08:04
Как правильно сделать проброс на микротик стоящий за главным микротиком. Нужно иметь доступ по Winbox на оба устройства. Второй микротик подключен к ведущему по внутреннему IP.
Дима 29.12.2017 15:15:48
Нужно пробрасывать произвольный порт на первом роутере на порт 8291 на второй микротик.
На втором микротике нужно разрешить доступ на порт 8291.
И не забудь перетащить созданные правила выше запрещающих.

# На первом роутере
/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=IP_второго_роутера to-ports=8291

/ip firewall nat add action=netmap chain=dstnat dst-address=Белый_IP_первого_роутера dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=IP_второго_роутера to-ports=8291

# На втором роутере
/ip firewall filter add action=accept chain=input disabled=no in-interface=ether1-gateway dst-port=8291 protocol=tcp comment="access to winbox"

При подключении на Белый_IP_первого_роутера по порту 8291 будешь попадать на первый роутер.
При подключении на Белый_IP_первого_роутера по порту 10000 будешь попадать на второй роутер.
Artem 30.01.2018 14:14:09
Андрей ваша проблема решается гораздо проще. Если в мир смотрит микротик, за ним 10-20 клиентов, для доступа к всем микротикам нужно настроить ROMON. Погуглите настройку данного функционала в WINBOX и будет вам счастье. По такой схеме реализованной изначально ребятами из RouterBoard мониторю и управляю клиентами за микротиком уже года два, всех видно, до всех можно дотянуться и пробрасывать ничего не надо.
Володя 08.12.2017 10:52:02
Вроде эта статья близко лежит к моей проблеме. У меня в локалке стоит "прибор", на которой формируется веб-страничка. "прибор" работает по статичному адресу. Микротик подключается к другому роутеру у которого есть белый IP. Хочу сделать доступ к "прибор" через микротик по авторизации с интернета. Микротик rb 750upr2. Опыта "0". В какую сторону копать? Спасибо.
Дима 08.12.2017 11:03:16
Нужно делать два проброса. Первый - на входящем роутере с белым IP, второй - на роутере MikroTik.
Или настроить MikroTik в режиме коммутатора, чтобы он был в одной подсети с первый роутером, и тогда проброс портов нужно сделать только на первом роутере с белым IP.
Володя 08.12.2017 11:45:01
С первым как-бы не проблема, он для меня "подъемный". tp-link 840. 80 порт на IP-адрес я пробросил. А вот MikroTik как? Как сделать, чтобы при подключении к "прибору" MikroTik запрашивал логин и пароль? И отсеять все лишние запросы кроме как к веб-странице "прибора". Спасибо.
Дима 08.12.2017 13:05:49
MikroTik ничего не запрашивает. Это "прибор" должен уметь давать доступ по логину и паролю.
Володя 08.12.2017 13:16:28
Прибор тупенький. У него есть пароль 4 цифры всего. Без капчи. И никак на MikroTik? Hotspot же как-то спрашивает? Например: прихожу на ether1. Набираю любой адрес, попадаю на страницу авторизации, прохожу дальше на ether2 где меня ждет мой "прибор". Набираю его 4 цифры и я в нем. Извините за "террор"... :) Просто уже несколько дней "тыкаю" кнопки MikroTik с утра до вечера, читаю интернет... Просьба "сузить угол" поисков... :)
Дима 08.12.2017 13:37:13
Причем здесь MikroTik? Что значит заходишь на ether1? Ты заходишь на web-сервер авторизации, а не на порт.
Пробрасывай на MikroTik 80 порт к прибору и все. Больше ничего ты не сделаешь.
evgen 05.12.2017 16:01:09
маскарад должен в конце стоять или это не принципиально?
Валерий 01.11.2017 12:51:22
Спасибо, очень полезно.
Можете дополнить статью скриншотами с шагами настройки через графический интерфейс?
Техподдержка 01.11.2017 12:58:39
Через командную строку настраивать намного быстрее и проще.
Ігор 19.10.2017 11:33:03
Доброго дня. Є сервер з внутрішнім ІР, на якому працюють по віддаленому робочому столу. Заходят на нього як по локалці так із нета. Яким чином прокинути порти якщо обладнання працює на 2 провайдера. І як здійнювати вхід на сервер. Дякую.
Дима 19.10.2017 12:02:08
Нужно пробросить порты для обоих IP провайдеров, а клиенты пусть подключаются по DNS имени, а не по IP. Можно использовать DNS имя микротика, которое включается в меню IP - Cloud. После падения одного провайдера нужно еще обновлять DNS имя командой /ip cloud force-update, чтобы у него обновился IP адрес.
Страницы: 1
Call-центр
  • +38 097 085-80-08
  • +38 099 238-88-98
  • +38 099 322-60-10
  • +38 063 563-33-93
  • График работы:
    Пн–Пт с 9 до 18
Магазины
  • Киев: +38 044 223-10-98
  • Харьков: +38 057 764-02-54
  • Днепр-ск: +38 056 767-50-05
  • Запорожье: +38 061 707-78-07
Наши партнеры
     
© 2003–2018 «Компания ТехноТрейд»
интернет-магазин сетевого оборудования
×
×
Валюта: