Проброс портов для ip камеры на роутере mikrotik

CMS для удаленного управления видеонаблюдением

CMS для удаленного управления видеонаблюдением — программа простая и не требует особых знаний. И это не может не радовать, ведь с ее помощью мы можем удаленно просматривать картинку с наших камер в режиме online, работать с архивом на жестком диске и даже удаленно изменять большинство настроек нашего регистратора. Для настройки удаленного просмотра нам не потребуется изучать сетевые протоколы, работу с адресами портов ввода-вывода и тому подобных вещей. Все что мы должны знать — это как зайти в меню регистратора, и как устанавливать программы на компьютер. Все остальное я расскажу, напишу и даже поделюсь картинками  

Настройка Mikrotik: проброс портов FTP

Наконец, несколько слов о том, какие настройки понадобятся для FTP. Прежде всего нужно настроить сам FTP-сервер, например, на основе FileZilla, но это отдельный разговор. В данном случае нас больше интересует проброс портов FTP Mikrotik, а не настройки серверной части.

Как считается, FTP-сервер хоть и требует указания определенного диапазона портов, однако совершенно нормально работает на управляющем порте 21. Его необходимо задействовать.

Как и в общем случае, сначала нужно создать новое правило, только в данной ситуации их будет два: для управляющего порта и для всего диапазона портов.

Для порта 21 параметры должны быть такими:

• Chain: dst-nat;
• Dst. Address: внешний адрес роутера (например, 1.1.1.28);
• Protocol: 6 (tcp);
• Dst. Port: 21
• In. Interface: ether1-gateway.

Для вкладки действия Action устанавливаются следующие значения:

• Action: dst-nat;
• Dst. Address: адрес терминала, на котором установлен FTP—сервер;
• To Ports: 21.

Для диапазона (например, 50000-50050) все опции аналогичны, за исключением двух параметров:

• в общих настройках для Dst. Port указывается весь диапазон портов;
• при выборе действия тот же диапазон вписывается в поле To Ports.

Обратите внимание, что при настройке проброса для FTP нужно следовать документации роутера, а в ней сказано, что не рекомендуется использовать начальный порог диапазона портов ниже значения 1024. Это момент тоже стоит учесть

В принципе, еще можно задействовать функцию Hairpin NAT Mikrotik, но она нужна только в тех случаях, когда требуется вход под внешним IP из локальной сети. В общем случае активировать ее не нужно.

Необходимость настройки проброса портов (Port Forwarding) на роутерах MikroTik встречается довольно часто. Но даже для опытного администратора конфигурирование микротиковских маршрутизаторов может показаться сложным, тем более для обычного пользователя. Хотя как раз за широкие функциональные возможности, наряду со стабильностью и надежностью работы, эти устройства и ценятся.

В сегодняшней статье мы постараемся дать как можно более понятную инструкцию по настройке проброса портов на примере роутера MikroTik RB951-2n (изображен на картинке выше).

Mikrotik: проброс портов для видеорегистратора на Микротик

Проброс портов на роутере Mikrotik требуется в тех случаях, когда необходимо настроить прямой доступ к компьютеру или устройству, находящемуся в его локальной сети. Яркий пример — игровой сервер или видеорегистратор системы видеонаблюдения. Несмотря на то, что интерфейс настройки у операционной системы Routerboard, которая используется на Микротике, немного сложноват для новичков — если под рукой хорошая инструкция, то всё делается за несколько минут.

Чтобы пробросить порт на Mikrotik для видеорегистратора, RDP, VPN или иного сервиса, нужно в меню веб-интерфейса или через WinBox открыть раздел IP->Firewall:

Дальше откройте вкладку NAT и нажмите на кнопку «+».

Появится окно создания нового правила НАТ:

В списке Chain надо выбрать правило dsnat, которое отвечает за входящий трафик. В списке Protocol выбираем протокол, который нам нужен — как правило это TCP или UDP. в поле Dst.Port надо ввести номер открываемого порта.

Далее, чтобы проброс порта на Микротике работал, надо открыть вкладку Action.

В списке Action выбираем значение dst-nat или netmap, что по сути почти одно и то же. Остаётся только прописать IP компьютера или видеорегистратора, для которого хотим пробросить порт, в поле «To Address», ну и сам номер порта в поле «To Ports». Если нужно пробросить несколько портов, то указывать надо сразу диапазоном. Нажимаем кнопку «ОК».

Теперь можно проверять доступность порта из Интернета. Только не забудьте, что этот порт должен быть активен в момент проверки. То есть если Вы делали проброс портов на Микротике для видеонаблюдения, то видеорегистратор должен быть включен и подключен к роутеру.

Немного теории

Проброс портов несвязан с типом камер. Какая бы у вас система видеонаблюдения ни была: ip или аналоговая — все завязано на роутере. Разница состоит в том, что аналоговые камеры не имеют своего ip адреса.

Принципиальная схема удаленного подключения к видеорегистратору или ip камерам

Каждая аналоговая камера при помощи кабеля напрямую соединяется с видеорегистратором. Видеорегистратор подключается в сеть и в нем делается проброса портов.

Каждая ip камера имеет свой ip адрес в сети, например, одна — 192.168.0.110, вторая — 192.168.0.111. Видеорегистратор тоже имеет свой ip адрес, допустим, 192.168.0.100. В отличие от аналоговых камер, цифровые камеры можно подключать в коммутатор (свитч) в любом месте локальной сети. И когда вы объединяете коммутаторы в одну сеть — вы можете подключаться к ip камерам напрямую и через видеорегистратор.

Настройка программы на ПК для удаленного подключения к видеокамерам

Каждая камера имеет не только свой ip адрес, но и web-интерфейс, логин и пароль для входа.

Таким образом, в действительности вы можете подключаться удаленно не только к видеорегистратору, но и к камерам напрямую. Для этого необходимо сделать проброс портов на роутере не только для ip-адреса видеорегистратора, но и для ip-адреса каждой камеры.

Как сделать проброс портов RTSP-видеопотока камеры?

Например, серверу нужно получить RTSP-видеопоток с камеры. Чтобы сервер успешно обратился  к камере нужно:

1. Узнать статический адрес роутера. Для организации такого подключения наличие статического (белого) IP-адреса обязательно.
2. Узнать статический IP адрес камеры и порт, при помощи которого она принимает и отправляет данные. При этом нужно, чтобы IP-адрес был постоянным. Для этого отключите DHCP в сетевых настройках камеры, т.к. иначе, при каждой перезагрузке роутера или камеры, камере будет присваиваться новый IP-адрес.  В данном руководстве приведены примеры на базе проброса портов для IP-камеры видеонаблюдения, доступ к которой осуществляется через определенный RTSP-порт (обычно используется 554, но, в зависимости от производителя\вендора может отличаться, например 10554 или 8554). Используемый RTSP-порт можно найти в документации камеры или же в сетевых настройках, там же он может быть изменен при необходимости.
3. Пробросить порты — настроить роутер так, чтобы он распознавал запросы от сервера к камере, разрешал их и пересылал на нужную камеру по нужному порту.

Для проброса портов нужно также иметь доступ к web-интерфейсу роутера, на который приходит статическое интернет-соединение, к которому подключены локальные сетевые устройства. Каждый производитель устанавливает разные адреса для web-интерфейса, подробности можно уточнить в документации, прилагаемой к оборудованию.

В зависимости от производителя веб-интерфейс может отличаться. Ниже будут приведены примеры создания правила проброса для наиболее популярных производителей и типов интерфейса.

Для его нужен проброс портов?

Он позволяет получить удалённый доступ к рабочему столу, камере,ftp-серверу. Таким образом, можно управлять сразу несколькими устройства с одного ПК или даже смартфона. Для этого потребуется лишь подключение к сети Интернет и данные для входа в интерфейс роутера.

Доступ к FTP серверу предоставляется по принципу «Только чтение», так как просмотр информации не требует особых разрешений. Для того, чтобы можно было редактировать данные, вносить изменения, устанавливать параметры в устройстве удалённо, требуется особый протокол связи, предусматривающий права администратора. Такая система защиты предотвращает шанс взлома и делает возможным функцию «Родительского контроля».

Все устройства, которые проходят через проброшенные порты, будут отображаться в таблице маршрутизатора в виде digital-пары (IP и протокол).

Таблица заполняется для упрощения управления маршрутизатором и перенаправления переадресации портов в роутерах Mikrotic. Таблица открывает через браузер, найти её можно в меню роутера. Потребуется указать статичный IP и протокол связи. Рекомендуется устанавливать параметры «BOTH» и «UDP» в порядке чередования и направлять порты на них, пока связь не будет установлена.

После проведения манипуляций нужно сохранить настройку, чтобы роутер запомнил параметры. Сохранить параметры можно двумя способами:

• сохранить документ в формате «.ini», после чего интегрировать в другое устройство;
• сохранить страницу целиком, после чего активировать при подключении;
• записать параметры или запомнить их.

Экспортировать настройки требуется после каждого проброса, так как разные пресеты могут обеспечивать разное качество связи, и разную степень стабильности работы системы. Сохраняя свой каждый шаг и каждую попытку, сетевому инженеру будет намного легче разобраться в сути поломки, в случае аварии на роутере. Если читатель столкнулся с трудностями по поводу экспортирования, можно просто сделать скриншоты всех окон в интерфейсе роутера, или снять небольшой скринкаст.

Как быстрее освоить тему

Теперь ясно, как происходит перенаправление портов Mikrotik. Здесь можно увидеть больше настроек соответствующей технологии. Но лучше разобраться с данным направлением помогут разнообразные компьютерные дистанционные курсы. Они предлагают лабораторные работы и интересную практику, помощь в составлении портфолио, а также инновационные и тщательно продуманные программы обучения.

При выборе направления по работе с Микротик, тренер Mikrotik и автор курса будет находиться на связи 24/7. Кураторство опытными специалистами во время обучения позволит быстрее освоить любую настройку роутера. На специализированных компьютерных курсах пользователя с нуля научат:

• программировать;
• настраивать роутеры и другое оборудование;
• тестировать программные продукты;
• администрировать сети и устройства, а также многому другому.

P. S

Интересуют компьютерные сети, сетевые технологии, протоколы передачи данных? Обратите внимание на следующие курсы в Otus:

Открыть порт на микротик

Чтобы открыть порт на mikrotik вам нужно перейти в раздел firewall и там явно создать разрешающие правило для этого порта. Отмечу что если у вас раздел IP-> Firewall->Filter Rules пуст как на картинке ниже, то это значит что все порты у вас открыты по умолчанию, так как нет запрещающих правил. И лучше бы вам его настроить ото будут ломать пока не взломают.

Как настроить Firewall поговорим в одной из следующих статей, а пока идем дальше. Чтобы закрыть или открыть сервисные порты в микротике, такие как доступ по ssh, windox, http или же поменять их на нестандартные, нужно перейти в раздел IP-> Services

Советую вам отключить то, что вы не используете, так как чем больше разрешено, тем больше опасности взлома. Вообще вариаций пробросов портов в mikrotik очень много, все их не опишешь, да и думаю это будет лишнем, главное знать как работает технология, а настройка — это дела практике.

Как настроить проброс портов на роутере mikrotik?

Давайте поподробнее рассмотрим настройки в этом окне:

•  – Chain – основное правило, указывающее направление потока данных (из сети или в сеть). В нашем случае устанавливаем dst-nat.
•  – Src. Address – адрес одного источника из всемирной сети (желательно оставлять пустым).
•  – Dst. Address – конечный адрес нашего роутера (если оставить поле пустым, то потребуется указать его во вкладке In Interface).
•  – Protocol – основное значение, которое нужно указать для назначения порта (в нашем случае это TCP).

•  – Src. Port – исходящий порт (инициация порта удаленной машины, в основном поле остается пустым).
•  – Dst. Port – основной порт назначения (порт, в котором нужно указать значение: например, 80).
•  – Any. Port – любой порт как исходящий, так и входящий (в основном это поле можно оставить пустым).
•  – In. Interface – интерфейс, через который просматривается указанный порт (нужно указать интерфейс подключения интернета).

Так как остальные вкладки нам не нужны, перейдем на вкладку «Action».

Необходимо выбрать из ниспадающего списка действие, которое вам нужно:

dst-nat – переадресация пакетов из внешней сети (именно этот пункт вам и стоит выбрать).

Далее откроется окно, в котором стоит заполнить три раздела:

•  – Action – выберите тот же пункт, что и в вкладке «Chain».
•  – To Addresses – ip адрес видеорегистратора и сервера, на который мы делаем проброс порта mikrotik.
•  – To Ports – укажите порт веб сервера.

Если вы нажмете кнопку «Apple», то роутер сам может добавить адрес и порт (если он был заранее прописан).

После того как настройки заполнены, желательно указать комментарии – для чего было создано данное правило (чтобы не запутаться). Для этого нажмите на кнопку «Comments» и заполните поле. После чего нажмите два раза кнопку «ОК».

Настройка Port Forwarding в MikroTik

В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.

По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.

Настройка вкладки General

Нажимаем плюсик и в появившемся окне заполняем несколько полей:

Chain — направление потока данных. В списке выбора — srcnat, что означает «изнутри наружу», т. е. из локальной сети во внешний мир, и dstnat — из внешней сети во внутреннюю. Мы выбираем второе, так как будем принимать входящие подключения.
Src. AddressDst. Address — внешний адрес, с которого будет инициироваться подключение, и адрес назначения (всегда адрес роутера). Оставляем незаполненным.
Protocol — здесь указываем вид протокола для нашего соединения, tcp или udp, заполняем обязательно.
Src

Port (исходящий порт) — порт удаленного компьютера, с которого будут отправляться данные, оставляем пустым, если для нас это неважно. Dst

Port (порт назначения) — проставляем номер внешнего порта роутера, на который будут приходить данные от удаленной машины и переадресовываться на наш компьютер во внутренней сети.
Any. Port (любой порт) — если мы проставим здесь номер порта, то укажем роутеру, что этот порт будет использоваться и как исходящий, и как входящий (объединяя два предыдущие поля в одном).
In. interface (входящий интерфейс) — здесь указываем интерфейс роутера MikroTik, на котором используется, «слушается» этот порт. В нашем случае, так как мы делаем проброс для поступления данных извне, это интерфейс, через который роутер подключен к Интернет, по умолчанию это ether1-gateway. Параметр нужно указать обязательно, иначе порт не будет доступным из локальной сети. Если мы подключены к провайдеру через pppoe, то возможно, потребуется указать его, а не WAN-интерфейс.
Out. interface (исходящий интерфейс) — интерфейс подключения компьютера, для которого мы делаем проброс портов.

Настройка вкладки Action

В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:

• accept — просто принимает данные;
• add-dst-to-address-list — адрес назначения добавляется в список адресов;
• add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов;
• dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю;
• jump — разрешает применение правила из другого канала, например при установленном в поле Chain значения srcnat — применить правило для dstnat ;
• log — просто записывает информацию о данных в лог;
• masquerade — маскарадинг: подмена внутреннего адреса компьютера или другого устройства из локальной сети на адрес маршрутизатора;
• netmap — создает переадресацию одного набора адресов на другой, действует более расширенно, чем dst-nat ;
• passthrough — этот пункт настройки правил пропускается и происходит переход сразу к следующему. Используется для статистики;
• redirect — данные перенаправляются на другой порт этого же роутера;
• return — если в этот канал мы попали по правилу jump, то это правило возвращает нас обратно;
• same — редко используемая настройка один и тех же правил для группы адресов;
• src-nat — переадресация пакетов из внутренней сети во внешнюю (обратное dst-nat перенаправление).

Для наших настроек подойдут варианты dst-nat и netmap. Выбираем последний, как более новый и улучшенный.

В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов.

В поле To Ports, соответственно, номер порта, к примеру:

• 80/tcp — WEB сервер,
• 22/tcp — SSH,
• 1433/tcp — MS SQL Server,
• 161/udp — snmp,
• 23/tcp — telnet и так далее.

Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.

Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.

Таким образом, мы создали правило для проброса портов и доступа к внутреннему компьютеру (в локальной сети) из Интернет. Напомним, что его нужно поставить выше стандартных правил маскарадинга, иначе оно не будет работать (Микротик опрашивает правила последовательно).

Если вам необходимо заходить по внешнему IP-адресу и из локальной сети, нужно настроить Hairpin NAT, об этом можно прочитать здесь.

Про проброс портов для FTP-сервера рассказывается здесь.

Проброс портов на роутере

Проброс портов на роутере Mikrotik начинается с этого:

• Нужно открыть браузер и вбить в поле адреса локальный адрес роутера. По умолчанию это Mikrotik (адрес 192.168.0.1). Имя пользователя «admin», пароль «admin».
• После ввода данных откроется интерфейс роутера.
• Нужно взглянуть на левую верхнюю часть меню и найти там параметр «Переадресация» («Retrack» или «Forwarding»). Если на роутере установлен какой-то альтернативный язык, нужно скачать прошивку с официального сайта и установить её.
• Нужно кликнуть по пункту и зайти в Виртуальные серверы (Virtual Servers).
• Такая процедура позволит получать удалённый доступ к любому компьютеру в LAN, причём, устройство, которое находится в LAN необязательно должно быть включено.
• На следующей странице нужно найти кнопку «Добавить» (Add New) и нажать её.
• Далее нужно внести информацию в поля, чтобы можно было получить доступ к другому устройству.
• Порт сервиса (Service Port) можно написать произвольный, к примеру, 77. Этот порт нужно указать при входе на конкретное устройство из Интернета в отдельной программе или в адресном поле браузера через символ «:», после хост-адреса.
• Внутренний порт (Internal Port) нужно указывать точно. Его можно уточнить в инструкции к устройству ( по стандарту это 80).
• IP адрес (IP Address) – это интегрированный LAN-адрес машины. Он находится в свойствах самого устройства, либо уточняется в ходе теста сети.
• Нажмите кнопку Сохранить (Save) и получите один готовый проброшенный порт, который можно Удалять (Delete) или Изменять (Modify) по желанию.
• Перезагружать устройство не нужно.
• Снова нажмите кнопку Добавить (Add New) и пробросьте следующий порт.
  Будет показан пример проброса порта с номером «8000», который предназначается для удаленного доступа приложений.
• После нажатия клавиши «Сохранить» открываются два доступных порта для удаленного доступа.

Альтернативный способ — запустить роутер в тестовом режиме (зажать кнопку выключения и функциональную клавишу). Пока роутер перезагружается, нужно открыть в адресной сроке браузера адрес 192.168.0.1. Когда страница загрузится, данных не будет. Нужно периодически обновлять страницу, пока соединение не будет установлено. На странице будут 2 кнопки «Return to standart settings» и «Swap port». Первая кнопка — сброс к настройкам, вторая — смена портов. Нажатие по второй кнопке автоматически создаст максимальное кол-во свободных портов, за которыми можно закрепить устройства. Сделать это можно при помощи добавления нового соединения.

Destination NAT

Пробросить порт через цепочку Dstnat в Микротике можно для изменения IP-адреса, а также port назначения с последующим выполнением обратной функции для ответа. Используется соответствующий вариант для проброса в локальной сети и доступа извне. Допускается реализация такой настройки для перенаправления любого имеющегося DNS-трафика через подключенный маршрутизатор.

К стандартным действиям цепочки dst-nat относят: redirect (преобразование на адрес маршрутизатора) и dst-nat – преобразования порта и адреса получателя. Далее будут рассмотрены примеры реализации соответствующих конфигураций для различных подключений.

Для удаленного рабочего стола

Технология удаленного рабочего стола (RDP) позволяет сделать администрирование намного удобнее и проще. Она открывает «операционную систему» выбранного компьютера, позволяя пользователю работать с ней через интернет.

При использовании RDP не рекомендуется пользоваться стандартным port 3389. Связано это с тем, что он часто подвергается атакам. Поэтому сервис будет скрыт через подмену порта. Для этого потребуется:

1. Открыть ip firewall – Nat.
2. Нажать на «+».
3. Во вкладке General задать цепочку правил, протокол, а также протокол подключения и входящий интерфейс: .
4. Перейти в раздел Action.
5. Заполнить данные: .
6. Сохранить конфигурационные настройки.

Если необходимо пробросить порт в Микротике, обязательно указывается входящий интерфейс. В противном случае не исключены серьезные проблемы подключения.

В разделе General каждая строка отвечает за свои параметры:

• chain: dstnat – цепочка правил, которые устанавливаются для IP-адреса назначения;
• protocol: 6 (tcp) – протокол, используемый для конфигурации в роутере;
• dst. Ports: 47383 – номер port по которому происходит обращение к маршрутизатору;
• in. Interface – входящий интерфейс WAN (в примере – это ether1).

При заполнении раздела Action:

• в поле Action указывается значение dst-nat;
• to addresses – внутренний IP хоста, к которому необходимо получить доступ через RDP;
• to ports – port, на который перенаправляются запросы.

Это – один из вариантов forward, который встречается при администрировании сетей.

Видеонаблюдение

Пробросить подключение для системы видеонаблюдения можно, изучив инструкцию для конкретного оборудования. Далее – пример для видеосервера с программным обеспечением «Линия». В случае с пробросом на Микротик напрямую, настройки будут выставляться аналогичным образом.

В примере предполагается, что есть видеосервер к которому необходимо подключиться извне. Сначала потребуется открыть настройки программного обеспечения «Линия». Это необходимо для уточнения порта веб сервера:

Сделать проброс потребуется для порта 9786. Для этого необходимо:

1. Открыть Winbox.
2. Добавить правило со следующими параметрами: .
3. Во вкладке Action указываются такие настройки: .

После сохранения изменений соединение будет настроено. Обязательно при работе с роутером Микротик требуется указывать интерфейсы.

Несколько внешних IP

Сделать проброс для нескольких WAN удастся через создание Interface List. Сюда потребуется добавить все необходимые интерфейсы. Далее созданный list указывается в качестве значения параметра in. interface list.

Настройка forwarding на несколько внешних IP осуществляется так:

1. Создать новый лист для интерфейсов ISP. Для этого перейти в Interface – Interface List – Lists. Нажать на «+»: .
2. Добавить WAN интерфейсы: .
3. Повторить предыдущий шаг для всех WAN.
4. Forwarding может быть настроен через модернизацию ранее установленного правила проброса RDP. Достаточно добавить ISP в In. Interface List: .

Но и это еще не все возможные варианты настройки подключения. Можно перенаправлять трафик прямо на маршрутизатор.

Перенаправление на роутер

При помощи действий redirect Микротик поддерживает перенаправление трафика на маршрутизатор. Далее настраиваем NAT путем выполнения переадресации DNS-запросов.

Перенаправление будет выполняться для всего DNS-трафика. Пользователи в LAN, независимо от настроек DNS, будут считать, что им отвечает DNS-сервер, которому делается запрос. На самом деле ответ фактически придет от подключенного маршрутизатора.

Для этого предстоит выполнить следующие действия:

1. Дождаться открытия Winbox.
2. Открыть IP – Firewall – NAT.
3. Нажать на «+».
4. Во вкладке General выставить такие forward настройки NAT: .
5. В разделе Action указать действие типа redirect: .

Остается сохранить изменения – и настройка проброса портов в Mikrotik будет завершена.