MikroTik - přesměrování portů

08.12.2014 napsal Hanz (update: 29.08.2016)

MikroTik - přesměrování portů

mikrotik-port-forward-3

Nastavení přesměrování portů (port forwarding) se liší dle výrobce daného zařízení. V prvním případě se podíváme na konfigurování routeru MikroTik, který to má úplně jinak než běžné routery. Příkladem bude přesměrování WAN IP adresy 8.8.8.8 s portem 2222 (zvenku) na vnitřní zařízení s IP 192.168.4.106 na portu 5555.



1.) Podíváme se jakou máme WAN IP adresu:
IP - Addresses

2.) Vytvoříme nové pravidlo:
IP - Firewall - NAT - tlačítko Add

3.) Vyplníme na kartě General pole:
Chain = dstnat
Dst. Address = naši WAN IP adresu
Protocol = 6 (tcp)
Dst. Port = najakém portu požadavek zvenku přijde

4.) Vyplníme na kartě Action tato pole:
Action = dst-nat
To Addresses = vnitřní IP zařízení
To Ports = na jakém portu zařízení naslouchá

Ukázka nastavení v rozhraní winboxu:
mikrotik-port-forward-1

mikrotik-port-forward-2

Vaše reakce na článek MikroTik - přesměrování portů

Napsat komentář k článku

15.11.2016 napsal komentář Stevo [1]

Ahoj, mozes mi prosim poradit ako nakonfigurujem tika router, ked sa chcem dostat k DVRku z vonku? Resp. pozriet si vystup z kamery cez mobilnu apku, ktora bezi na porte 37777. Dakujem Verejna ip: 8.8.8.8 Staticka ip DVRka: 10.10.10.10 Port. mob. apky: 37777

16.11.2016 napsal komentář Hanz [2]

Ahoj, no je to přeci stejné jako výše v návodu, v tvém případě takto: Na prvním screenu změníš jen Dst. port 37777 Na druhém screenu změníš jen To adress 10.10.10.10 a To ports 37777

16.11.2016 napsal komentář Stevo [3]

Dakujem, ja som si to prave domyslel z toho hore uvedeneho screenu, tvoje navody su zrozumitelne. Ale preto som radsej pisal, pretoze mi to nefuguje. Tak si hovorim asik som nekde spravil chybu, ale podla odpovede nie, ono to porad nejde. Treba este nastavit neco v filter Rules, alebo int. /out. interface? Alebo neco blokuje moj ISP? Alebo? neviem si s tym rady. Ono to bezalo pred casom a uz to nejde. Prikladam este raz nastavenie: Chain = dstnat Dst. Address = 80.242.44.xxx Protocol = 6 (tcp) Dst. Port = 37777 Na kartě Action: Action = dst-nat To Addresses = 192.168.0.200 (DVRko) To Ports = 37777 Moc DAKUJEM za pomoc

16.11.2016 napsal komentář Hanz [4]

Vypadá to vše ok, být Tebou se obrátím na ISP, zda máš na Tvojí IP skutečně směrovány všechny porty... A nebo si také vyzkoušej přesměrování jiného portu, ideálně pokud ti doma běží něco na HTTP portu 80.

21.01.2017 napsal komentář Pavel [5]

Zdravím, Potřebuji veřejnou IP adresu nasměrovat na vnitřní (to se mi povedlo) co mi nejde je problém s portem. Jde o nextcloud a celé to běží na portu :80 Pokud to zapnu, odpojím si načítání web stránek. Ostatní provoz, resp. provoz na ostatních portech jsem zvládl, ale :80 ne a ne nastavit. Děkuji za nápad

21.01.2017 napsal komentář OL3G [6]

A máto to skutečně nastavené přesně jako je to uvedeno zde? Zkuste dát zvenku 8888 a uvnitř 80.

21.01.2017 napsal komentář Pavel [7]

Zkusil jsem, web to načítá normálně, stejně jako v případě vypnutého (nenastaveného)pravidla, ale z venku není vidět dovnitř jako před tím.

21.01.2017 napsal komentář Pavel [8]

Tak změna: Pokud přidám před 8888 ! (byť nevím k čemu to je) začne to fungovat, ale nedá se používat nic odchozího. Neodešlu tento formulář nepřipojím teamviewer

22.01.2017 napsal komentář OL3G [9]

Zvenku uvidíš dovnitř právě přes tvojí IP na portu 8888 např. 12.34.56.78:8888

22.01.2017 napsal komentář Pavel [10]

Bohužel, jak jsem psal níže. Pokud zadám port :8888 nefunguje to, resp. stejně jako před tím. Aplikaci (Nextcloud) venku propojím se serverem (nextcloudu) na vnitřní síti. Pokud k tomu přidám pravidlo, abych mohl navíc přistupovat z vnitřní zase dovnitř, pomoci venkovní IP, neodešlu vůbec nic (tento formulář, nepřipojím mikrotik,...) Ale po chvilce se to začne hádat a nakonec nenačtu žádný web, resp. vše co běží na portu :80 i se zadaným portem :8888 Aplikace i server je takto nastaven, nejsem schopen a ani netuším jak to udělat a změnit ji port na které to celé běží. Na původním Netisu mi stačilo namapovat port 80-80 venkovní na port 80-80 vnitřní, na mikrotiku se s tímto nechytám. P.

22.01.2017 napsal komentář Pavel [11]

Mikrotik přesměrování portu 80 a stejné je to pro port 443 Tak nakonec jsem to udělal takto /ip firewall nat add action=dst-nat chain=dstnat comment="dstnat port 80 to bsd box" dst-port=80 in-interface=ether1 log=yes protocol=tcp to-addresses=\192.168.0.xx to-ports=80 /ip firewall filter add action=accept chain=forward dst-port=80 comment="Accept connections from outside to port 80" in-interface=ether1 log=yes protocol=tcp

07.02.2017 napsal komentář Stevo [12]

Zdravim, chcem Vas este poprosit o pomoc so zapojenim tejto schemy pre Mikrotik: ----------------------------------------------------------------------------------------------- (Port na mikrotiku čislo 1) - pripojenie do internetu od ISP (Port na mikrotiku číslo 2) - LAN "RUMBURAK" s pevnou verejnou IP (111.11.11.1) a gatewayom 10.10.10.1 (Port na mikrotiku číslo 3) - LAN "ARTABAN" s pevnou verejnou IP (222.22.22.2) a gatewayom 10.10.10.2 ------------------------------------------------------------------------------------------------- Cize ked sa pripojim z vonka na 111.11.11.1 dostanem sa do siete RUMBURAK ktora ma gateway 10.10.10.1 a ked sa pripojim na 222.22.22.2 ktora ma gateway 10.10.10.2 pripojim sa do siete ARTABAN. Siete by mali byt vzajomne oddelene. - Otazka na záver, je možne nastavit pre kazdu verejnu IP aj prislusnu MAC adresu? alebo to pobezi vsetko pod jednou? ZA POMOC VOPRED DAKUJEM, STEVO

07.02.2017 napsal komentář Stevo [13]

Este doplnam, ze aby to fungovalo, potrebujem ku kazdej WANkovej IPcke priradit aj tie MACadresy. DAKUJEM

07.02.2017 napsal komentář Jarda [14]

Zdravim, chci se zeptat, jak udělat přesměrování portu do vnitřní sítě, kdy: požadavek na port 80 z domény www.domena.xx půjde na IP třeba 10.0.0.10 ve vnitřní síti a požadavek na port 80 z domény neco.domena.xx půjde na IP třeba 10.0.0.20 ve vnitřní síti Prostě potřebuju oddělit požadavky na doménu a subdoménu (kde DNS odkazují na stejnou veřejnou IP) na 2 IP ve vnitřní síti příklad: pokud zadám do browseru adresu www.domena.xx požadavky jdou na adresu 11.22.33.44 - ve vnitřní síti 10.0.0.10 a pokud do browseru zadám adresu neco.domena.xx požadavek jde na adresu 11.22.33.44 - ve vnitřní síti 10.0.0.20 vše na portu 80 Pokud to tedy jde a pokud jsem to popsal srozumitelně Předem díky

07.02.2017 napsal komentář Stevo [15]

Zdravim, chcem Vas este poprosit o pomoc so zapojenim tejto schemy pre Mikrotik: ———————————————————————————————– (Port na mikrotiku čislo 1) – pripojenie do internetu od ISP (Port na mikrotiku číslo 2) – LAN „RUMBURAK“ s pevnou verejnou IP (111.11.11.1), MAC adresou (AK:55:DL) a gatewayom 10.10.10.1 (Port na mikrotiku číslo 3) – LAN „ARTABAN“ s pevnou verejnou IP (222.22.22.2), MAC adresou (DK:57:D8) a gatewayom 10.10.10.2 ————————————————————————————————- Cize ked sa pripojim z vonka na 111.11.11.1 dostanem sa do siete RUMBURAK ktora ma gateway 10.10.10.1 a ked sa pripojim na 222.22.22.2 ktora ma gateway 10.10.10.2 pripojim sa do siete ARTABAN. Siete by mali byt vzajomne oddelene. MOC DAKUJEM, S

07.02.2017 napsal komentář OL3G [16]

Čau, chápu přesně co chceš, ale tohle podle mě na tiku nevyřešíš = snad jedině kdyby každá z těch aplikací běžela na různých portech.

07.02.2017 napsal komentář OL3G [17]

Nechápu, nemá to být tak, že port 1 je jedna konektivita s pevnou IP (111.11.11.1) a port 2 je druha konektivita s pevnou IP (222.22.22.2)?

07.02.2017 napsal komentář Hanz [18]

Ahoj, tak tohle bys musel řešit třeba pomocí reverzního proxy serveru. Přečti si o tom na netu. Zjednodušeně bys měl za tvým routerem reverzní proxy server (apache mod_proxy s použitím ProxyPreserveHost), který na základě nastavených filtrů pošle požadavek na další tvé servery.

07.02.2017 napsal komentář Stevo [19]

Nie, konektivita je len jedna = jeden ISP aby sme sa rozumeli. Pridelili mi dve WANkove IP adresy. Jednu by som rad pouzil na vytvorenie siete "ARTABAN" s prislusnou MAC adresou a gatewayom ako som pisal vyssie. To iste priradenie aj pre druhu IPcku, na vytvorenie siete "RUMBURAK" V oboch sietach pobezi server, cize ide o to aby boli siete separatne a dalo sa z vonku dostat jak na jeden server XY v sieti "ARTABAN" tak na druhy server XX v sieti "RUMBURAK" Snad je to zrozumitelnejsie :) DAKUJEM,S

08.02.2017 napsal komentář OL3G [20]

Vygoogli si něco ve smyslu "how to configure multiple public IP address on Mikrotik", žádné jednoduché nastavení mě teď nenapadá a bohužel nestíhám.

21.02.2017 napsal komentář Jiřina [21]

Ahoj, jak to dopadlo s tím DVR? Mám podobný problém. Dík J

21.02.2017 napsal komentář OL3G [22]

No jak to dopadlo = pokud jsou od ISP dostupné k veřejce všechny porty a je nastavené přesměrování jako v článku, tak to musí fungovat....

24.02.2017 napsal komentář Jenda [23]

Dobrý den, můžete mi prosím poradit? Potřebuji z venku přistupovat do své domácí sítě přes VPN. Na stránkách LINK-AUTOREMOVER jsem si nastavil a pokud otestuji lokálně, tak to jede. Ale v tom článku je zmínka přesně pro můj případ: "Protokol PPTP využívá pro své šíření protokolu GRE (47) a TCP portu číslo 1723, pokud Váš router Mikrotik nedisponuje veřejnou IP adresou a nachází se za NAT, nezapomeňte si dané protokoly/porty přesměrovat" A tady si nevím rady které porty kam přesměrovat? Můžete mi prosím poradit? Moc děkuji

24.02.2017 napsal komentář OL3G [24]

Pro vzdálený přístup musíte mít veřejnou IP adresu nebo alespoň přesměrovaný jeden port od ISP, přes to nejede vlak. Pokud ji tedy máte, ale není přímo na mikrotiku, ale třeba na routeru před ním, tak na tom routeru musíte přesměrovat TCP port 1723 na IP mikrotika.... Nic víc na tom není. Možná jste to jen pochopil špatně, že jde provozovat PPTP VPN bez veřejky, ale to opravdu nelze.... To by se muselo použít opačné řešení, že byste se přes tika připojoval jako klient na nějaký jiný PPTP server, sám jsem to takto dřívě měl, ale přes L2TP.

25.02.2017 napsal komentář Jenda [25]

Aha, děkuji. A přes DDNS by to nešlo? Že by se mikrotik připojoval na sn.mynetname.net nebo někam jinam?

25.02.2017 napsal komentář OL3G [26]

Jo to by nějak šlo, ale zkušenosti s tím nemám.

27.03.2017 napsal komentář Luboš [27]

Dobrý den, potřebuji radu: Mám přesměrovány porty z venkovní IP pro přístup ke kamerám doma. Potřeboval bych, aby stejný odkaz který používám z venku mohl použít i z vnitřní sítě. Zatím nemohu přijít na to jak nastavit MikroTika.

27.03.2017 napsal komentář Hanz [28]

Dobrý den, určitě je více řešení, já však používám ten přes DNS záznam: 1.) Nastavím si nějaký A záznam (u svého správce domény, hostingu...) na danou veřejnou IP adresu, např. kamery.superuser.cz na 8.8.8.8 2.) V MikroTiku IP - DNS - Static - Add: Name: kamery.superuser.cz Address: 192.168.1.10 (vnitřní IP adresu na kamery) 3.) Na kamery je pak možné přístupovat přes adresu kamery.superuser.cz jak zvenku, tak zevnitř

29.03.2017 napsal komentář Luboš [29]

Nevím jak: 1.) Nastavím si nějaký A záznam (u svého správce domény, hostingu…) na danou veřejnou IP adresu, např. kamery.superuser.cz na 8.8.8.8 :-((

29.03.2017 napsal komentář Hanz [30]

Pokud Vám toto nic neříká, tak patrně nemáte žádnou svojí doménu a pak toto nemáte jak nenastavit...

24.04.2017 napsal komentář Honza [31]

Zdravím, potřebuji přesměrovat port 445 z Wan do Lan. To mi funguje hezky. Teď chci udělat abych se na veřejnou IP musel připojit na port 36547 a to mě hodilo na vnitřní IP adresu port 445. Udělal jsem následují: ------------------ pravidlo dstnat dst port 36547, Action to ports 445 pravidlo srcnat src port 445, Action to ports 36457 ------------------ pak zadám \\xx.xx.xx.xx:36457\c$ a nic. Dělám něco špatně?

25.04.2017 napsal komentář Stifflerm… [32]

DD, asi Vám nerozumím :-) ale přece když chcete z netu přistupovat do LAN sítě a 445 z WAN do LAN Vám funguje dobře a chcete jen navíc přístupovat z WAN portu 36547 na LAN port 445, tak jen to předešlé pravidlo jen upravíte o dstnat dst. port 36547 na action dst port 443.... Doufám, ze tu veřejku nezadávate ze stejné lokální sítě....

27.04.2017 napsal komentář Honza [33]

Doopravdy to localu netestuji ;) testuji z domova. Nastavil jsem to přesně jak píšete a nic. Dnes jsem asi našel chybu pokud mám vše nastaveno na port 445, připojení funguje. K disku se připojuji z Win7 Pro následujícím způsobem 1) win+r a do okna spusti napíšu \\xx.xx.xx.xx\d$ projde, na mikrotiku je nastaven port 445 2) win+r a do okna spusti napíšu \\xx.xx.xx.xx:445\d$ neprojde, na mikrotiku je nastaven port 445 3) win+r a do okna spusti napíšu \\xx.xx.xx.xx36547\d$ neprojde, na mikrotiku je nastaven port 36547 Tak mě napadá jestli není chyba v pokusu o připojení z windows.

29.04.2017 napsal komentář Karel [34]

Já problém tipuji na to, že z windows není možné na sambu share specifikovat port do cesty \\server:port a v tom bude celý problém... K tomu byste měl zkusit nějaký program, který to umožňuje nebo si zkuste přístup na ten disk z linuxu pomocí smb://server:port. Možná by to šlo i přes nějakou androidí aplikaci.

02.05.2017 napsal komentář Honza [35]

Máte pravdu, připojení z windows neumí korektně přesměrovat port. Jak jsem psal výše \\xxx.xxx.xxx.xxx:port nejde :(( Uživatele používají windows, potřebují/chtějí stahovat microsoftí soubory (*.docx, xlsx, pptx a podobně). S argumentem, že v linuxu m ají OO.org moc neuspěji :((. Když jsem vyzkoušel připojení z mobilu s androidem tak vše funguje. Pro jistotu jsem stáhl emulátor androidu do windows a připojení z emulátoru také funguje. Takže problém není v microtiku ani v jeho nastavení, ale ve Windows :((( Bohužel jsem nenašel program pod Windows, který umožňuje korektně nastavit port pod kterým se má připojit k "Sdílení souborů windows". Takže problém s kterým jsem si lámal hlavu vlastně neexistuje. NAT na microtiku je nastaven dobře, firewall na microtiku je nastaven dobře. Bohužel to nefunguje pod windows. Děkuji za váš čas a nakopnutí. Snad tohle vlákno někomu pomůže při obdobném problém.

02.05.2017 napsal komentář Karel [36]

Super, jsem rád, že jsem pomohl. On na to nějaký program pro windows určitě bude, ale také o něm nevím. Každopádně nevím důvod proč to chcete mít na jiném portu, protože změna portu se dnes rozhodně jako ochrana nebere... Stačí na pár minut spustit nmap na danou IP a víte, které služby jsou dostupné na jakém portu... Být Vámi to vyřeším pomocí nějaké VPN (OpenVPN či L2TP).

04.05.2017 napsal komentář Honza [37]

Přicházeli mi pokusy o přihlášení k sdílení souborů a RDP. První co jsem udělal bylo, že jsem zavedl povolené IP adresy pro RDP a disky. Pak jsem změnil port pro RDP a chtěl jsem to udělat i pro sdílení souborů. Nefungovalo to, tak jsem hledal, přesněji hledal google :). Podle všech postupů/návodů jsem to měl nastavené dobře. Tak jsem se zeptal jestli někdo řešil podobný problém.

04.07.2017 napsal komentář jaro [38]

Dobrý deň Kúpil som si router Mikrotik RB2011UiAS-2HnD-IN, a chcel by som sa informovať či by ste mi nevedeli poradiť s nastavením VPN, ale nakoľko nemám verejnú IP adresu ma sa to spraviť pomocou portou ktoré mi poskytovateľ internetu sprístupnil. Ale týmto spôsobom som to ešte nerobil. Za pomoc a rýchlu odpoveď vopred ďakujem.

04.07.2017 napsal komentář Rusty [39]

Dobrý den, v tom přece není rozdíl - vždy musíte mít buď celou veřejnou IP adresu (všechny porty) nebo jen jeden či více portů z veřejné IP adresy, čili nastavení je stejné, jen jste někdy omezen tím, že musíte použít nestandardní port pro VPN = ten co Vám ISP dal. Návod na zprovoznění OpenVPN na MikroTiku je zde.

09.07.2017 napsal komentář testle… [40]

Dobry den mam dotaz ohledne presmerovani portu 80 na port 443 Pri zadani adresy xx.xxx.cz se smeruje komunikace na port 80 a vse projde do vnitrni site.. je mozne aby pri zadani adresy xx.xxx.cz do weboveho prohlizece to bylo presmerovane na zabezpecene pripojeni na port 443? Kdyz zadam adresu https://xx.xxx.cz tak me naskoci sifrovane spojeni bez prolemu ale je nejaka moznost aby se to samo presmerovalo? Pouzivam mikrotika Dekuju za odpoved

09.07.2017 napsal komentář OL3G [41]

Dobrý den, podle mě to půjde jedině tak, že na mikrotiku nastavíte přesměrování 80 zvenku na 80 dovnitř a to samé pro 443. A vynucení přístupu (přesměrování) z HTTP :80 na HTTPS :443 pak musíte nastavit na daném webserveru, např. ve virtualhostu či pomocí mod_rewrite pravidel RewriteEngine On RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] Ale třeba existuje i další postup jak to vyřešit.

03.08.2017 napsal komentář Dvnny [42]

Ahoj,potřeboval bych nastavit porty na xbox one,jenže přes MikroTik Routerboard se nedá snad nic. Jsem na tohle amatér,vždy jsem měl třeba Tp-link a podobně.. Díky za pomoc:)

04.08.2017 napsal komentář Hanz [43]

Ahoj, na routeru MikroTik se dá právě všechno (naopak od běžných routerů), jen tomu člověk musí věnovat čas. Nahoře je článek, kde je kompletní popis jak nastavit přesměrování portu zvenku dovnitř (ty dva obrázky). Stačí tedy jen abys nahradil port tim Tvým.

12.12.2017 napsal komentář vlasta [44]

v záložce Action potřebuju povolit více portů. Je to možné? V general mi jde napsat několik portů oddělěných čárkou v Action mi to nejde. Máte někdo radu?

12.12.2017 napsal komentář Hanz [45]

Zatím jsem nepoužil, ale MikroTik dovolí v IP Firewall nastavit v Action rozsah portů takto 10300-10305, oddělení portů čárkou či středníkem opravdu nejde.

12.12.2017 napsal komentář vlasta [46]

Díky.

16.01.2018 napsal komentář Borek [47]

Ahoj, měl bych dotaz k Tvému příkladu. Předpokládáš tam pevnou WAN IP adresu 8.8.8.8. Ale většina poskytovatelů IP přiděluje dynamicky a občas ji změní. Jak do pravidla dát tu IP jako proměnnou? Tedy když mi poskytovatel změní WAN IP, aby se automaticky změnila i Dst. Address v pravidlu dst-nat? Děkuji za odpověď.

17.01.2018 napsal komentář OL3G [48]

Ahoj, zkus nejdřív jednoduše Dst. Address nevyplnit, mně to tak fungovalo.

19.01.2018 napsal komentář Borek [49]

Děkuji, funguje to tak.

13.06.2018 napsal komentář Dana [50]

Ahojte, som v koncoch. Potrebujem forwardnuť port 222 z WANu na port 222 na LAN kde mi beží ubuntu s OpenSSH. Na LANke beží všetko tak ako má. Akonáhle idem z WAN , nepripojí ma, dostanem: Operation timed out.... používam : /ip firewall nat add chain=dstnat action=dst-nat dst-address=80.150.100.6 in-interface=wlan1 protocol=tcp dst-port=222 to-address=192.168.88.250 to-port=222 skúšala som aj rôzne kombinácie napr bez dst-address, alebo bez in-interface... keď som skenovala ip cez nmap port otvoreny nebol... Vopred ďakujem za každú radu..

14.06.2018 napsal komentář Amigo [51]

Ahoj, na první pohled je mi divné to in-interface=wlan1 = tam by měl být wan, ne?

29.07.2018 napsal komentář Newbie [52]

wlan = wireless, interface bridge, ether, wlan, sfp

29.07.2018 napsal komentář Hitachi… [53]

ááá tento pán je patrně odborník :-D

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace