51 komentáře na “MikroTik – přesměrování portů
  1. Ahoj, mozes mi prosim poradit ako nakonfigurujem tika router, ked sa chcem dostat k DVRku z vonku? Resp. pozriet si vystup z kamery cez mobilnu apku, ktora bezi na porte 37777. Dakujem

    Verejna ip: 8.8.8.8

    Staticka ip DVRka: 10.10.10.10
    Port. mob. apky: 37777

    • Ahoj, no je to přeci stejné jako výše v návodu, v tvém případě takto:
      Na prvním screenu změníš jen Dst. port 37777
      Na druhém screenu změníš jen To adress 10.10.10.10 a To ports 37777

      • Dakujem, ja som si to prave domyslel z toho hore uvedeneho screenu, tvoje navody su zrozumitelne. Ale preto som radsej pisal, pretoze mi to nefuguje. Tak si hovorim asik som nekde spravil chybu, ale podla odpovede nie, ono to porad nejde.

        Treba este nastavit neco v filter Rules, alebo int. /out. interface?
        Alebo neco blokuje moj ISP?
        Alebo? neviem si s tym rady. Ono to bezalo pred casom a uz to nejde.

        Prikladam este raz nastavenie:

        Chain = dstnat
        Dst. Address = 80.242.44.xxx
        Protocol = 6 (tcp)
        Dst. Port = 37777
        Na kartě Action:
        Action = dst-nat
        To Addresses = 192.168.0.200 (DVRko)
        To Ports = 37777

        Moc DAKUJEM za pomoc

        • Vypadá to vše ok, být Tebou se obrátím na ISP, zda máš na Tvojí IP skutečně směrovány všechny porty… A nebo si také vyzkoušej přesměrování jiného portu, ideálně pokud ti doma běží něco na HTTP portu 80.

          • Zdravim, chcem Vas este poprosit o pomoc so zapojenim tejto schemy pre Mikrotik:

            ———————————————————————————————–
            (Port na mikrotiku čislo 1) – pripojenie do internetu od ISP

            (Port na mikrotiku číslo 2) – LAN „RUMBURAK“ s pevnou verejnou IP (111.11.11.1) a gatewayom 10.10.10.1

            (Port na mikrotiku číslo 3) – LAN „ARTABAN“ s pevnou verejnou IP (222.22.22.2) a gatewayom 10.10.10.2
            ————————————————————————————————-

            Cize ked sa pripojim z vonka na 111.11.11.1 dostanem sa do siete RUMBURAK ktora ma gateway 10.10.10.1 a ked sa pripojim na 222.22.22.2 ktora ma gateway 10.10.10.2 pripojim sa do siete ARTABAN. Siete by mali byt vzajomne oddelene.

            – Otazka na záver, je možne nastavit pre kazdu verejnu IP aj prislusnu MAC adresu? alebo to pobezi vsetko pod jednou?

            ZA POMOC VOPRED DAKUJEM, STEVO

          • Este doplnam, ze aby to fungovalo, potrebujem ku kazdej WANkovej IPcke priradit aj tie MACadresy. DAKUJEM

          • No jak to dopadlo = pokud jsou od ISP dostupné k veřejce všechny porty a je nastavené přesměrování jako v článku, tak to musí fungovat….

  2. Zdravím,
    Potřebuji veřejnou IP adresu nasměrovat na vnitřní (to se mi povedlo) co mi nejde je problém s portem. Jde o nextcloud a celé to běží na portu :80
    Pokud to zapnu, odpojím si načítání web stránek.
    Ostatní provoz, resp. provoz na ostatních portech jsem zvládl, ale :80 ne a ne nastavit.

    Děkuji za nápad

    • A máto to skutečně nastavené přesně jako je to uvedeno zde? Zkuste dát zvenku 8888 a uvnitř 80.

      • Zkusil jsem,
        web to načítá normálně, stejně jako v případě vypnutého (nenastaveného)pravidla, ale z venku není vidět dovnitř jako před tím.

        • Zvenku uvidíš dovnitř právě přes tvojí IP na portu 8888 např. 12.34.56.78:8888

          • Bohužel, jak jsem psal níže.

            Pokud zadám port :8888 nefunguje to, resp. stejně jako před tím. Aplikaci (Nextcloud) venku propojím se serverem (nextcloudu) na vnitřní síti.
            Pokud k tomu přidám pravidlo, abych mohl navíc přistupovat z vnitřní zase dovnitř, pomoci venkovní IP, neodešlu vůbec nic (tento formulář, nepřipojím mikrotik,…)

            Ale po chvilce se to začne hádat a nakonec nenačtu žádný web, resp. vše co běží na portu :80 i se zadaným portem :8888

            Aplikace i server je takto nastaven, nejsem schopen a ani netuším jak to udělat a změnit ji port na které to celé běží.

            Na původním Netisu mi stačilo namapovat port 80-80 venkovní na port 80-80 vnitřní, na mikrotiku se s tímto nechytám.

            P.

  3. Tak změna:

    Pokud přidám před 8888 ! (byť nevím k čemu to je) začne to fungovat, ale nedá se používat nic odchozího.

    Neodešlu tento formulář
    nepřipojím teamviewer

  4. Mikrotik přesměrování portu 80 a stejné je to pro port 443

    Tak nakonec jsem to udělal takto

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=“dstnat port 80 to bsd box“ dst-port=80 in-interface=ether1 log=yes protocol=tcp to-addresses=\192.168.0.xx to-ports=80

    /ip firewall filter
    add action=accept chain=forward dst-port=80 comment=“Accept connections from outside to port 80″ in-interface=ether1 log=yes protocol=tcp

  5. Zdravim,

    chci se zeptat, jak udělat přesměrování portu do vnitřní sítě, kdy:
    požadavek na port 80 z domény http://www.domena.xx půjde na IP třeba 10.0.0.10 ve vnitřní síti a požadavek na port 80 z domény neco.domena.xx půjde na IP třeba 10.0.0.20 ve vnitřní síti

    Prostě potřebuju oddělit požadavky na doménu a subdoménu (kde DNS odkazují na stejnou veřejnou IP) na 2 IP ve vnitřní síti

    příklad: pokud zadám do browseru adresu http://www.domena.xx požadavky jdou na adresu 11.22.33.44 – ve vnitřní síti 10.0.0.10
    a pokud do browseru zadám adresu neco.domena.xx požadavek jde na adresu 11.22.33.44 – ve vnitřní síti 10.0.0.20

    vše na portu 80

    Pokud to tedy jde a pokud jsem to popsal srozumitelně

    Předem díky

    • Čau,

      chápu přesně co chceš, ale tohle podle mě na tiku nevyřešíš = snad jedině kdyby každá z těch aplikací běžela na různých portech.

    • Ahoj,

      tak tohle bys musel řešit třeba pomocí reverzního proxy serveru. Přečti si o tom na netu.

      Zjednodušeně bys měl za tvým routerem reverzní proxy server (apache mod_proxy s použitím ProxyPreserveHost), který na základě nastavených filtrů pošle požadavek na další tvé servery.

  6. Zdravim, chcem Vas este poprosit o pomoc so zapojenim tejto schemy pre Mikrotik:

    ———————————————————————————————–
    (Port na mikrotiku čislo 1) – pripojenie do internetu od ISP

    (Port na mikrotiku číslo 2) – LAN „RUMBURAK“ s pevnou verejnou IP (111.11.11.1), MAC adresou (AK:55:DL) a gatewayom 10.10.10.1

    (Port na mikrotiku číslo 3) – LAN „ARTABAN“ s pevnou verejnou IP (222.22.22.2), MAC adresou (DK:57:D8) a gatewayom 10.10.10.2
    ————————————————————————————————-

    Cize ked sa pripojim z vonka na 111.11.11.1 dostanem sa do siete RUMBURAK ktora ma gateway 10.10.10.1 a ked sa pripojim na 222.22.22.2 ktora ma gateway 10.10.10.2 pripojim sa do siete ARTABAN. Siete by mali byt vzajomne oddelene.

    MOC DAKUJEM, S

    • Nechápu, nemá to být tak, že port 1 je jedna konektivita s pevnou IP (111.11.11.1) a port 2 je druha konektivita s pevnou IP (222.22.22.2)?

      • Nie, konektivita je len jedna = jeden ISP aby sme sa rozumeli. Pridelili mi dve WANkove IP adresy. Jednu by som rad pouzil na vytvorenie siete „ARTABAN“ s prislusnou MAC adresou a gatewayom ako som pisal vyssie. To iste priradenie aj pre druhu IPcku, na vytvorenie siete „RUMBURAK“ V oboch sietach pobezi server, cize ide o to aby boli siete separatne a dalo sa z vonku dostat jak na jeden server XY v sieti „ARTABAN“ tak na druhy server XX v sieti „RUMBURAK“

        Snad je to zrozumitelnejsie :) DAKUJEM,S

        • Vygoogli si něco ve smyslu „how to configure multiple public IP address on Mikrotik“, žádné jednoduché nastavení mě teď nenapadá a bohužel nestíhám.

  7. Dobrý den, můžete mi prosím poradit? Potřebuji z venku přistupovat do své domácí sítě přes VPN. Na stránkách LINK-AUTOREMOVER jsem si nastavil a pokud otestuji lokálně, tak to jede.

    Ale v tom článku je zmínka přesně pro můj případ: „Protokol PPTP využívá pro své šíření protokolu GRE (47) a TCP portu číslo 1723, pokud Váš router Mikrotik nedisponuje veřejnou IP adresou a nachází se za NAT, nezapomeňte si dané protokoly/porty přesměrovat“

    A tady si nevím rady které porty kam přesměrovat? Můžete mi prosím poradit? Moc děkuji

    • Pro vzdálený přístup musíte mít veřejnou IP adresu nebo alespoň přesměrovaný jeden port od ISP, přes to nejede vlak.

      Pokud ji tedy máte, ale není přímo na mikrotiku, ale třeba na routeru před ním, tak na tom routeru musíte přesměrovat TCP port 1723 na IP mikrotika…. Nic víc na tom není.

      Možná jste to jen pochopil špatně, že jde provozovat PPTP VPN bez veřejky, ale to opravdu nelze….

      To by se muselo použít opačné řešení, že byste se přes tika připojoval jako klient na nějaký jiný PPTP server, sám jsem to takto dřívě měl, ale přes L2TP.

  8. Aha, děkuji.

    A přes DDNS by to nešlo? Že by se mikrotik připojoval na sn.mynetname.net nebo někam jinam?

  9. Dobrý den, potřebuji radu:
    Mám přesměrovány porty z venkovní IP pro přístup ke kamerám doma. Potřeboval bych, aby stejný odkaz který používám z venku mohl použít i z vnitřní sítě. Zatím nemohu přijít na to jak nastavit MikroTika.

    • Dobrý den,

      určitě je více řešení, já však používám ten přes DNS záznam:

      1.) Nastavím si nějaký A záznam (u svého správce domény, hostingu…) na danou veřejnou IP adresu, např. kamery.superuser.cz na 8.8.8.8
      2.) V MikroTiku IP - DNS - Static - Add:
      Name: kamery.superuser.cz
      Address: 192.168.1.10 (vnitřní IP adresu na kamery)
      3.) Na kamery je pak možné přístupovat přes adresu kamery.superuser.cz jak zvenku, tak zevnitř

      • Nevím jak:
        1.) Nastavím si nějaký A záznam (u svého správce domény, hostingu…) na danou veřejnou IP adresu, např. kamery.superuser.cz na 8.8.8.8 :-((

        • Pokud Vám toto nic neříká, tak patrně nemáte žádnou svojí doménu a pak toto nemáte jak nenastavit…

  10. Zdravím,
    potřebuji přesměrovat port 445 z Wan do Lan. To mi funguje hezky. Teď chci udělat abych se na veřejnou IP musel připojit na port 36547 a to mě hodilo na vnitřní IP adresu port 445. Udělal jsem následují:
    ——————
    pravidlo dstnat dst port 36547, Action to ports 445
    pravidlo srcnat src port 445, Action to ports 36457
    ——————
    pak zadám \\xx.xx.xx.xx:36457\c$ a nic. Dělám něco špatně?

    • DD, asi Vám nerozumím :-) ale přece když chcete z netu přistupovat do LAN sítě a 445 z WAN do LAN Vám funguje dobře a chcete jen navíc přístupovat z WAN portu 36547 na LAN port 445, tak jen to předešlé pravidlo jen upravíte o dstnat dst. port 36547 na action dst port 443….

      Doufám, ze tu veřejku nezadávate ze stejné lokální sítě….

  11. Doopravdy to localu netestuji ;) testuji z domova. Nastavil jsem to přesně jak píšete a nic. Dnes jsem asi našel chybu pokud mám vše nastaveno na port 445, připojení funguje. K disku se připojuji z Win7 Pro následujícím způsobem
    1) win+r a do okna spusti napíšu \\xx.xx.xx.xx\d$ projde, na mikrotiku je nastaven port 445
    2) win+r a do okna spusti napíšu \\xx.xx.xx.xx:445\d$ neprojde, na mikrotiku je nastaven port 445
    3) win+r a do okna spusti napíšu \\xx.xx.xx.xx36547\d$ neprojde, na mikrotiku je nastaven port 36547

    Tak mě napadá jestli není chyba v pokusu o připojení z windows.

    • Já problém tipuji na to, že z windows není možné na sambu share specifikovat port do cesty \\server:port a v tom bude celý problém… K tomu byste měl zkusit nějaký program, který to umožňuje nebo si zkuste přístup na ten disk z linuxu pomocí smb://server:port. Možná by to šlo i přes nějakou androidí aplikaci.

      • Máte pravdu, připojení z windows neumí korektně přesměrovat port. Jak jsem psal výše \\xxx.xxx.xxx.xxx:port nejde :((
        Uživatele používají windows, potřebují/chtějí stahovat microsoftí soubory (*.docx, xlsx, pptx a podobně). S argumentem, že v linuxu m ají OO.org moc neuspěji :((.
        Když jsem vyzkoušel připojení z mobilu s androidem tak vše funguje. Pro jistotu jsem stáhl emulátor androidu do windows a připojení z emulátoru také funguje. Takže problém není v microtiku ani v jeho nastavení, ale ve Windows :((( Bohužel jsem nenašel program pod Windows, který umožňuje korektně nastavit port pod kterým se má připojit k „Sdílení souborů windows“.
        Takže problém s kterým jsem si lámal hlavu vlastně neexistuje. NAT na microtiku je nastaven dobře, firewall na microtiku je nastaven dobře. Bohužel to nefunguje pod windows. Děkuji za váš čas a nakopnutí. Snad tohle vlákno někomu pomůže při obdobném problém.

        • Super, jsem rád, že jsem pomohl. On na to nějaký program pro windows určitě bude, ale také o něm nevím. Každopádně nevím důvod proč to chcete mít na jiném portu, protože změna portu se dnes rozhodně jako ochrana nebere… Stačí na pár minut spustit nmap na danou IP a víte, které služby jsou dostupné na jakém portu… Být Vámi to vyřeším pomocí nějaké VPN (OpenVPN či L2TP).

          • Přicházeli mi pokusy o přihlášení k sdílení souborů a RDP. První co jsem udělal bylo, že jsem zavedl povolené IP adresy pro RDP a disky. Pak jsem změnil port pro RDP a chtěl jsem to udělat i pro sdílení souborů. Nefungovalo to, tak jsem hledal,
            přesněji hledal google :). Podle všech postupů/návodů jsem to měl nastavené dobře. Tak jsem se zeptal jestli někdo řešil podobný problém.

  12. Dobrý deň
    Kúpil som si router Mikrotik RB2011UiAS-2HnD-IN, a chcel by som sa informovať či by ste mi nevedeli poradiť s nastavením VPN, ale nakoľko nemám verejnú IP adresu ma sa to spraviť pomocou portou ktoré mi poskytovateľ internetu sprístupnil. Ale týmto spôsobom som to ešte nerobil. Za pomoc a rýchlu odpoveď vopred ďakujem.

    • Dobrý den, v tom přece není rozdíl – vždy musíte mít buď celou veřejnou IP adresu (všechny porty) nebo jen jeden či více portů z veřejné IP adresy, čili nastavení je stejné, jen jste někdy omezen tím, že musíte použít nestandardní port pro VPN = ten co Vám ISP dal. Návod na zprovoznění OpenVPN na MikroTiku je zde.

  13. Dobry den mam dotaz ohledne presmerovani portu 80 na port 443

    Pri zadani adresy xx.xxx.cz se smeruje komunikace na port 80 a vse projde do vnitrni site..
    je mozne aby pri zadani adresy xx.xxx.cz do weboveho prohlizece to bylo presmerovane na zabezpecene pripojeni na port 443?
    Kdyz zadam adresu https://xx.xxx.cz tak me naskoci sifrovane spojeni bez prolemu ale je nejaka moznost aby se to samo presmerovalo?
    Pouzivam mikrotika

    Dekuju za odpoved

    • Dobrý den,

      podle mě to půjde jedině tak, že na mikrotiku nastavíte přesměrování 80 zvenku na 80 dovnitř a to samé pro 443.

      A vynucení přístupu (přesměrování) z HTTP :80 na HTTPS :443 pak musíte nastavit na daném webserveru, např. ve virtualhostu či pomocí mod_rewrite pravidel
      RewriteEngine On
      RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]

      Ale třeba existuje i další postup jak to vyřešit.

  14. Ahoj,potřeboval bych nastavit porty na xbox one,jenže přes MikroTik Routerboard se nedá snad nic. Jsem na tohle amatér,vždy jsem měl třeba Tp-link a podobně.. Díky za pomoc:)

    • Ahoj,

      na routeru MikroTik se dá právě všechno (naopak od běžných routerů), jen tomu člověk musí věnovat čas. Nahoře je článek, kde je kompletní popis jak nastavit přesměrování portu zvenku dovnitř (ty dva obrázky). Stačí tedy jen abys nahradil port tim Tvým.

  15. v záložce Action potřebuju povolit více portů. Je to možné? V general mi jde napsat několik portů oddělěných čárkou v Action mi to nejde. Máte někdo radu?

    • Zatím jsem nepoužil, ale MikroTik dovolí v IP Firewall nastavit v Action rozsah portů takto 10300-10305, oddělení portů čárkou či středníkem opravdu nejde.

  16. Ahoj,
    měl bych dotaz k Tvému příkladu. Předpokládáš tam pevnou WAN IP adresu 8.8.8.8. Ale většina poskytovatelů IP přiděluje dynamicky a občas ji změní. Jak do pravidla dát tu IP jako proměnnou? Tedy když mi poskytovatel změní WAN IP, aby se automaticky změnila i Dst. Address v pravidlu dst-nat?

    Děkuji za odpověď.

  17. Ahojte, som v koncoch. Potrebujem forwardnuť port 222 z WANu na port 222 na LAN kde mi beží ubuntu s OpenSSH. Na LANke beží všetko tak ako má. Akonáhle idem z WAN , nepripojí ma, dostanem: Operation timed out….

    používam :

    /ip firewall nat add chain=dstnat action=dst-nat dst-address=80.150.100.6 in-interface=wlan1 protocol=tcp dst-port=222 to-address=192.168.88.250 to-port=222

    skúšala som aj rôzne kombinácie napr bez dst-address, alebo bez in-interface…

    keď som skenovala ip cez nmap port otvoreny nebol…

    Vopred ďakujem za každú radu..

    • Ahoj, na první pohled je mi divné to in-interface=wlan1 = tam by měl být wan, ne?

Ze všech komentářů jsou automaticky odstraňovány HTTP odkazy, veřejné IP adresy a emaily. Dotazy mimo článek směrujte do PORADNY, která je tu od toho...

Napsat komentář

Vaše emailová adresa nebude zveřejněna.