Архив метки: Mikrotik

Открытие порта в Брандмауэре Windows, межсетевом экране, роутере и модеме.

В процессе обслуживания ЛВС приходится открывать доступ клиентских приложений к серверу через конкретно заданные порты. Эти порты, как правило, закрыты, по соображениям безопасности. Блокировка может осуществляться в нескольких местах, чаще в межсетевом экране, в роутере, модеме и в брандмауэре ОС Windows. Рассмотрим открытие порта в четырех этих местах на примере нашей ЛВС.

Открытие порта в брандмауэре Windows.

Начнем с порта в брандмауэре Windows. Открываем брандмауэр: Пуск>> Панель управления>> Система и безопасность>> Брандмауэр Windows.

Или через командную строку: Win+R >> firewall.cpl

В брандмауэре выбираем пункт – Дополнительные параметры.

В открывшейся оснастке нас интересуют пункты:

Правила для входящих подключений.

Правила для исходящих подключений.

Составим правило для входящих подключений. Нажимаем на указанную строчку. В правой части окна выбираем пункт «Создать правило».

Откроется «Мастер создания правила для нового входящего подключения». В первом шаге – Тип правила, отмечаем пункт – Для порта. Нажимаем >>Далее.

Протоколы и порты. В большинстве случаем используется протокол TCP, отмечаем его. Указываем один определенный локальный порт, который нам нужен: 90. >>Далее.

Действия – разрешить подключение. >>Далее.

В профиле отмечены все три пункта, оставляем их без изменения. Пусть наш порт будет доступен во всех типах сетей. >>Далее.

На последнем шаге задаем понятное имя для открываемого порта. Можно добавить описание. Нажимаем кнопку «Готово».

Порт 90 для входящих соединений становится в брандмауэре открытым. Он появился в списке «Правил для входящих подключений».

Выполняем все те же действия в пункте «Правила для исходящего подключения».

Когда два правила созданы, порт становится доступным для работы в локальной сети. Например, у нас в сети есть клиентские места, которые связываются с сервером только по определенному заданному порту. Пока порт закрыт, естественно клиент и сервер «не видят» друг друга.

Открытие порта в Kerio Control Firewall.

Очень часто так бывает, что клиент расположен в одной локальной сети, а сервер, где-то далеко, в совершенно другой локальной сети. В такой ситуации для организации работы нужно разрешить доступ к порту из интернета. Организуем открытие внешнего порта 90. Назовем его внешним т.к. он для внешней сети. В качестве оборудования для проверки открытия порта используем IP-видеокамеру. В случае отсутствия оборудования порт может отображаться закрытым при проверке. У сети статический внешний IP адрес.

Керио подключен и настроен, есть доступ в интернет. В боковом меню переходим в пункт «Правила трафика». Пока в списке только правила, которые созданы по умолчанию при установке Керио. Создадим два правила, разрешающих входящий и исходящий трафик для внешнего порта 90. Расположим их выше других правил. Нажимаем кнопку «Добавить».

В первом пункте открывшегося мастера настроек пишем имя, тип правила оставляем по умолчанию: Общее – разрешать или запрещать конкретный трафик. Нажимаем кнопку >>Далее.

На следующем шаге выбираем источник. Можно выбрать какой-то конкретный внешний интерфейс, но лучшим вариантом будет выбрать Интернет-интерфейсы.

В назначении выбираем Брандмауэр.

В пункте Службы указываем нужный нам TCP порт 90. Нажимаем >>Готово. Правило входящего трафика создано.

Сразу же создадим второе правило, для исходящего трафика. Пишем любое понятное имя, например PORT_90_OUT. Тип правила – Общее. Действие – Разрешить. >>Далее.

Источник — Брандмауэр. >>Далее.

Назначение – Интернет-интерфейсы. >>Далее.

Службы – TCP порт 90. >>Готово.

В итоге получилось два правила как на скроншоте ниже.

Нужно зайти в раздел «Трансляция» каждого правила и выполнить настройки как скриншоте ниже. Инспектор – по умолчанию.

Не обязательно активировать источник NAT.

В разделе «Адрес назначения NAT» указываем

Включить адрес назначения NAT: 192.168.0.120 – локальный IP-адрес нашего оборудования (сервер или др., в данном случае IP-видеокамера).

Транслировать порт в: 80 (необходимый локальный порт оборудования, для IP-камеры порт обычно 80).

Проверяем, открылся ли порт 90 на каком-нибудь сервисном сайте в интернете.

Проверяем работу оборудования, в данном случае IP-камеры. Для проверки камеры переходим в браузере другой, внешней сети с доступом к интернету по статическому адресу с указанием порта.

Порт открыт и камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

Открытие порта в роутере MikroTik hEX RB750Gr3 .

Подключаемся к роутеру, переходим в IP >> Firewall >> NAT.

Добавляем новое правило на синий крестик.

На вкладке General отмечаем:

Chain: dstnat

Protocol: tcp

Dst.Port 81 (порт можно выбрать любой свободный)

На вкладке Action выбираем:

Action: dst-nat

To Addresses: 192.168.0.105 (адрес локальной камеры)

To Ports: 80 (локальный порт, у всех камер одинаковый)

Нажимаем Apply, OK и проверяем, открылся ли порт и заработала камера.

У нас статический внешний IP адрес. Я захожу на него с указанием порта через браузер IE и вижу работающую камеру.

Открытый порт можно проверить на сервисе в интернете. Порт открыт и камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

Если нужны еще камеры, создаем новые правила с другими внешними портами для других внутренних IP.

Открытие порта в модеме HUAWEI HG520u.

Модемы все разные, но общий принцип примерно одинаковый. В роли тестового оборудования IP-видеокамера.

Переходим в BASIC—>NAT и нажимаем кнопку Virtual Server. Virtual Circuit должна быть PVC0.

Выполняем настройки, как на скриншоте ниже.

Разберем по пунктам где и что нужно вводить.

1.Virtual Server for – Single IP Account. Это описание для чего виртуальный сервер.

2.Rule Index – 1 – номер создаваемого правила.

3.Application – PORT80 – вводим понятное имя. У меня имя по номеру порта.

4.Protocol – TCP. Задействуемый протокол.

5.Start Port Number – 80. Внешний порт.

6.End Port Number – 80. Внешний порт.

*80 лучше не брать, т.к. на нем может работать другое оборудование.

7.Local IP Address – 192.168.0.104 Локальный IP-адрес, который присвоен камере видеонаблюдения.

8.Start Port (Local) – 80. Порт локальной камеры.

9.End Port (Local) – 80. Порт локальной камеры (всегда 80 для большинства камер).

После ввода данных нажимаем Submit.

Проверить, открыт ли порт, можно на он-лайн сервисе, например portscan.ru.

Порт открыт и IP-камера работает. Инструкция сделана на примере нашей ЛВС и 100% работоспособна.

Во всех примерах выше нужно всегда помнить о безопасности, открывать порты во внешнюю сеть только при особой необходимости и для доверенных IP-адресов.

2019-03-30T10:37:22

Настройка ПО

MikroTik Configuration with DHCP WAN Connection

MikroTik Router is one of the most popular routers because of having a lot of networking features. MikroTik DHCP Client is a special feature that is used to connect to any DHCP Server. So, if any uplink ISP provides DHCP connection, MikroTik Router is able to connect that DHCP Server using this DHCP Client. In my previous article, I discussed how to configure MikroTik Router with PPPoE WAN Connection. In this article, I will discuss how to configure MikroTik Router with DHCP WAN Connection.

Core Devices and IP Information

To configure MikroTik Router with DHCP WAN Connection, I am using a MikroTik RouterBoard 1100 AHX2 (RouterOS v6.38.1) and the LAN Gateway IP is 192.168.10.1/24. This information is just for my R&D purpose. Change this information according to your network requirements.

Network Diagram

To configure MikroTik Router with WAN DHCP Client, I am following a network diagram like the below diagram.

MikroTik Network with DHCP WAN Connection

In this network diagram, MikroTik Router’s ether1 interface is connected to ISP network where DHCP Server is enabled. So, we will create MikroTik DHCP Client in this interface so that MikroTik Router can connect with ISP DHCP Server and can access internet. Again, MikroTik Router’s ether2 interface is connected to a LAN switch having IP block 192.168.10.0/24. We are assigning static IP for LAN users but if we want, we can configure MikroTik PPPoE Server, MikroTik DHCP Server or MikroTik Hotspot Server on ether2 interface. We will also configure NATing in our MikroTik Router so that LAN users are able to get internet using this private IP block.

MikroTik Configuration with WAN DHCP Client

We will now start our MikroTik Router configuration with WAN DHCP client according to the above network diagram. Complete MikroTik configuration with DHCP WAN connection can be divided into the following three steps.

MikroTik DHCP Client Configuration on WAN Interface
Assigning LAN Gateway
NATing configuration

Step 1: MikroTik DHCP Client Configuration on WAN Interface

If your uplink ISP provides DHCP connection, you must configure MikroTik DHCP Client on your WAN interface. The following steps will show how to configure DHCP Client on MikroTik WAN interface.

Login to MikroTik Router using Winbox with admin privilege credential.
Click on IP > DHCP Client menu item. DHCP Client window will appear. Click on PLUS SIGN (+). New DHCP Client will appear.
Choose WAN interface (ether1) from Interface dropdown menu.
Make sure that Use Peer DNS and Use Peer NTP is selected if your ISP includes DNS and NTP Server Information with DHCP connection. Usually, DNS IP is provided with every DHCP connection.
Choose yes from Add Default Route dropdown menu otherwise you and your LAN user cannot communicate with the internet.
Click Apply and OK button.

If your WAN interface is connected to your uplink ISP network, your DHCP Client will be connected with the ISP DHCP Server and you will find connection status with assigned IP information from Status tab in respected DHCP Client window.

You will also find that a dynamic IP is added in IP > Address list window, Dynamic DNS Servers are added in IP > DNS window and a default route is automatically added in IP > Routes list by MikroTik DHCP client.

Step 2: Assigning LAN Gateway

After MikroTik DHCP Client configuration, we will now assign LAN Gateway IP so that LAN user can communicate through MikroTik Router. The following steps will show how to assign LAN Gateway IP in MikroTik Router.

Go to IP > Addresses menu item. Address List window will appear.
Click on PLUS SIGN (+) and put your LAN gateway IP (192.168.10.1/24) in Address input field.
Choose your LAN interface (ether2) from Interface dropdown menu.
Click Apply and OK button.

LAN Gateway IP has been assigned. Now we will configure NATing so that LAN user can get internet through MikroTik Router.

Step 3: NATing Configuration

We will now create a NAT rule in MikroTik Firewall for masquerading our LAN IP block. Otherwise, our LAN user cannot access internet through our MikroTik router. The following steps will show how to create the masquerade firewall rule in MikroTik router.

Go to IP > Firewallmenu and click on NAT tab and then click on PLUS SIGN (+). New NAT Rule window will appear now.
Choose srcnatfrom Chain dropdown menu and put LAN IP block (192.168.10.0/24) in Address input field.
Click on Action tab and choose masqueradefrom Action dropdown menu.
Click Applyand OK

NATing configuration in MikroTik router has been completed as well as all our necessary steps to configure MikroTik Router with WAN DHCP Client have been completed. Now connect your LAN users to MikroTik Router through a LAN switch. If everything is OK, your LAN users will able to get internet through MikroTik Router.

I have used static IP for LAN users for making this article simple but in real situation you will prefer MikroTik DHCP Server or MikroTik PPPoE Server or MikroTik Hotspot Server for connecting your LAN users. So, follow my articles about MikroTik DHCP Server Configuration, MikroTik PPPoE Server Configuration and MikroTik Hotspot Server Configuration and choose which is suitable for your network.

If you face any confusion to follow the above steps properly, watch the below video about MikroTik DHCP Client configuration. I hope it will reduce your any confusion about MikroTik DHCP client configuration on WAN interface.

readmag.ru

IT обзоры, подробные инструкции, пошаговые руководства, рабочие рецепты