При построении сетевой инфраструктуре в офисе, сразу задумываются про удаленный доступ к информационным ресурсам сети. Данная статья описывает настройку маршрутизатора Mikrotik для доступа к внутренним устройствам сети.
Проброс портов – это процедура, которая дает возможность установить прямое соединение между компьютером (и не только) с внешней сети и устройством из внутренней сети.
Посмотрим, как выглядит схематично сетевая инфраструктура офиса:
Допустим, у нас уже имеется внутри офиса Web сервер, на котором, к примеру, развернут внутренний портал компании со всеми контактами сотрудников.
Каждый сотрудник компании может зайти на данный ресурс, прописав в браузере URL адрес сервера: http://192.168.1.100. Но что делать, если нужно зайти на этот портал из дома или во время встречи с заказчиком у него в офисе? Для этого как раз и нужен проброс портов.
Для того чтобы подключится к локальному серверу, необходимо использовать внешний IP адрес офиса, в нашем же случае это 213.1.2.3. На маршрутизаторе необходимо выполнить проброс любого свободного tcp-порта с внешнего интерфейса маршрутизатора на внутренний 80-й порт.
Теперь, давайте подключимся к нашему Mikrotik через Winbox:
Далее, заходим в настройки Firewall (IP -> Firewall) и переходим во вкладку NAT:
Во вкладке NAT нам необходимо создать правило для перенаправления трафика на внутренний сервер:
В появившемся окне необходимо указать следующие настройки:
- Chain: dstnat (это значит, что мы хотим натить трафик из внешней сети во внутреннюю)
- Protocol: 6(tcp) (http запросы работают по протоколу tcp)
- DST. Port: 8088 (при запросах по этому порту из мира, Mikrotik будет натить трафик на IP 192.168.1.100 на порт 80)
Также, необходимо указать функцию Ната и внутренний IP адрес сервера и советующий порт. Делается это во вкладке Action:
Таким образом, если, в браузере перейти по ссылке http://213.1.2.3:8088, маршрутизатор перенаправит запрос на 80-й порт внутреннего IP адреса сервера. Проброс портов можно себе представлять, как некое правило перенаправления запросов из внешней сети во внутреннюю: Все запросы, которые поступают на маршрутизатор из сети Интернет по 8088 порту – направлять на внутренний IP адрес 192.168.1.100 на 80-й порт.
Данный функционал поможет сделать удаленный доступ к различным сервисам и оборудованию:
- Web сайт на внутреннем сервере.
- SSH подключение к серверу на базе Linux
- FTP сервер компании
- Web интерфейс IP телефона или коммутатора
- Удаленно подключиться к компьютеру через RDP и др.
Но никогда нельзя забывать про безопасность информационных ресурсов компании. Данное решение больше подходит для временного доступа. При постоянно включенном правиле проброса портов, необходимо задуматься про несколько уровней защиты от проникновений:
- Разрешить доступ только с определенных IP адресов (например, только из дому сотрудника)
- Изменить стандартные пароли на внутреннем сервере.
- Пробрасывать только необходимые порты на сервер.
В крупных компаниях, где информационная безопасность стоит в приоритете, такой способ почти не используют. В таких случаях лучше настроить VPN туннели с шифрованием всего трафика к маршрутизатору или напрямую к серверам.
Хотелось бы также отметить, что данный функционал будет работать корректно при условии, если провайдер Интернета выдал Вам внешний статический IP адрес и на внутреннем сервере также IP адрес не меняется).
[vc_row row_padd=»xs-padding» section_bg_color=»#f5f5f5″][vc_column width=»1/6″][vc_single_image image=»22017″ img_size=»113*150″ alignment=»right»][/vc_column][vc_column width=»5/6″][vc_column_text css=».vc_custom_1494402198286{margin-right: 100px !important;margin-left: 10px !important;}» it_color=»#000000″]Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и сетевому направлению. Что мы можем:
- Провести аудит существующей сети и, не предлагая лишнего, модернизировать ее;
- Построить беспроводную сеть, в том числе и специфическую – с высокой плотностью клиентов, для локации клиентов внутри помещения, распределённую беспроводную сеть (единая беспроводная сеть в филиалах), радиолинк на несколько километров;
- Построить WAN-сеть для объединения филиалов в единую сеть предприятия (Cisco DMVPN, Cisco IWAN, HP DVPN);
- Внедрить систему безопасности на базе видеонаблюдения, построить систему видеоаналитики, распознавания номеров, подсчет посетителей;
- Внедрить IP-телефонию, call-центр и систему экстренного оповещения;
- Внедрить видеоконференцсвязь и решения для веб-конференций (Сisco Telepresence, Cisco WebEx, Polycom);
- Внедрить специализированные решения — для монетизации Wi-Fi, для аналитики ПО работающего в сети и для централизованного управления сетью.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу network@amica.ua.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_row_inner][vc_column_inner width=»1/2″][vc_custom_heading text=»Есть вопросы по сетевому направлению? Обращайтесь к нашим специалистам.» font_container=»tag:h2|text_align:left|color:%23000000″ google_fonts=»font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal»][vc_column_text]
Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.
[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text][amoforms id=»8″][/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row]
