При построении сетевой инфраструктуре в офисе, сразу задумываются про удаленный доступ к информационным ресурсам сети. Данная статья описывает настройку маршрутизатора Mikrotik для доступа к внутренним устройствам сети.
Проброс портов – это процедура, которая дает возможность установить прямое соединение между компьютером (и не только) с внешней сети и устройством из внутренней сети.
Посмотрим, как выглядит схематично сетевая инфраструктура офиса:
Допустим, у нас уже имеется внутри офиса Web сервер, на котором, к примеру, развернут внутренний портал компании со всеми контактами сотрудников.
Каждый сотрудник компании может зайти на данный ресурс, прописав в браузере URL адрес сервера: http://192.168.1.100. Но что делать, если нужно зайти на этот портал из дома или во время встречи с заказчиком у него в офисе? Для этого как раз и нужен проброс портов.
Для того чтобы подключится к локальному серверу, необходимо использовать внешний IP адрес офиса, в нашем же случае это 213.1.2.3. На маршрутизаторе необходимо выполнить проброс любого свободного tcp-порта с внешнего интерфейса маршрутизатора на внутренний 80-й порт.
Теперь, давайте подключимся к нашему Mikrotik через Winbox:
Далее, заходим в настройки Firewall (IP -> Firewall) и переходим во вкладку NAT:
Во вкладке NAT нам необходимо создать правило для перенаправления трафика на внутренний сервер:
В появившемся окне необходимо указать следующие настройки:
- Chain: dstnat (это значит, что мы хотим натить трафик из внешней сети во внутреннюю)
- Protocol: 6(tcp) (http запросы работают по протоколу tcp)
- DST. Port: 8088 (при запросах по этому порту из мира, Mikrotik будет натить трафик на IP 192.168.1.100 на порт 80)
Также, необходимо указать функцию Ната и внутренний IP адрес сервера и советующий порт. Делается это во вкладке Action:
Таким образом, если, в браузере перейти по ссылке http://213.1.2.3:8088, маршрутизатор перенаправит запрос на 80-й порт внутреннего IP адреса сервера. Проброс портов можно себе представлять, как некое правило перенаправления запросов из внешней сети во внутреннюю: Все запросы, которые поступают на маршрутизатор из сети Интернет по 8088 порту – направлять на внутренний IP адрес 192.168.1.100 на 80-й порт.
Данный функционал поможет сделать удаленный доступ к различным сервисам и оборудованию:
- Web сайт на внутреннем сервере.
- SSH подключение к серверу на базе Linux
- FTP сервер компании
- Web интерфейс IP телефона или коммутатора
- Удаленно подключиться к компьютеру через RDP и др.
Но никогда нельзя забывать про безопасность информационных ресурсов компании. Данное решение больше подходит для временного доступа. При постоянно включенном правиле проброса портов, необходимо задуматься про несколько уровней защиты от проникновений:
- Разрешить доступ только с определенных IP адресов (например, только из дому сотрудника)
- Изменить стандартные пароли на внутреннем сервере.
- Пробрасывать только необходимые порты на сервер.
В крупных компаниях, где информационная безопасность стоит в приоритете, такой способ почти не используют. В таких случаях лучше настроить VPN туннели с шифрованием всего трафика к маршрутизатору или напрямую к серверам.
Хотелось бы также отметить, что данный функционал будет работать корректно при условии, если провайдер Интернета выдал Вам внешний статический IP адрес и на внутреннем сервере также IP адрес не меняется).

Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и сетевому направлению. Что мы можем:
- Провести аудит существующей сети и, не предлагая лишнего, модернизировать ее;
- Построить беспроводную сеть, в том числе и специфическую – с высокой плотностью клиентов, для локации клиентов внутри помещения, распределённую беспроводную сеть (единая беспроводная сеть в филиалах), радиолинк на несколько километров;
- Построить WAN-сеть для объединения филиалов в единую сеть предприятия (Cisco DMVPN, Cisco IWAN, HP DVPN);
- Внедрить систему безопасности на базе видеонаблюдения, построить систему видеоаналитики, распознавания номеров, подсчет посетителей;
- Внедрить IP-телефонию, call-центр и систему экстренного оповещения;
- Внедрить видеоконференцсвязь и решения для веб-конференций (Сisco Telepresence, Cisco WebEx, Polycom);
- Внедрить специализированные решения – для монетизации Wi-Fi, для аналитики ПО работающего в сети и для централизованного управления сетью.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу network@amica.ua.