При построении сетевой инфраструктуре в офисе, сразу задумываются про удаленный доступ к информационным ресурсам сети. Данная статья описывает настройку маршрутизатора Mikrotik для доступа к внутренним устройствам сети.

Проброс портов – это процедура, которая дает возможность установить прямое соединение между компьютером (и не только) с внешней сети и устройством из внутренней сети.

Посмотрим, как выглядит схематично сетевая инфраструктура офиса:

Допустим, у нас уже имеется внутри офиса Web сервер, на котором, к примеру, развернут внутренний портал компании со всеми контактами сотрудников.

Каждый сотрудник компании может зайти на данный ресурс, прописав в браузере URL адрес сервера: http://192.168.1.100. Но что делать, если нужно зайти на этот портал из дома или во время встречи с заказчиком у него в офисе? Для этого как раз и нужен проброс портов.

Для того чтобы подключится к локальному серверу, необходимо использовать внешний IP адрес офиса, в нашем же случае это 213.1.2.3. На маршрутизаторе необходимо выполнить проброс любого свободного tcp-порта с внешнего интерфейса маршрутизатора на внутренний 80-й порт.

Теперь, давайте подключимся к нашему Mikrotik через Winbox:

Далее, заходим в настройки Firewall (IP -> Firewall) и переходим во вкладку NAT:

Во вкладке NAT нам необходимо создать правило для перенаправления трафика на внутренний сервер:

В появившемся окне необходимо указать следующие настройки:

  1. Chain: dstnat (это значит, что мы хотим натить трафик из внешней сети во внутреннюю)
  1. Protocol: 6(tcp) (http запросы работают по протоколу tcp)
  1. DST. Port: 8088 (при запросах по этому порту из мира, Mikrotik будет натить трафик на IP 192.168.1.100 на порт 80)

Также, необходимо указать функцию Ната и внутренний IP адрес сервера и советующий порт. Делается это во вкладке Action:

Таким образом, если, в браузере перейти по ссылке http://213.1.2.3:8088, маршрутизатор перенаправит запрос на 80-й порт внутреннего IP адреса сервера. Проброс портов можно себе представлять, как некое правило перенаправления запросов из внешней сети во внутреннюю: Все запросы, которые поступают на маршрутизатор из сети Интернет по 8088 порту – направлять на внутренний IP адрес 192.168.1.100 на 80-й порт.

Данный функционал поможет сделать удаленный доступ к различным сервисам и оборудованию:

  • Web сайт на внутреннем сервере.
  • SSH подключение к серверу на базе Linux
  • FTP сервер компании
  • Web интерфейс IP телефона или коммутатора
  • Удаленно подключиться к компьютеру через RDP и др.

Но никогда нельзя забывать про безопасность информационных ресурсов компании. Данное решение больше подходит для временного доступа. При постоянно включенном правиле проброса портов, необходимо задуматься про несколько уровней защиты от проникновений:

  • Разрешить доступ только с определенных IP адресов (например, только из дому сотрудника)
  • Изменить стандартные пароли на внутреннем сервере.
  • Пробрасывать только необходимые порты на сервер.

В крупных компаниях, где информационная безопасность стоит в приоритете, такой способ почти не используют. В таких случаях лучше настроить VPN туннели с шифрованием всего трафика к маршрутизатору или напрямую к серверам.

Хотелось бы также отметить, что данный функционал будет работать корректно при условии, если провайдер Интернета выдал Вам внешний статический IP адрес и на внутреннем сервере также IP адрес не меняется).

consalting

Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и сетевому направлению. Что мы можем:

  • Провести аудит существующей сети и, не предлагая лишнего, модернизировать ее;
  • Построить беспроводную сеть, в том числе и специфическую – с высокой плотностью клиентов, для локации клиентов внутри помещения, распределённую беспроводную сеть (единая беспроводная сеть в филиалах), радиолинк на несколько километров;
  • Построить WAN-сеть для объединения филиалов в единую сеть предприятия (Cisco DMVPN, Cisco IWAN, HP DVPN);
  • Внедрить систему безопасности на базе видеонаблюдения, построить систему видеоаналитики, распознавания номеров, подсчет посетителей;
  • Внедрить IP-телефонию, call-центр и систему экстренного оповещения;
  • Внедрить видеоконференцсвязь и решения для веб-конференций (Сisco Telepresence, Cisco WebEx, Polycom);
  • Внедрить специализированные решения – для монетизации Wi-Fi, для аналитики ПО работающего в сети и для централизованного управления сетью.

Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу network@amica.ua.

Есть вопросы по сетевому направлению? Обращайтесь к нашим специалистам.

Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.