Рубрика: Mikrotik

Mikrotik RouterOS – это специализированная операционная система на ядре Linux, предназначенная для построения мощных многофункциональных маршрутизаторов, файрволлов, мостов, vpn-серверов, станций и мостов wi-fi, хотспотов, управления качеством обслуживания и т.п. на базе обычных PC-машин с процессорами x86 или собственных аппаратных маршрутизаторов Mikrotik RouterBoard на процессорах PowerPC и Atheros. В отличие от множества свободных открытых проектов – это закрытая система, не позволяющая установку дополнительного программного обеспечения.

GRE туннель в MikroTik RouterOS

Очень часто перед системным администратором стоит задача по объединению в одну сеть 2 или более офисов, находящихся в разных районах города, или вообще в разных городах, чтобы пользователи могли пользоваться общими ресурсами. Если не нужно шифровать данные (что в большинстве случаев так и есть), то наиболее оптимальным вариантом является объединение двух точек через GRE туннель.

На рисунке показан пример работы GRE туннеля, между двумя маршрутизаторами A и B находится несколько маршрутизаторов, туннель позволяет обеспечить связь между сегментами сети 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были соединены прямым линком.

Для работы GRE туннеля оба маршрутизатора должны иметь внешние ip адреса на маршрутизаторе А это 11.11.11.11 на маршрутизаторе B 33.33.33.33 . Настройку маршрутизаторов А и В будем производить через консоль winbox.

На стройка маршрутизатора A

Создаем новый интерфейс для GRE, для этого заходим в панель interfaces, нажимаем на плюсик и выбираем GRE Tunnel. Указываем Remote Address, ip адрес маршрутизатора В, в нашем случае 33.33.33.33, все остальное оставим как есть.

Затем идем в меню IP->Addresses, нажимаем на плюсик и в строке Address прописываем ip адрес для GRE интерфейса у нас он 192.168.2.1/30, этот адрес может быть любым, мы его сами назначаем для туннеля, в строке interface, из выпадающего списка, выбираем название нашего интерфейса созданного выше, в нашем случае это» gre-tunnel1″

Заходим в меню IP->Routes нажимаем на плюсик и добавляем маршрут до локальной сети маршрутизатора В, в строке DST.Address прописываем нашу удаленную сеть, которая настроена на маршрутизаторе В, у нас она 192.168.3.0/24, Gateway указываем ip адрес который мы назначили на GRE туннель на маршрутизаторе В, у нас это 192.168.2.2

 Настройка маршрутизатора В

Маршрутизатор В настраивается зеркально маршрутизатору А.

1.Добавляем новый GRE интерфейс, в качестве Remote Address указываем внешний ip маршрутизатора А, у нас он 11.11.11.11

2.Прописываем на созданном GRE интерфейсе адрес, он должен быть в одной сети с адресом GRE интерфейса маршрутизатора А, у нас это 192.168.2.2

3.Прописываем новый маршрут, DST.Address указываем локальную сеть маршрутизатора А(у нас 192.168.1.1),  а Gateway прописываем ip адрес на GRE интерфейсе маршрутизатора А(у нас 192.168.2.1).

После этих настроек компьютеры из локальной сети А должны «увидеть» компьютеры из локальной сети В. Это можно проверить командой ping.

Источник

Настройка WatchDog на MikroTik

Функция WatchDog позволяет автоматически перезагрузить MikroTik, если стал недоступен указанный ip адрес.

Работает эта функция следующим образом: через определенный интервал устройство пингует заданный ip адрес и если не получило ответа перезагружается.

Настройка WatchDog.

Заходим в System -> Watchdog

  • Watchdog Timer — ставим галочку для включения функции Watchdog;
  • Watch Address — IP адрес, который будем пинговаться;
  • Ping Start After Boot — интервал времени через который устройство будет пинговать IP адрес;

Если требуется отправить уведомление о сбое на почту, заполняем следующие поля:

  • Send Email To — почта на которую отправить уведомление;
  • Send Email From — Email адрес отправителя.
  • Send SMTP Server — SMTP сервер.

Подробнее о настройки Email можете почитать в нашей статье: Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста.

Настройка WatchDog на MikroTik

Watchdog Timer ставим галочку для активации функции.

Watch Address рекомендуем ставить адрес шлюза провайдера (в нашем случае 10.4.175.1)

Ping Start After Boot ставим 5 минут.

Теперь каждые 5 минут наше устройство будет пинговать шлюз провайдера 10.4.175.1, как только он будет недоступен, MikroTik перезагрузится.

Источник

Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста

В этой статье мы настроим оповещение о падении хоста с помощью утилиты Netwatch.

Что такое Netwatch?

Netwatch отслеживает состояние хостов в сети. Происходит это путем отправки ICMP пакетов к указанным IP-адресам. Для каждой записи в таблице Netwatch можно указать IP-адрес, интервал пинг и консольные скрипты. Основным преимуществом NetWatch является его способность выдавать произвольные консольные команды при изменении состояния хоста.

Настройка

Первым делом настроим SMTP сервер на примере Gmail.

Заходим в Tools – Email.

Вводим адрес smtp сервера Gmail:

173.194.69.108

Port:

587

Start TLS:

yes

From:

ваша почта@gmail.com

User:

ваша почта (до знака @)

Password:

ваш пароль

Должно получится так:

Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста

Можно сразу проверить отправку нажав на Send Email, далее заполняем верхние поля как здесь и не забываем ставить галочку TLS. После указываем адрес получателя, тему, содержание письма и нажимаем Send Email.

Далее заходим в Tools – Netwatch

На кладке Host заполняем:

Host – ip адрес которые будет пинговать

interval – через какае время утилита будет отсылать пакеты (по умолчанию 1 минута)

timeout – в течении которого времени должен прийти ответ (по умолчанию 1000 мс – 1 сек)

Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста

На вкладке Up прописываем скипт, который будет выполняться при появлении линка,

в нашем случаи будет отправке сообщения на Email

Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста

Текст скрипта следующий:

[code]tool e-mail send to=mail@gmail.com  subject=”Тема письма” body=”Текст письма”[/code]

На вкладке Down прописываем скрипт который будет выполняться при обрыве линка,

у нас так же пойдет оповещение на заданный Email.

Настройка MikroTik Netwatch оповещения на E-Mail о падении хоста

Скрипт:

[code]tool e-mail send to=mail@gmail.com  subject=”Тема письма” body=”Текст письма”[/code]

Теперь при обрыве\появлении линка вы первым можете узнать об этом.

Источник

Настройка MikroTik в режиме репитера

В этой статье мы рассмотрим как настроить точку доступа MikroTik в режиме репитера (повторителя). Правда есть один недостаток в этой технологии – скорость может упасть до 50%.

С выходом прошивки RouterOS 6.35 появилась возможность настроить точку доступа MikroTik в режиме репитера, для этого нужно было скачать Extra packages и установить расширенный пакет wireless-rep. Но мы рекомендуем сразу поставить версию прошивки 6.39.2 (текущая на момент написания статьи) которая уже не требует установки дополнительного пакета. Как обновить прошивку MikroTik можете почитать в нашей статье Инструкция как обновить прошивку MikroTik.

Итак, приступим к настройкам.

При первом подключении к устройству появиться окно Reset Configuration, если не появилось, заходим в System -> Reset Configuration ставим галочку No Default Configuration и нажимаем Reset Configuration.

Настройка MikroTik в режиме репитера

Наше устройство перезагрузится, и мы подключаемся к устройству по mac адресу через Winbox.

Заходим на вкладку Bridge и создаем bridge1

Настройка MikroTik в режиме репитера

Далее переходим на вкладку Ports и добавляем наши интерфейсы ether1 и wlan1 в bridge1.

Настройка MikroTik в режиме репитера     Настройка MikroTik в режиме репитера

Присваиваем ip адрес нашему созданному бриджу. Заходим в IP -> Adresses и добавляем адрес 192.168.10.2/24 (адрес основного роутера у нас 192.168.10.1, у Вас подсеть может отличаться и не забываем ставить в конце /24) интерфейсу bridge1

Настройка MikroTik в режиме репитера

После заходим на вкладку Wireless, активируем wlan1 и нажимаем Setup Repeater

Настройка MikroTik в режиме репитера

На вкладке Setup Repeater вводим в поле SSID имя сети, которую будет повторять наше устройство и пароль в поле Passphrase и нажимаем Start.

Настройка MikroTik в режиме репитера

Как только наша точка доступа подключиться к основной, на вкладке Registration она сразу появится.

Настройка MikroTik в режиме репитера

Чтобы наш повторитель мог раздавать IP адреса, нужно настроить DHCP Relay, заходим в IP -> DHCP Relay, выбираем bridge1 и указываем ip адрес нашей основной точки где настроен DHCP сервер (у нас это 192.168.10.1).

Настройка MikroTik в режиме репитера

На этом настройка репитера закончена.

Так же можно настроить доступ репитеру в интернет что бы можно было скачать прошивку через Winbox напрямую с сервера MikroTik.

Для этого укажем DNS адрес, переходим в IP-> DNS и укажем адрес 8.8.8.8

Настройка MikroTik в режиме репитера

И остается указать маршрут, заходим в IP -> Routes и создадим один маршрут:

Dst. Adress 0.0.0.0/0 Getway 192.168.10.1 (указываем ip основной точки)

Настройка MikroTik в режиме репитера

На этом настройка завершена.

 

Источник

Firewall на Mikrotik: базовая настройка безопасности

Firewall на Mikrotik: базовая настройка безопасности

Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:

  • Входящий;
  • Проходящий;
  • Исходящий;

    Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.

    Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.

    Для примера – будем настраивать RB750.

    Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.

    Подключаемся к устройству при помощи утилиты Winbox

    Переходим в меню интерфейса по пути IP > Firewall

    В окне раздела переключаемся на вкладку Filter Rules

    Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).

    Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.

    Правила №0 и №1. Разрешаем пинговать устройство

    Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.

    Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:

Настройка firewall на mikrotik

  • Нажимаем комбинацию клавиш Win+R;
  • В окне ввода команд набираем cmd;
  • Нажимаем Enter;

    Запустится командная строка (черное окно). В ней вводим следующее:

    Ping 192.168.5.1 и нажимаем Enter.

    *для примера указан IP адрес RB750, у вас он может быть другим

    Если в результате вы получили что-то вроде:

    Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64

    Значит все хорошо, устройство «на связи».

    Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.

    Правила №2 и №3. Разрешаем установленные подключения

    *Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C

    В результате появится окно ввода комментария;

    После ввода комментария нажимаем OK;

    Правила №4 и №5. Разрешаем связанные подключения

                                                                                                               

    Правило №6. Разрешаем подключаться из локальной сети

    Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24

    Входной кабель от провайдера подключен на ether1

    Правила №7 и №8. Запрещаем ошибочные соединения

    Правило №9. Запрещаем все остальные входящие соединения из внешней сети

    Правило №10. Разрешаем прохождение трафика из локалки в интернет

    Правило №11. Запрещаем все остальные подключения

    Вот такой список правил у вас должен получиться

    MikroTik настроен, защищен и готов к работе.

    Источник

Как сохранить, восстановить и перенести настройки MikroTik

Операционная система RouterOS позволяет сохранить настройки MikroTik, и быстро восстановить резервную копию, чтобы возобновить работу устройства. Это очень удобно, если вы напортачили с настройками, или вам нужно выполнить одинаковую настройку нескольких устройств MikroTik. В этой статье мы расскажем, как создать резервную копию настроек MikroTik, восстановить ее или перенести на другое устройство.

Сохранение и восстановление настроек MikroTik

Чтобы сохранить настройки MikroTik, выполните следующее:

  1. Откройте в программе Winbox меню Files.
  2. Нажмите кнопку Beckup.
  3. Во всплывающем окне нажмите кнопку Beckup.
    При желании можете указать в поле Name имя файла и пароль в поле Password.
    По умолчанию файлы бэкапов шифруются, чтобы злоумышленники не смогли извлечь из них пароли, например, к Wi-Fi. Галочка Don’t encrypt позволяет отключить шифрование файла с резервными настройками.


После этого в списке появится файл с именем MikroTik-xxxxxxxx-xxxx.backup , где ххххххxx-хххх – это дата и время создания файла.


Внимание! Файл MikroTik-xxxxxxxx-xxxx.backup предназначен для восстановления настроек только на устройстве, на котором он создан. Его нельзя использовать для переноса настроек на другое устройство. Иначе у вас перенесутся MAC-адреса интерфейсов, в сети будут два одинаковых устройства и возникнет конфликт.
Для переноса настроек используются специальные файлы в текстовом формате, описанные ниже в разделе Перенос настроек MikroTik на другое устройство.

Далее резервную копию конфигурации MikroTik можно сохранить на компьютер, перетащив файл на рабочий стол или в проводник Windows.


Перед восстановлением настроек, нужно сбросить все настройки устройства, чтобы в нем не остались какие-то настройки из текущей конфигурации.

  1. Откройте меню System – Reset Configuration.
  2. Поставьте галочку No Default Configuration.
  3. Нажмите кнопку Reset Configuration.
  4. В всплывающем окне нажмите Yes для сброса настроек и перезагрузки устройства.


После перезагрузки подключайтесь к устройству по MAC адресу, поскольку IP адрес будет отсутствовать. В программе Winbox нужно нажать мышкой на MAC-адрес устройства и нажать кнопку Connect.


Чтобы восстановить конфигурацию MikroTik, выполните следующее:

  1. Откройте меню Files.
  2. Выберите файл с резервной копией.
  3. Нажмите кнопку Restore.
  4. В появившемся окне нажмите кнопку Restore.
    Если вы делали бэкап с паролем, то введите пароль в поле Password.
  5. В всплывающем окне нажмите Yes для восстановления конфигурации и перезагрузки устройства.


Перенос настроек MikroTik на другое устройство

Для переноса настроек на другое устройство MikroTik, нужно сохранить настройки в файл в текстовом виде. Этот файл можно будет редактировать, если возникнут проблемы при переносе настроек.

Переносить настройки можно только на устройства MikroTik со схожей аппаратной конфигурацией. Вы не сможете перенести настройки с роутера на 10 LAN портов, на роутер с 5-ю LAN портами. При этом будут выдаваться ошибки. Можно конечно вручную отредактировать файл с настройками, но это довольно сложный и долгий процесс.

Чтобы сохранить настройки MikroTik в текстовом формате, откройте меню New Terminal и выполните следующую команду:

export file=config_beckup_20170403.rsc

Название файла может быть любым. В названии файла желательно указывать дату, чтобы потом не запутаться. В данном случае в названии файла указана дата 20121030 – 4 апреля 2017 года. Файлы с датой, указанной таким образом, будет очень удобно сортировать по имени в проводнике или в файловом менеджере Total Commander, FAR Manager или MC (Linux).

Далее нужно скопировать созданный файл в другое устройство. Для этого сначала перетащите файл на рабочий стол Windows. После этого перетащите его в новое устройство в меню Files.

Перед импортированием настроек, нужно сбросить конфигурацию устройства, иначе будет конфликт с текущими настройками и при импорте будут выдаваться ошибки.

  1. Откройте меню System – Reset Configuration.
  2. Поставьте галочку No Default Configuration.
  3. Нажмите кнопку Reset Configuration.
  4. В всплывающем окне нажмите Yes для сброса настроек и перезагрузки устройства.


Чтобы импортировать настройки MikroTik, откройте меню New Terminal и выполните следующую команду:

import file=config_beckup_20170403.rsc

При переносе настроек между похожими роутерами MikroTik с одинаковым количеством портов, но с разными процессорами или памятью, во время импорта могут возникать ошибки. Я как-то пытался перенести настройки между двумя очень схожими роутерами. При этом выдавало ошибку, что указанная частота памяти не поддерживается устройством. В этом случае откройте файл с настройками на компьютере, отредактируйте необходимую настройку или удалите ее.

Частичный перенос настроек

Бывают ситуации, когда нужно сохранить часть настроек, например, правила фаервола, скрипты, NAT, правила маркировки пакетов и т.п. Для этого помогут следующие команды:

ip address export file=ip.rsc
ip firewall mangle export file=mangle.rsc
ip firewall nat export file=nat.rsc
ip firewall filter export file=filter.rsc
queue simple export file=simple.rsc
ip dns export file=dns.rsc
files backup export file=backup.rsc
system script export file=script.rsc
system scheduler export file=scheduler.rsc
tool e-mail export file=email.rsc
ip firewall address-list export file=address-list.rsc
ip route export file=route.rsc
ip dhcp-server network export file=network.rsc
queue type export file=type.rsc
queue tree export file=tree.rsc
queue simple export file=simple.rsc
interface ethernet export file=ethernet.rsc
ip pool export file=pool.rsc
ppp profile export file=profile.rsc
log export file=log.rsc

Автоматическое создание резервных настроек MikroTik и отправка на email

Чтобы не забывать делать резервные копии конфигурации MikroTik, вы можете автоматизировать этот процесс и отправлять бэкапы себе на email.

Создание скрипта

Откройте меню System – Scripts и нажмите “красный плюсик”, чтобы добавить новый скрипт. В поле Name укажите название скрипта, в поле Source вставьте скрипт и нажмите кнопку OK.

Не забудьте в скрипте изменить значения your_account@gmail.com и your_gmail_password на свои.


Чтобы протестировать работу скрипта, нажмите кнопку Run Script, и на ваш почтовый ящик будут высланы резервные копии. Процесс выполнения скрипта можно отслеживать в меню Log.

Скрипт для отправки резервной копии настроек MikroTik на email:

Для RouterOS v6.x

{
:log info “Starting Backup Script…”;
:local sysname [/system identity get name];
:local sysver [/system package get system version];
:log info “Flushing DNS cache…”;
/ip dns cache flush;
:delay 2;
:log info “Deleting last Backups…”;
:foreach i in=[/file find] do={:if ([:typeof [:find [/file get $i name]
“$sysname-backup-“]]!=”nil”) do={/file remove $i}};
:delay 2;
:local smtpserv [:resolve “smtp.gmail.com“];
:local Eaccount “your_account@gmail.com“;
:local pass “your_gmail_password“;
:local backupfile (“$sysname-backup-” .
[:pick [/system clock get date] 7 11] . [:pick [/system
clock get date] 0 3] . [:pick [/system clock get date] 4 6] . “.backup”);
:log info “Creating new Full Backup file…”;
/system backup save name=$backupfile;
:delay 2;
:log info “Sending Full Backup file via E-mail…”;
/tool e-mail send from=”<$Eaccount>” to=$Eaccount server=$smtpserv
port=587 user=$Eaccount password=$pass start-tls=yes file=$backupfile
subject=(“$sysname Full Backup (” . [/system clock get date] . “)”)
body=(“$sysname full Backup file see in attachment.nRouterOS version:
$sysvernTime and Date stamp: ” . [/system clock get time] . ” ” .
[/system clock get date]);
:delay 5;
:local exportfile (“$sysname-backup-” .
[:pick [/system clock get date] 7 11] . [:pick [/system
clock get date] 0 3] . [:pick [/system clock get date] 4 6] . “.rsc”);
:log info “Creating new Setup Script file…”;
/export verbose file=$exportfile;
:delay 2;
:log info “Sending Setup Script file via E-mail…”;
/tool e-mail send from=”<$Eaccount>” to=$Eaccount server=$smtpserv
port=587 user=$Eaccount password=$pass start-tls=yes file=$exportfile
subject=(“$sysname Setup Script Backup (” . [/system clock get date] .
“)”) body=(“$sysname Setup Script file see in attachment.nRouterOS
version: $sysvernTime and Date stamp: ” . [/system clock get time] . ”
” . [/system clock get date]);
:delay 5;
:log info “All System Backups emailed successfully.nBackuping completed.”;
}

В примере указан скрипт для сервиса Gmail. При отправке через Gmail нужно предварительно разрешить ненадежным приложениям доступ к аккаунту. Для этого залогиньтесь, на странице “Мой аккаунт” перейдите в раздел “Ненадежные приложения” и выберите “Включить”. Подробнее читайте Как разрешить ненадежным приложениям доступ к аккаунту.


Чтобы использовать сервис Рамблер Почта, замените в скрипте smtp.gmail.com на mail.rambler.ru. Чтобы использовать сервис Яндекс Почта, замените в скрипте smtp.gmail.com на smtp.yandex.ru. Также не забудьте изменить значения your_account@gmail.com и your_gmail_password на свои.

Настройка планировщика

Теперь нужно настроить с какой периодичностью будут создаваться резервные копии, и отправляться на email. Для этого настроим планировщик (Sheduler).

Откройте меню SystemSheduler и нажмите кнопку “плюсик”, чтобы добавить новую задачу.


В открывшемся окне настраиваем параметры задачи:

  • в поле Name указываем имя задачи, например send_beckup_to_email;
  • в поле Interval указываем с какой периодичностью будет выполняться скрипт. Мы указали интервал 24 часа. Для отладки работы планировщика укажите интервал 5 минут и текущее время Start Time. И не забудьте настроить время на MikroTik в меню System – Clock;
  • в поле On Event указываем, какую команду необходимо выполнить при запуске задачи. Мы указали команду /system script run beckup_to_email, которая запускает скрипт beckup_to_email;
  • нажимаем кнопку OK для сохранения задачи.


Теперь каждый день в 00:00:00 будет создаваться резервная конфигурация MikroTik и отправляться вам на email.

Источник: technotrade.com.ua

Пошаговая инструкция по объединению сетей разных провайдеров с помощью L2TP и L2TP/IPSec на оборудовании Mikrotik

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо любой точки земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве конечного клиента используется одно из самых доступных решений – Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо. Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет высоких требований.

Бывают ситуации, когда офис и филиалы находятся в локальной сети одного и того же провайдера, что существенно упрощает процесс объединения сетей. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN – Virtual Private Network. Для реализации VPN, можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте настройки и доступности на устройствах, работающих под управлением разных ОС, протокол L2TP (Layer 2 Tunnel Protocol) является одним из самых популярных протоколов туннелирования. Проблемы могут возникать в случае нахождения клиента за NAT, когда Firewall блокирует пакеты. Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP – безопасность, которая решается применением IPSec. Второй и, пожалуй, самый значимый недостаток – производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность – это именно та цена, которую придется заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек, ниже приведена иллюстрация, которая показывает структуру сети.


В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройствам IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса на WAN-интерфейсах.

Настройка сервера

Итак, на главном сервер должен быть статический белый внешний IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.


Создание профилей

Заходим в раздел PPP, открываем вкладку Profiles, здесь необходимо создать профиль, который будет применяться к VPN-подключениям. Отметьте опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться шифрования MPPE 128 bit.



Переходим на вкладку Interface. Нажимаем L2TP Server, в появившемся окошке ставим галочку Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации, по желанию – оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.


Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, тут же можно указать используемый профиль.


Локальный адрес указываем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.


Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейсов и нажимаем плюс, в выпадающем меню выбираем L2TP Server Binding, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться вся информация.



Настройки файрволла



Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После чего необходимо поднять приоритет правила, перемещаем его выше.



Далее заходим в NAT и добавляем маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), это необходимо делать для того, чтобы компьютеры за роутером видели друг друга.




Добавление маршрутов

Прописываем маршрут в удалённую подсеть. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.


На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента


Открываем раздел интерфейсов и добавляем новый L2TP Client, указываем IP-адрес сервера и свои учётные данные, по-умолчанию выбираем профиль с шифрованием и снимаем галочку с дефолтного маршрута.




Применяем, если всё сделано правильно – соединение должно быть установлено.


Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут – удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в виртуальной сети, Pref. Source – наш IP в виртуальной сети. Т.е. на клиенте все адреса проставляются наоборот.



Пробуем повторно выполнить ping 192.168.1.1 – есть.


Но компьютеры за роутером ещё не видят удалённую сеть.


Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Поможем тем, кто помогает!



Ping пошел, значит, всё работает. Поздравляем, ваш туннель работает, а компьютеры видят друг друга.


В нашем примере, как показало тестирование, удалось получить канал с пропускной способностью около 50 Мбит/сек.


На этом базовая настройка завершена. При добавлении новых пользователей, необходимо добавлять соответствующие маршруты на устройствах, где вы хотите, чтобы устройства за роутером видели друг друга. При пробросе маршрута между Client1 и Client2, на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

Настройка L2TP + IPSec

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции.

Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента.

Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

Настройки на сервере

Первым делом заходим в NAT и отключаем маскарадинг для PPP, если этого не сделать, пакеты шифроваться не будут. Необходима перезагрузка маршрутизатора.


Заходим в раздел IP – IPSec, открываем вкладку Proposals. Здесь нам необходимо указать тип шифрования и аутентификации. Алгоритм аутентификации выбираем sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости, можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.


Во вкладке Peers добавляем новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию, используется 500-й порт. Метод аутентификации выбираем pre shared key, чуть ниже указываем желаемый пароль. Exchange Mode следует указать main l2tp.

Отмечаем опции Send Initial Contact и NAT Traversal. Последнюю опцию можно и не отмечать, если вы точно уверены, что клиент не находится за NAT провайдера. Generate policy выбираем port strict. Остальные опции вы можете посмотреть на скриншоте.


После добавления пира следует создать политику, для этого открываем вкладку Policies. Политику по-умолчанию можно отключить. Создаем новую политику, где указываем наши 2 локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбираем ESP и ставим галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.



На этом в принципе все, нужно также зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

Настройка клиента

В первую очередь, добавляем правила файрволла и отключаем маскарадинг для нашего VPN-подключения.



В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере.


В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые вы указали при настройке сервера.


При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.



Если вы всё сделали правильно, во вкладке Remote Peers у вас отобразится список пиров и используемые порты.


Теперь необходимо открыть вкладку Installed SAs, здесь следует обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.


В файрволле вы можете посмотреть движения трафика.



Что же касается загрузки процессора, в минимальной нагрузке канала для RB2011UiAS-RM она поднялась до 9-13%.


Проверка производительности L2TP/IPSec

Пришло время проверить производительность канала, ведь в случае с L2TP/IPSec происходит двойная инкапсуляция, что создаёт нагрузку на центральный процессор.

В однопоточном тесте, производительность нашего канала между RB2011UiAS-RM и RB941-2n упала до 17 Мбит/сек. Если увеличить количество потоков до 10, можно добиться скорости 19 Мбит/сек.



Загрузка процессора обеих устройств при этом составляет 95%, что немало. Это та цена, которую приходится платить за безопасность передаваемых данных.



Для получения высокой производительности по L2TP/IPSec следует покупать оборудование более высокого уровня, либо собирать маршрутизатор на PC + RouterOS. Если вы выбираете вариант покупки производительного маршрутизатора, обратите внимание на наличие аппаратного блока шифрования, что существенно увеличит производительность.

оригинал статьи тут: http://lanmarket.ua/stats/poshagovaya-instrukciya-po-obedineniyu-setey-s-pomoshchyu-L2TP-i—L2TP-IPSec-na-Mikrotik Создателям — большое спасибо!


Mikrotik Гостевой Wi-Fi с ограничением скорости.

Mikrotik Гостевой Wi-Fi с ограничением скорости.


Возникают ситуации, когда необходимо предоставить (дома, или на предприятии) доступ к интернет через Wi-Fi сторонним лицам. Вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С MikroTik это сделать легко.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless, переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).


Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.


Под wlan1 добавится виртуальный интерфейс.

Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.




Задаем адресное пространство гостевой сети

В разделе IP –> Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.


Далее переходим в раздел IP –> DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.


Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP –> Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.


Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP –> DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.


Если сделали все верно, беспроводная сеть заработает.

Настройка DNS сервера

Откройте меню IP — DNS и нажмите кнопку Settings;

Поставьте галочку Allow Remote Request;

Нажмите кнопку OK.


Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:




Откройте меню IP — Firewall;

Перейдите на вкладку NAT;

Нажмите «красный плюсик»;

В списке Chain выберите srcnat;

В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;

В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;

Перейдите на вкладку Action;

В списке Action выберите masquerade;

Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

Нажмите «красный плюсик»;

В списке Chain выберите srcnat;

В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;

В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;

Перейдите на вкладку Action;

В списке Action выберите masquerade;

Нажмите кнопку OK.

Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило.


Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.

Upload – скорость отправки данных;

Download – скорость загрузки;

Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:
k – скорость в кбит/сек;
M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).

Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).

Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Запрещаем доступ в локальную сеть

Заходим в раздел IP –> Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил “Action: unreachable” создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.


Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера. Открываем IP –> DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».


Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».


Запрещаем управление MikroTik из гостевой сети

Для того, чтобы ограничить доступ к управлению MikroTik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP –> Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.


Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

По мотивам: adminotes.ru ;helpcomp.dp.ua

Установка TFTP и PoniX на маршрутизатор MikroTik.

Загрузить файлы Ponix на MikroTik.

На MikroTik заходим в консоль:

[code][Nekromans@MikroTik] > ip tftp

[Nekromans@MikroTik] /ip tftp> add

[Nekromans@MikroTik] /ip tftp> set allow=yes

numbers: 0

[Nekromans@MikroTik] /ip tftp> set allow-overwrite=yes

numbers: 0

[Nekromans@MikroTik] /ip tftp> set reading-window-size=none

numbers: 0

[Nekromans@MikroTik] /ip tftp> set req-filename=.*

numbers: 0

[Nekromans@MikroTik] /ip tftp> set real-filename=/

numbers: 0

[Nekromans@MikroTik] /ip tftp> set reading-window-size=none

numbers: 0

[Nekromans@MikroTik] /ip tftp> set allow-rollover=yes

numbers: 0[/code]

 

2. Настройка DHCP на маршрутизаторe MikroTik.

Заходим  IP>DHCP server>Options

Создаём опции

Value задаём в формате 0x***********************************  где x – это IP адресс маршрутизатора в HEX  (здесь можно конвертнуть http://www.string-functions.com/string-hex.aspx)

 

Далее настроим сам DHCP:

Создаём pool адрессов

Создаём сам сервер

И во вкладке Network:

Автор: admingaiteua

Источник

 

Проброс портов в Микротике

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

 

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox’ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).
Далее, ether1-gateway. Ether1 — это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway — «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway’ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local, остальные 3 — неполиткорректно называются slave-local. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT’ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.
Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat.
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp.
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) — это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat;
log — Просто добавляет информацию о пакете в лог роутера;
masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply, роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем OК в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание — дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Источник: habrahabr.ru