docs:mikrotik

Проброс портов (Port Forwarding) на роутере MikroTik

Условие: У провайдера получен белый (публичный) IP-адрес.
Задача: Перенаправить входящий трафик с внешнего интерфейса на внутреннее устройство.

Создание правила dst-nat

Путь в WebFig: IP → Firewall → вкладка NAT → кнопка Add New (+).

Вкладка General

Поле	Значение	Примечание
Chain	dstnat	Обязательно
Protocol	tcp / udp	Выбрать нужный протокол
Dst. Port	(внешний порт)	Например, 8080
In. Interface	(WAN-интерфейс)	Например, pppoe-out2 или ether1

Вкладка Action

Поле	Значение	Примечание
Action	dst-nat	Обязательно
To Addresses	(IP устройства)	Например, 192.168.31.50
To Ports	(внутренний порт)	Например, 80

Важно: Поле In. Interface обязательно для заполнения. Без него правило может срабатывать некорректно.

Проверка работоспособности

Перейти: IP → Firewall → вкладка NAT.
Найти созданное правило.
Проверить колонку Packets:
- Цифры увеличиваются → трафик идёт.
- 0 → проблема (не тот интерфейс, порт или IP).

Типичные ошибки

Ошибка: "dstnat/redirect action must be in dstnat/output chains"

Причина: В поле Chain выбрано не `dstnat`.
Решение: Выбрать `dstnat` из выпадающего списка.

Ошибка: Доступа из локальной сети по внешнему IP нет

Причина: Отсутствует Hairpin NAT.
Решение (дополнительное правило):

Поле	Значение
Chain	srcnat
Src. Address	(локальная сеть) например, 192.168.31.0/24
Dst. Address	(IP сервера) например, 192.168.31.50
Protocol	tcp
Dst. Port	(внутренний порт) 80
Out. Interface	bridge-local
Action	masquerade

Данное правило не обязательно для доступа из интернета, только для доступа с локальных компьютеров по публичному IP.

Статический IP для устройства

Чтобы IP сервера не менялся после перезагрузки:
IP → DHCP Server → вкладка Leases.
Найти устройство по MAC-адресу.
Нажать Make Static.

Примечание: После настройки правила NAT не забудьте проверить, что программное обеспечение на целевом устройстве действительно слушает указанный порт (например, с помощью `netstat -an` на Windows).