Проброс портов (Port Forwarding) на роутере MikroTik
Условие: У провайдера получен белый (публичный) IP-адрес. Задача: Перенаправить входящий трафик с внешнего интерфейса на внутреннее устройство.
Создание правила dst-nat
Путь в WebFig: IP → Firewall → вкладка NAT → кнопка Add New (+).
Вкладка General
Поле
Значение
Примечание
Chain
dstnat
Обязательно
Protocol
tcp / udp
Выбрать нужный протокол
Dst. Port
(внешний порт)
Например, 8080
In. Interface
(WAN-интерфейс)
Например, pppoe-out2 или ether1
Вкладка Action
Поле
Значение
Примечание
Action
dst-nat
Обязательно
To Addresses
(IP устройства)
Например, 192.168.31.50
To Ports
(внутренний порт)
Например, 80
Важно: Поле In. Interface обязательно для заполнения. Без него правило может срабатывать некорректно.
Проверка работоспособности
Перейти: IP → Firewall → вкладка NAT.
Найти созданное правило.
Проверить колонку Packets:
Цифры увеличиваются → трафик идёт.
0 → проблема (не тот интерфейс, порт или IP).
Типичные ошибки
Ошибка: "dstnat/redirect action must be in dstnat/output chains"
Причина: В поле Chain выбрано не `dstnat`.
Решение: Выбрать `dstnat` из выпадающего списка.
Ошибка: Доступа из локальной сети по внешнему IP нет
Причина: Отсутствует Hairpin NAT.
Решение (дополнительное правило):
Поле
Значение
Chain
srcnat
Src. Address
(локальная сеть) например, 192.168.31.0/24
Dst. Address
(IP сервера) например, 192.168.31.50
Protocol
tcp
Dst. Port
(внутренний порт) 80
Out. Interface
bridge-local
Action
masquerade
Данное правило не обязательно для доступа из интернета, только для доступа с локальных компьютеров по публичному IP.
Статический IP для устройства
Чтобы IP сервера не менялся после перезагрузки:
IP → DHCP Server → вкладка Leases.
Найти устройство по MAC-адресу.
Нажать Make Static.
Примечание: После настройки правила NAT не забудьте проверить, что программное обеспечение на целевом устройстве действительно слушает указанный порт (например, с помощью `netstat -an` на Windows).
docs/mikrotik_pf.txt · Последнее изменение: — admin
