Redireccionar puertos con MikroTik - abrir puertos con mikrotik - port forwarding

Tema en 'Firewall' comenzado por MikrotikPeru, 7 de Febrero de 2016.

  1. MikrotikPeru

    MikrotikPeru Well-Known Member

    Tenemos un mikrotik que balancea y un mikrotik que administra y queremos ingresar al mikrotik administrador como también al balanceador

    Veamos con IP para hacer mas sencillo con ejemplos

    [​IMG]
    BALANCEADOR
    WAN =
    190.234.220.16 / Si la IP es Dinamica por Interface (In Interface=pppoe-out1)
    LAN = 192.168.9.1​

    ADMNISTRADOR
    WAN =
    192.168.9.2
    LAN = 192.168.1.1

    estamos asumiendo que estamos usando balanceo PCC y que la red esta operativa enrutada entonces procedemos a configurar:

    En el balanceador :

    Entonces aquí hacemos una jugada NAT/PAT donde le decimos al balanceador que todo lo que venga hacia el con el puerto 8000 lo direccione al IP 192.168.9.2 que es el administrador pero no con ese puerto si no cámbialo al 8291 esto se hace por que no puedes usar el mismo puerto en una red con la misma publica y como los dos mikrotik trabajan con el puerto 8291 entonces no se podría pero aquí ya le dimos solución.

    Código (Text):
    /ip firewall nat add chain=dstnat dst-address=190.234.220.16 protocol=tcp dst-port=8000 \
        action=dst-nat to-addresses=192.168.9.2 to-ports=8291

    Saludos,
     
  2. rodnoise

    rodnoise New Member

    Alguien ha implementado redireccionar puertos en un RB que se le asigno una IP publico con NAT 1 :1 desde un CLOUD ROUTER.
    Problema:
    Asigne a otro router unaIP publica (xx.xx.xx.147) con NAT 1:1
    En la LAN del router remoto (192.168.20.0/24) tengo un DVR hikvision, para verlo desde internet aplico reglas dst-nat, pero no logro abrir los puertos que requiero (8000,8001), lo compruebo realizando un Nmap a la IP pública (xx.xx.xx.147)y me muestra los puertos cerrados.
    Sin embargo cuando aplico reglas dst-nat a varios equipos en la LAN del CORE, realizo un Nmap a la IP pública (xx.xx.xx.146) y me muestra los puertos abiertos.
     

    Archivos adjuntos:

  3. MikrotikPeru

    MikrotikPeru Well-Known Member

    Estas realizando balanceo de carga? Le estas instalando la pública directo a una WAN si es así debes comprobar ingresar por Winbox almenos remoto
     
  4. MikrotikPeru

    MikrotikPeru Well-Known Member

    Veo que se resolvió el problema saludos
     
  5. rodnoise

    rodnoise New Member

    No estoy realizando balanceo de carga.
    Las dos IPs publicas la configuro en la interfaz WAN del CloudCore.
    Puedo entrar perfectamente desde internet a los dos mikoritok, si quiero entrar al CloudCore colo la IP xx.xx.xx.146 , para entrar al RB2011 coloco la IP xx.xx.xx.147 en winbox.
    Todos los usuarios LAN del RB2011 sale con la IP pública xx.xx.xx.147
    Todos los usuarios LAN del CloudCOre salen con la IP pública xx.xx.xx.146.
    Solución: unicamente aplico las reglas dst-nat en el CloudCore ya que este es el dueño de las dos IPs públicas, estas regles deben ir antes del NAT1:1, en mi caso, justo debajo de las reglas mascarade.

    Saludos
     
  6. luciusnet

    luciusnet New Member

    Hola hermanos, quisiera hacer un humilde aporte, como alguien que apenas se esta iniciando en este mundo de Mikrotik que ya me tiene enamorado...

    Siguiendo las instrucciones del excelente post original de este hilo, quise administrar por ssh un server linux casero que tengo montado detrás de un router mikrotik RB941. El problema estaba en que acá en Venezuela la IP publica la recibo por DHCP y es Dinámica, para las personas novatas como yo describiré mi topologia:

    Cable módem > Router Mikrotik RB941 > Server Linux

    - El router recibe internet por la interfaz ether1 mediante una ip publica asignada por dhcp de forma dinámica y tiene conectado el server linux por la interfaz ether3 (10.10.10.1) con ip estática
    - El servidor tiene una ip fija 10.10.10.2 y tiene configurado ssh por el puerto 22 como es originalmente.

    Yo queria poder administrar remotamente el router y el server linux, ambos por ssh, por lo cual aplique lo siguiente exitosamente:

    [​IMG]

    Debo decir que para solucionar el problema de mi ip publica dinamica abri una cuenta en noip.com y cree un ddns que se enlaza con mi ip dinamica, luego de haber hecho esto procedi a introducir un script en el router mikrotik que actualiza mi ip publica en el sistema de noip.com y creé una tarea para que cada 7 minutos repita ese proceso, de esta forma cuando quiera entrar remotamente usare mi mi dns ejemplo: midns.ddns.net el cual apuntara a mi direccion ip publica asignada por mi ISP la cual estará siempre actualizada mediante el script.

    Ahora bien, la regla de nat dice que todo lo que va a mi ip publica por el puerto 2222 es redireccionado al puerto 22 con la ip 10.10.10.2 para llegar al servidor linux, por lo tanto si quiero administrar el router pongo en mi cliente ssh mi dns de no-ip con el puerto 22 y si quiero administrar el server pongo mi dns con el puerto 2222.

    Como bien dijo el que creó este post, al tener ip dinámica utilizas el campo de interfaz de entrada, en mi caso alli puse ether1 que es por donde llega el internet, y el campo source address lo dejé en blanco.

    Espero que para los principiantes como yo esto sea de utilidad, y que sea entendible, cualquier duda estare a la orden.

    Saludos desde Venezuela!
     
  7. luciusnet

    luciusnet New Member

    Acá les dejare el script para el que lo necesite:

    Código (Text):
    # Actualización automatica de DNS con servicio de No-IP

    #--------------- Cambia los siguientes valores para las variables ------------------


    # Información de tu cuenta en No-IP
    :local noipuser "usuario"
    :local noippass "clave"
    # Nombre de Dominio Creado en No-IP
    :local noiphost "dns_name"
    # Cambia el nombre de tu interface de ISP o WAN y copiala como la tienes en tu # RB Mikrotik
    :local inetinterface "interface"

    #--------------------------------YA No cambies ningún archivo-------------------------

    :global previousIP [:resolve $noiphost];

    :if ([/interface get $inetinterface value-name=running]) do={
    # Get the current IP on the interface
      :local currentIP [/ip address get [find interface="$inetinterface" disabled=no] address]

    # Strip the net mask off the IP address
      :for i from=( [:len $currentIP] - 1) to=0 do={
          :if ( [:pick $currentIP $i] = "/") do={
              :set currentIP [:pick $currentIP 0 $i]
          }
      }

      :if ($currentIP != $previousIP) do={
          :log info "No-IP: La actual IP $currentIP no es igual a la anterior, necesita actualizar!"
          :set previousIP $currentIP

    # The update URL. Note the "\3F" is hex for question mark (?). Required since ? is a special character in commands.
          :local url "http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP"
          :local noiphostarray
          :set noiphostarray [:toarray $noiphost]
          :foreach host in=$noiphostarray do={
              :log info "No-IP: Se envio actualizacion para el siguiente Host $host"
              /tool fetch url=($url . "&hostname=$host") user=$noipuser password=$noippass mode=http dst-path=("no-ip_ddns_update-" . $host . ".txt")
              :log info "No-IP: El siguiente Host $host fue actualizado en No-IP con la siguiente direccion IP $currentIP"
          }
      }  else={
          :log info "No-IP: La anterior IP $previousIP es igual que la actual, no es necesario actualizar"
      }
    } else={
      :log info "No-IP: No fue necesario actualizar la siguiente Interface: $inetinterface esta aun no ha cambiado."
     
     
    Última modificación: 9 de Abril de 2017
  8. dberto

    dberto New Member

    Buenas tardes tengo un mikrotik que hace balanceo y quiero hacer una redirección de un puerto a un equipo en la red y no consigo que entre, accedo por una de las lineas la cual tiene hecha la redirección de ese puerto al mikrotic pero en el mikrotik lo hago a la IP de destino y no consigo entrar
     
  9. MikrotikPeru

    MikrotikPeru Well-Known Member

    Algo importante es la GATEWAY y el IP FILTER RULES , muchas veces es o bien por que no hay retorno o por que el firewall esta activado.

    Saludos,
     
  10. dberto

    dberto New Member

    Como puedo comprobarlo , Gracias
     
  11. MikrotikPeru

    MikrotikPeru Well-Known Member

    Siempre ponle un LOG y ahí puedes ver si la conexión ingresa o no.
     

Comparte esta página