Не работает переброс портов

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Перестал работать проброс портов из вне. Что не так?

Здравствуйте, уважаемые форумчане!
Понимаю, что эта тема поднималась и обсуждалась уже не раз, и может быть вы мне подскажете, где было решение подобной проблемы.
Читать не ленюсь, но уже учитался, на сколько я понял пробросить порт несложно, но вот что-то не работает.

Собственно основной текст:
В один прекрасный момент у меня пропал доступ к внутренним портам 4490 и 9999 из внешнего интернета.
Не могу сказать — до или после обновления прошивки до 6.33, так как не использовал подключение из вне некоторое время.
Не разбираюсь в процессе прохождения пакетов через роутер.
Подскажите пожалуйста: Как отследить пакеты на нужный порт, на каком этапе они дропаются, и доходят ли до роутера?
Из вне подключаюсь к двум разным серверам RDP. Сеть около 25 компютеров + различные временные dhcp клиенты.
Сервера статика 192.168.1.200:4490 и 201:9999
Возможно ли, что порты заблокированны у провайдера? Ростелеком.
Пробовал подключаться по ip адресу выданному провайдером
Пробовал полностью отключать все правила в фильтре, оставался только маскарадинг.

# nov/17/2015 19:11:40 by RouterOS 6.33
# software/>#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=»LAN DCHCP»
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mru=1480 max-mtu=\
1480 mrru=1600 name=pppoe-out1 password=123 user=123

/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=»LAN DCHCP»

/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.209

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2 name=dhcp1

/queue simple
add burst-limit=768k/3M burst-threshold=512k/1M burst-time=10s/10s max-limit=\
512k/1M name=192.168.1.34 target=192.168.1.34/32

/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=77.88.8.8,77.88.8.1 gateway=192.168.1.1 \
netmask=24

/ip dns
set cache-max-ttl=0s query-server-timeout=0ms query-total-timeout=0ms \
servers=77.88.8.8,77.88.8.1

/ip dns static
add address=77.88.8.8 name=77.88.8.8
add address=77.88.8.1 name=77.88.8.1

/ip firewall filter
add action=drop chain=input comment=»drop invalid connections» \
connection-state=invalid
add chain=forward dst-port=4490 in-interface=pppoe-out1 protocol=tcp
add chain=forward dst-port=9999 in-interface=pppoe-out1 protocol=tcp
add chain=input comment=»allow related connections» connection-state=related
add chain=input comment=»allow established connections» connection-state=\
established
add chain=input comment=»# local input» in-interface=!pppoe-out1 src-address=\
192.168.1.0/24
add action=drop chain=input comment=»drop everything else»
add chain=output comment=»accept everything to internet» out-interface=\
pppoe-out1
add chain=output comment=»accept everything to non internet» out-interface=\
!pppoe-out1
add chain=output comment=»accept everything»
add action=drop chain=forward comment=»drop invalid connections» \
connection-state=invalid
add chain=forward comment=»allow already established connections» \
connection-state=established
add chain=forward comment=»allow related connections» connection-state=\
related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=forward comment=»accept from local to internet» in-interface=\
!pppoe-out1 out-interface=pppoe-out1
add action=drop chain=forward comment=»drop everything else»
add action=drop chain=tcp comment=»deny TFTP» dst-port=69 protocol=tcp
add action=drop chain=tcp comment=»deny RPC portmapper» dst-port=111 \
protocol=tcp
add action=drop chain=tcp comment=»deny RPC portmapper» dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment=»deny NBT» dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment=»deny cifs» dst-port=445 protocol=tcp
add action=drop chain=tcp comment=»deny NFS» dst-port=2049 protocol=tcp
add action=drop chain=tcp comment=»deny NetBus» dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment=»deny NetBus» dst-port=20034 protocol=tcp
add action=drop chain=tcp comment=»deny BackOriffice» dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment=»deny DHCP» dst-port=67-68 protocol=tcp
add action=drop chain=udp comment=»deny TFTP» dst-port=69 protocol=udp
add action=drop chain=udp comment=»deny PRC portmapper» dst-port=111 \
protocol=udp
add action=drop chain=udp comment=»deny PRC portmapper» dst-port=135 \
protocol=udp
add action=drop chain=udp comment=»deny NBT» dst-port=137-139 protocol=udp
add action=drop chain=udp comment=»deny NFS» dst-port=2049 protocol=udp
add action=drop chain=udp comment=»deny BackOriffice» dst-port=3133 protocol=\
udp
add chain=icmp comment=»echo reply» icmp-options=0:0 protocol=icmp
add chain=icmp comment=»net unreachable» icmp-options=3:0 protocol=icmp
add chain=icmp comment=»host unreachable» icmp-options=3:1 protocol=icmp
add chain=icmp comment=»host unreachable fragmentation required» \
icmp-options=3:4 protocol=icmp
add chain=icmp comment=»allow source quench» icmp-options=4:0 protocol=icmp
add chain=icmp comment=»allow echo request» icmp-options=8:0 protocol=icmp
add chain=icmp comment=»allow time exceed» icmp-options=11:0 protocol=icmp
add chain=icmp comment=»allow parameter bad» icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment=»deny all other types»
add action=drop chain=forward comment=»drop (2) everything else»

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=4490 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.200 to-ports=4490
add action=dst-nat chain=dstnat dst-port=9999 in-interface=pppoe-out1 \
protocol=tcp to-addresses=192.168.1.201 to-ports=9999
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.1.0/24

/system clock
set time-zone-name=Europe/Moscow

/tool romon port
set [ find default=yes ] cost=100 forbid=no interface=all secrets=»»

Источник

Как правильно открыть порты на роутере

Проброс портов является важной функцией, которая позволяет получить доступ к локальному устройству или серверу из внешней сети. Некоторые интернет-сервисы, в частности торрент-клиенты, онлайн-игры, приложения для удалённого доступа требуют открытия дополнительных портов. Давайте рассмотрим, как пробросить порты самостоятельно и какие проблемы при этом могут возникнуть.

Что такое проброс портов

В компьютерных сетях портом называют числовой идентификатор от 0 до 65 535, указываемый при запросе на соединение. Стандартные номера портов назначаются серверным службам Центром управления номерами интернета (IANA). Например, веб-серверы обычно используют порт 80, FTP-серверы — порты 20 и 21, SMTP-серверы — порт 25 и 110. Перечень общеизвестных и зарегистрированных организацией IANA портов, а также их краткое описание можно посмотреть на сайте «Википедия» по адресу https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP.

Белым цветом в таблице выделены порты, зарегистрированные IANA, синим — незарегистрированные, а жёлтым — конфликтные порты, имеющие несколько применений наряду с зарегистрированным

Использование портов позволяет компьютерам, ноутбукам, смартфонам одновременно запускать несколько служб/приложений. А переадресация портов сообщает маршрутизатору, на какое устройство внутри сети должны быть направлены входящие соединения и с каким именно приложением на этом устройстве нужно связаться для обмена пакетами данных.

Зачем нужно открывать порты на роутере?

Функция переадресации портов довольно часто используется как в домашних сетях, так и в корпоративных. Варианты использования перенаправления портов могут быть следующими:

доступ к камерам видеонаблюдения, когда вы находитесь вдали от дома;
настройка сервера RDP для удалённого доступа к компьютеру из внешней сети;
обеспечение дополнительного уровня безопасности сети за счёт скрытия IP-адреса;
ускорение загрузки файлов с торрентов и файлообменников;
подключение к почтовой службе или FTP-серверу;
посещение веб-сайтов с регионально ограниченным доступом;
создание виртуального сервера для тестирования сайта на домашнем ПК;
настройка IP-телефонии;
подключение к игровым серверам с многопользовательскими видеоиграми, например, Counter Strike или Minecraft.

На роутере можно настроить проброс портов для всех устройств локальной сети, присвоив им разные IP-адреса

Переадресация портов

Для открытия портов на роутере не нужно быть опытным администратором — с этой процедурой справится любой пользователь. Главное, следовать пошаговой инструкции, состоящей из двух основных этапов: присвоения статического IP-адреса пользовательскому компьютеру в настройках ОС Windows и перенаправления портов в админ-панели маршрутизатора.

Предварительные настройки «Виндовс»

Перед пробросом портов нужно для устройств локальной сети выделить диапазон внутренних IP-адресов, после чего закрепить по одному адресу за каждым ПК. Сделать это можно в настройках компьютера либо в панели администрирования роутера (раздел DHCP). Первый способ является более надёжным, так как статический адрес прописывается в настройках сетевой карты и без вашего вмешательства ничто и никто его не изменит. Для запуска данного процесса нужно включить ПК и произвести несколько действий:

Для быстрого перехода к разделу с сетевыми подключениями можно использовать системную программу «Выполнить»

При клике ПКМ по активному подключению появится контекстное меню

В «Свойствах подключения» первым делом нужно убедиться в том, что пункт «IP версии 4 (TCP/IPv4)» включён, после чего перейти к настройке протокола

В окне настроек протокола можно задать статичный IP-адрес компьютеру и DNS-серверу

Проброс портов в веб-интерфейсе маршрутизатора

После того как для компьютера зафиксирован статичный IP-адрес, можно переходить к настройке роутера (на примере TP-Link). Для этого нужно выполнить следующие действия:

По умолчанию для входа в веб-интерфейс большинства роутеова используются одинаковые логин и пароль — admin

Чтобы открыть новый порт, нужно воспользоваться кнопкой «Добавить» в разделе «Виртуальные серверы»

В настройках виртуального сервера обязательно нужно указать номер внешнего порта и статичный IP-адрес компьютера или другого сетевого устройства

При необходимости проброса стандартных портов в роутере имеются предустановленные настройки. Достаточно выбрать в выпадающем списке «Стандартный порт сервиса» нужную службу (DNS, FTP, HTTP, POP3, SMTP, TELNET), как все поля заполнятся автоматически.

Для облегчения процесса настройки стандартных портов предусмотрено соответствующее поле с перечнем общеизвестных портов

Возможные проблемы при пробросе портов и их решение

Иногда при проверке работоспособности добавленных портов пользователь попадает из интернета в панель администрирования роутера, а не на нужный сервис или приложение на компьютере. Почему так происходит? Причин может быть несколько:

блокировка внешнего соединения брандмауэрами и антивирусными программами. Решается данная проблема отключением этих служб либо их тонкой настройкой, во время которой добавляются исключения на подсоединение к нужным портам;
у компьютера нет постоянного адреса. В таком случае при старте или перезагрузке роутера IP-адрес ПК изменится, и открытый порт перестанет работать, поскольку изначально был привязан к другому адресу. Решение — присвоить компьютеру (ноутбуку, планшету) неизменяемый IP-адрес;
политика провайдера. Не редки случаи, когда интернет-провайдер запрещает обладателям «серых» (внутренних) IP-адресов использовать некоторые порты, например, торрент-трекеров. Выход из данной ситуации — приобретение статичного «белого» адреса;
изменение порта самим приложением или сервисом. Иногда программы-клиенты самостоятельно меняют порт при каждом запуске. Избежать этого можно, если прописать порт в настройках софта и запретить опцию «Случайный выбор порта».

В настройках программы uTorrent (раздел «Соединение») можно указать порт входящих соединений и запретить выбор случайного порта при запуске

Как закрыть порты

Очень часто при использовании пользователем различных веб-серверов и сервисов удалённого доступа может возникнуть необходимость закрыть тот или иной порт. Осуществить эту процедуру можно в админ-панели маршрутизатора. Удаление портов производится в той же вкладке, где настраивался их проброс («Переадресация» → «Виртуальные серверы»). В списке открытых портов напротив каждого из них есть две ссылки «Изменить» и «Удалить». Нажав на вторую, произойдёт закрытие (удаление) порта и он перестанет отображаться в панели управления.

Для редактирования и удаления открытых портов во вкладке «Виртуальные серверы» есть соответствующие ссылки

Настройка перенаправления портов в веб-интерфейсе роутера не требует определённых знаний. Пользуясь вышеизложенной инструкцией на примере маршрутизатора TP-Link, любой пользователь при необходимости сможет открыть доступ к устройствам локальной сети из интернета. Алгоритм проброса портов в роутерах других производителей может несколько отличаться, но главные этапы настройки будут одинаковы.

Источник