Настройка rdp на роутере mikrotik

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Роутеры Mikrotik успешно захватили нишу маршрутизаторов для малого и среднего бизнеса и все чаще используются в качестве домашних роутеров. Все это благодаря сочетанию функциональности и относительно низкой цены. Но в сравнение с популярными домашними роутерами, они более сложны в настройке и требуют определенных базовых знаний в области компьютерных сетей. Поэтому, выполнение даже простых настроек, может вызвать массу вопросов у того, кто не имеет опыта работы с этим оборудованием.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Эта статья рассчитана на начинающих пользователей, не имеющих достаточного опыта работы с оборудованием mikrotik.

Схема сети и описание сценария проброса портов

Проброс порта (port forwarding) одна из наиболее востребованных настроек роутера, потому-что у многих возникает необходимость открыть доступ из интернет к тому или иному сервису в локальной сети. Это может быть порт веб-сервера HTTP 80, почтового сервера SMTP 25 и POP3 110 или для подключения по RDP 3389.

Рассмотрим простой сценарий, когда нужно организовать подключение к удаленному рабочему столу компьютера в офисе и предоставить доступ из интернет к корпоративному сайту.

Весь трафик идущий через Mikrotik проходит через firewall и обрабатывается его правилами. Одна из составляющих firewall это NAT (Network Address Translation), которая отвечает за преобразование сетевых ip-адресов. Чтобы клиенты из внешней сети Интернет могли подключаться к программам и сервисам внутренней локальной сети, нужно в NAT указать на какой внутренний адрес и порт перенаправлять запросы. На рисунке выше приведен пример где запрос на ip 87.236.16.206 и порт 3389 (удаленный рабочий стол) перенаправляется на внутренний ip 192.168.0.20 и порт 3389.

Далее все настройки роутера будут выполняться с помощью программы Winbox, которую можно скачать с официального сайта https://mikrotik.com/download.

Для проброса портов в Mikrotik необходимо:

• Запустить программу Winbox;
• Указать ip адрес роутера, логин, пароль и нажать клавишу [Enter];
• В меню программы перейти IP > Firewall > вкладка NAT;
• Нажать кнопку [+];
• Указать Chain: dstnat, Protocol: 6 (tcp), Dst. port: <номер порта>, In inteface: <интерфейс подключенный к интернету>;
• Переключитья на вкладку Action и указать Action: dst-nat, To Addresses: <адрес компьютера в локальной сети>, To Port: <порт компьютера>.

Многие используют для проброса портов Netmap — это неправильно! У netmap совсем другая задача: он используется для статического отображения одного диапазона ip адресов в другой. Чаще используется для распределения общедоступных ip адресов хостам в частной сети или для взаимодействия сетей с одинаковой адресацией.

Конечно же настройку роутера лучше производить с пониманием того, что делаешь и понимать смысл каждого настраиваемого параметра.

Проброс порта mikrotik в графическом интерфейсе программы Winbox

Для начинающих пользователей mikrotik наиболее простой и понятной будет настройка проброса портов, выполняемая в графическом оконном интерфейсе Winbox. Ниже приведены скриншоты winbox и дано подробное описание всех параметров NAT, необходимых для настройки проброса порта в Mikrotik.

1. Путь к настройкам NAT в Mikrotik:

Чтобы открыть таблицу правил NAT в Mikrotik пройдите в меню путь IP > Firewall > вкладка NAT.

2. Настройки вкладки General NAT:

На вкладке General указываются параметры, по которым роутер будет понимать какие сетевые пакеты необходимо обработать. В общем случае достаточно будет указать параметры: Chain, Protocol, Dst. port, In. Interface. Остальные параметры могут быть использованы для более точной настройки.

В данном примере необходимо открыть tcp-порт 3389 для протокола удаленного рабочего стола RDP на интерфейсе ether1-GW, подключенному к интернету:

• Chain: dstnat
• Protocol: 6(tcp)
• Dst. Port: 3389
• In. Interface: ether1 (интерфейс, подключенный к интернету)

Когда открываете порт в сеть интернет лучше изменять его стандартное значение (вместо 3389 указать например 9743), чтобы снизить риски атак на этот порт. То есть из сети интернет, подключение по rdp будет приходить на этот нестандартный порт, а затем перенаправляться на стандартный порт.

Пояснение к параметрам вкладки General, при создании правила NAT:

• Chain: цепочка, определяет этап прохождения пакета; dstnat — входящий пакет, идущий в nat, srcnat — исходящий пакет, покидающий nat;
• Src. Address: ip-адрес источника (source) пакета;
• Dst. Address: ip-адрес назначения (destination) пакета;
• Protocol: протокол, доступны для выбора протоколы различных уровней OSI — канальные (l2tp), сетевые (icmp, ospf), транспортные (tcp, udp), прикладные (rdp) и другие;
• Src. Port: порт источника пакета, в настройке проброса портов используется редко т.к. порт источника как правило динамический и может иметь разные значения;
• Dst. port: порт, на который адресован пакет источника;
• Any port: означает, что указанный номер порта может быть как источником так и назначением;
• In. Interface: интерфейс, на который должен прийти пакет от источника (интерфейс, к которому подключен интернет);
• Out. Interface: интерфейс, на который ушел пакет.

3. Настройки вкладки Action NAT:

После того как во вкладке General заданы параметры, по которым роутер будет отбирать нужные пакеты, необходимо создать действие для этого правила во вкладке Action.

Для перенаправления сетевых пакетов указываем Action: dst-nat и указываем на какой локальный ip-адрес и порт будем перенаправлять сетевой трафик To Addresses и To Ports. В данном случае это адрес и порт удаленного рабочего стола.

• Action: dst-nat
• To Addresses: 192.168.0.20 (адрес локального хоста, на который перенаправляются пакеты)
• To Port: 3389 (порт локального хоста, но который перенапряются пакеты)

Пояснение к параметрам вкладки Action, при создании правила NAT:

• Action: действие, которое нужно выполнить с пакетом; dst-nat — означает, что пакет пришедший в NAT нужно направить на указанный ниже адрес и порт (проброс порта);
• To address: адрес, на который будет направлен пакет из NAT (адрес хоста, чей порт пробрасывается);
• To port: порт, на который будет направлен пакет из NAT (порт, который пробрасывается).

Для тех, кто предпочитает для настройки mikrotik использовать терминал, проброс портов будет выполняться следующим образом.

1. Переходим в NAT:

ip firewall nat

2. Добавляем правило:

add chain=dstnat protocol=tcp dst-port=3389 in-interface=ether1-GW action=d
st-nat to-addresses=192.168.0.20 to-ports=3389

Думаю достаточно подробно изложил как осуществяется проброс портов на роутерах mikrotik. Если остались вопросы — оставляйте комментарии, будем разбираться.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В этой статье мы рассмотрим как пробросить порт на маршрутизаторах Mikrotik для RDP. Инструкция актуальна для всех устройств  Mikrotik Router OS.

Любую схему можно представить в таком виде:

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.

Клиент отправляет запрос на внешний ip адрес клиента, роутер обрабатывает его и если создано правило отправляет его уже дальше к компьютеру в локальной сети. 

Рассмотрим подробнее, как создать это правило в Mikrotik Router OS. 

Все операции будем выполнять через WinBox.

Подключаемся к роутеру, заходим в IP->Firewall->NAT и нажимаем + что бы создать новое правило.

Тут нужно заполнить всего несколько опций.

Первое поле — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat —  из внешней во внутреннюю. В нашем случие нам нужен dstnat.
Далее идут Src. Address (исходный адрес) и Dst. Address (адрес назначения). Если вы планируете подключаться с определенного IP адреса, тогда вносим его в Src. Address, если хотите подключаться с любого ip адреса тогда оставляем поле пустым. В адрес назначения — всегда внешний адрес роутера, так что это поле можно не заполнять.
Далее следует пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для rdp выбираем tcp. 
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это не нужно, оставляем поле пустым.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. Для RDP это 3389.
Затем идёт пункт Any Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) — это тот интерфейс который смотрит наружу.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключен компьютер, на который мы делаем переадресацию, заполнять это поле нет необходимости.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге у насполучается такая картина:

В целях безопасности мы рекомендуем вам изменить стандартный порт rdp 3389 на любой другой. В этом случаи для подключения к удаленному компьютеру после ip адреса нужно поставить : и ввести адрес порта, например 192.168.0.100:5971

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры расширенной настройки, нам они не нужны, идём сразу в Action (Действие)

В поле Action нужно выбрать конкретное действие, которое будет выполняться с подключением на указанный ранее порт:
accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки. 
log — Добавляет информацию о пакете в лог роутера;
masquerade — Подмена внутреннего адреса компьютера из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;
passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap, остановимся на пером варианте.

Далее нажимаем Apply что бы сохранить правило.

Так же имеет смысл указать коментарий для этого правила, что бы в будующем не вспомнитать что это.

Нажимаем кнопку Comment, назовем это правило rdp и нажимаем ОК.

Все, на этом правило создано.

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.

Обновлено: 20.04.2023
Опубликовано: 20.06.2017

Инструкция описывает процесс настройки перенаправления сетевых запросов с внешнего подключения на компьютеры в локальной сети.

Настройка проброса

Переходим по разделам IP — Firewall — NAT — Add New:

Далее настройка выполняется в зависимости от того, какой сервис нужно опубликовать.

Примеры пробросов

RDP (удаленный рабочий стол)

• Chain — dstnat;
• Dst. Address — внешний IP-адрес;
• Protocol — rdp;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

 

* если данная настройка не сработает, меняем протокол на tcp и задаем порт RDP — по умолчанию, 3389.

WWW (80 или веб-сервер или http)

• Chain — dstnat;
• Dst. Address — внешний IP-адрес;
• Protocol — tcp;
• Dst. Port — 80;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

HTTPS

Настройка та же, что для 80 порта, но в место 80 пишем 443.

FTP

• Chain — dstnat;
• Dst. Address — внешний IP-адрес;
• Protocol — tcp;
• Dst. Port — 20,21;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

Видеонаблюдение

Системы видеонаблюдения могут работать на различных портах, поэтому первым делом обращаемся к инструкции системы, с которой необходимо работать.

В данном примере рассмотрим проброс RTSP.

• Chain — dstnat;
• Dst. Address — внешний IP-адрес;
• Protocol — udp;
• Dst. Port — 554;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

* RTSP работает по протоколам TCP и UDP. В данном примере правило настроено для последнего.

Почтовая система Zimbra

Для нормальной работы почтовой системы необходимо пробросить следующие порты:

• 25 — основной порт для обмена почтой по протоколу SMTP.
• 80 — веб-интерфейс для чтения почты (http).
• 110 — POP3 для загрузки почты.
• 143 — IMAP для работы с почтовым ящиком с помощью клиента.
• 443 — SSL веб-интерфейс для чтения почты (https).
• 465 — безопасный SMTP для отправки почты с почтового клиента.
• 587 — SMTP для отправки почты с почтового клиента (submission).
• 993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
• 995 — SSL POP3 для загрузки почты.
• 5222 — для подключения к Zimbra по протоколу XMPP.
• 5223 — для защищенного подключения к Zimbra по протоколу XMPP.
• 7071 — для защищенного доступа к администраторской консоли.
• 8443 — SSL веб-интерфейс для чтения почты (https).
• 7143 — IMAP для работы с почтовым ящиком с помощью клиента.
• 7993 — SSL IMAP для работы с почтовым ящиком с помощью клиента.
• 7110 — POP3 для загрузки почты.
• 7995 — SSL POP3 для загрузки почты.
• 9071 — для защищенного подключения к администраторской консоли.

Важно отметить, что не все перечисленные порты понадобятся именно вам. Если мы не планируем использовать POP3, то и соответствующие порты для него пробрасывать не нужно.

Сама настройка на микротике будет такой:

• Chain — dstnat;
• Dst. Address — внешний IP-адрес;
• Protocol — tcp;
• Dst. Port — 25,80,110,143,443,465,587,993,995,5222,5223,9071,7071,8443,7143,7993,7110,7995;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

NAT Loopback (nat reflection)

Проброс не будет работать для внутренней сети, если исходящий внешний IP совпадает с тем, на котором опубликован сервис. Предположим, что у нас внешний адрес 95.161.166.156 и мы хотим пробросить порты 80 и 443. Все попытки к нему подключиться из внутренней сети будут заканчиваться ошибкой Connection Timeout.

Для решения задачи публикации сервиса клиентам внутренней сети есть два классическим способа:

1. Разделять ответы DNS таким образом, чтобы внутренние пользователи получали внутренний адрес, а внешние — внешний. Полезные материалы на эту тему — Настройка Split DNS на одном сервере Bind и Установка и примеры настройки Dnsmasq.

2. Использовать специальные правила при создании пробросов, которые отделяли бы внутренние запросы от внешних. Это может называться NAT Loopback или NAT Reflection.

В рамках нашей инструкции мы рассмотрим второй метод. Нам нужно создать два правила: первое — для проброса из внутренней подсети на внутренний адрес; второе — маскарадинг.

Первое правило:

• Chain — dstnat;
• Src. Address — внутренняя подсеть;
• Dst. Address — внешний IP-адрес;
• Protocol — tcp;
• Dst. Port — 80,443;
• Action — dst-nat;
• To Address — IP-адрес сервера, на который должно идти перенаправление.

Второе правило:

• Chain — srcnat;
• Src. Address — внутренняя подсеть;
• Dst. Address — IP-адрес сервера, на который должно идти перенаправление;
• Protocol — tcp;
• Dst. Port — 80,443;
• Action — masquerade;

 

Время на прочтение
7 мин

Количество просмотров 57K

В связи с пандемией вируса covid-19 и всеобщим карантином во многих странах единственным выходом многих компаний, чтобы продолжать работу — удаленный доступ к рабочим местам через интернет. Есть много относительно безопасных методов для удаленной работы — но учитывая масштаб проблемы, необходим простой для любых пользователей метод удаленного подключения к офису и без необходимости дополнительных настроек, объяснений, утомительных консультаций и длинных инструкций. Таким методом есть любимый многими админами RDP (Remote Desktop Protocol). Подключение напрямую к рабочему месту по RDP идеально решает нашу задачу, кроме одной большой ложки дегтя — держать отрытым для интернета порт RDP очень небезопасно. Поэтому ниже предлагаю простой, но надежный метод защиты.

Так как часто я сталкиваюсь с небольшими организациями, где в качестве выхода в интернет используют устройства Mikrotik, то ниже будет показано, как это реализовать на микротике, но метод защиты Port Knocking легко реализуем и на других устройствах более высокого класса при аналогичных настройках входного маршрутизатора и firewall.

Коротко о Port Knocking. Идеальная внешняя защита сети подключенной к интернет — это когда все ресурсы и порты закрыты извне фаерволом. И хотя роутер с таким настроенным фаерволом никак не реагирует приходящие извне пакеты, он их прослушивает. Поэтому можно роутер настроить так, что при получении определенной (кодовой) последовательности сетевых пакетов на разные порты, он (роутер) для IP откуда пришли пакеты открывает доступ к определенным ресурсам(портам, протоколам и пр).

Теперь к делу. Детального описания настройки фаервола на микротике делать не буду — в интернете для этого полно качественных источников. В идеале firewall блокирует все входящие пакеты, но

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Разрешает входящий трафик от уже установленных(established, related) соединений.
Теперь настраиваем Port Knocking на Микротике:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Теперь подробнее:

первые два правила

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

запрещают входящие пакеты с IP адресов, которые попали в черный список при сканировании портов;

Третье правило:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

добавляет ip в список хостов, которые сделали правильный первый стук на нужный порт (19000);
Следующие четыре правила:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

создают порты ловушки для желающих просканировать ваши порты, и при обнаружении таких попыток заносят их ip в черный список на 60 минут, в течении которых первые два правила не дадут таким хостам возможности постучаться в правильные порты;

Следующее правило:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

помещает ip в список разрешенных на 1 минуту (достаточно для установления соединения), так как сделан второй правильный стук в нужный порт(16000);

Следующая команда:

move [/ip firewall filter find comment=RemoteRules] 1

перемещает наши правила вверх по цепочки обработки фаерволом, так как скорее всего у нас уже будут настроены разные запрещающие правила, которые не дадут сработать нашим вновь созданным. Самое первое правило в микротике начинается с нуля, но у меня на устройстве ноль быль занят встроенным правилом и невозможно было переместить — я переместил на 1. Поэтому смотрим по нашим настройкам — куда можно переместить и указываем нужный номер.

Следующая настройка:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

осуществляет проброс произвольно выбранного порта 33890 на обычный RDP порт 3389 и ip нужного нам компьютера или терминального сервера. Таких правил мы создаем для всех необходимых внутренних ресурсов, желательно выставляя нестандартные(и разные) внешние порты. Естественно, что ip внутренних ресурсов должны быть либо статичными либо закреплены на DHCP сервере.

Теперь наш микротик настроен и нам нужна простая для пользователя процедура подключения к нашему внутреннему RDP. Так как у нас это в основном Windows пользователи, то создаем простой bat файл и назовем его StartRDP.bat:

1.htm
1.rdp

соответственно 1.htm содержит следующий код:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

тут содержится две ссылки на мнимые картинки которые находятся по адресу my_router.sn.mynetname.net — этот адрес мы берем из системы DDNS микротика предварительно включив это в нашем микротике: заходим в меню IP->Cloud — ставим галочку DDNS Enabled, нажимаем Apply и копируем dns имя нашего роутера. Но это обязательно лишь когда внешний ip роутера динамический или используется конфигурация с несколькими провайдерами интернета.

Порт в первой ссылке :19000 соответствует первому порту по которому нужно стучаться, во второй соответственно второму. Между ссылками короткая инструкция, которая показывает, что делать если вдруг наше соединение из-за коротких неполадок в сети оборвалось — обновляем страницу, порт RDP для нас вновь открывается на 1 мин минуту и наш сеанс восстанавливается. Также текст между тегами img образует для браузера микрозадержку, которая снижает вероятность доставки первым пакета на второй порт (16000) — пока за две недели пользования (30 человек) таких случаев не было.

Далее идет файл 1.rdp, который мы можем настроить один для всех или отдельно для каждого пользователя (я так и сделал — легче потратить дополнительно 15 минут, чем несколько часов на консультации тех, кто не смог разобраться)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

из интересных настроек тут use multimon:i:1 — это включает использование нескольких мониторов — некоторым это необходимо, а включить сами не додумаются.

connection type:i:6 и networkautodetect:i:0 — так интернет у большинства выше 10 мбит, то включаем тип соединения 6(локальная сеть 10Мбит и выше) и отключаем networkautodetect, так как если по умолчанию(auto), то даже редкая небольшая задержка в сети автоматически надолго устанавливает заниженную скорость для нашего сеанса, что может создавать заметные задержки в работе, особенно в графических программах.

disable wallpaper:i:1 — отключаем картинку рабочего стола
username:s:myuserlogin — логин пользователя указываем, так как значительная часть наших пользователей не знает своего логина
domain:s:mydomain — указываем домен или имя компьютера

Но если мы хотим упростить себе задачу по созданию процедуры подключения, то можем воспользоваться и PowerShell — StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Также немного про RDP клиент в Windows: MS прошла долгий путь оптимизации протокола и его серверной и клиентской части, реализовала много полезных фич — таких как работа с аппаратным 3D, оптимизация разрешения экрана под ваш монитор, мультиэкран и прочее. Но естественно, все реализовано в режиме обратной совместимости и если клиент Windows 7, а удаленный ПК Windows 10, то RDP работать будет используя протокол версии 7.0. Но благо можно обновлять версии RDP до более свежих версий — например можно повысить версию протокола с 7.0(Windows 7) до 8.1. Поэтому для удобства клиентов нужно максимально повысить версии серверной части, а также скинуть ссылки на обновление до новых версий клиентов протокола RDP.

В итоге мы имеем простую и относительно безопасную технологию удаленного подключения к рабочему ПК или терминальному серверу. Но для более безопасного подключения наш способ Port Knocking можно усложнять для атаки на несколько порядков, путем добавления портов для проверки — можно по той же логике добавить 3,4,5,6… порт и в таком случае прямое вторжение в вашу сеть будет почти неосуществимым.

Заготовки файлов для создания удаленного подключения к RDP.

Микротик – это популярное устройство, которое часто используется для настройки локальной сети и подключения к интернету. Одной из важных функций этого устройства является возможность настраивать проброс портов. Проброс портов позволяет отправлять трафик от внешней сети на определенные порты внутренней сети. В этой статье мы рассмотрим, как настроить проброс портов RDP (Remote Desktop Protocol), чтобы удаленно управлять компьютером в вашей локальной сети.

Прежде всего, необходимо установить соединение с маршрутизатором Mikrotik через его веб-интерфейс. В адресной строке браузера введите IP-адрес маршрутизатора и нажмите клавишу Enter. Появится окно, в котором нужно ввести логин и пароль. По умолчанию логин – admin, пароль – admin.

Шаг 1: После успешной авторизации откройте вкладку «IP» в левой части панели инструментов и выберите «Firewall» в списке доступных опций. Затем выберите вкладку «NAT» в верхней части страницы.

Шаг 2: Нажмите кнопку «Add New» для создания нового правила проброса портов.

Шаг 3: В открывшемся окне заполните поля «General», «Action» и «To Address». В поле «General» установите значение «Dstnat», в поле «Action» выберите значение «dst-nat», а в поле «To Address» введите IP-адрес компьютера, к которому вы хотите получить доступ удаленно.

Шаг 4: Заполните поля «General», «Action» и «To Ports». В поле «General» установите значение «Dstnat», в поле «Action» выберите значение «dst-nat», а в поле «To Ports» введите номер порта RDP (по умолчанию 3389).

Шаг 5: Нажмите кнопку «Ok» для сохранения настроек.

После выполнения всех предыдущих шагов проброс порта RDP должен быть успешно настроен на маршрутизаторе Mikrotik. Теперь вы сможете удаленно управлять компьютером в вашей локальной сети через протокол RDP. Обратите внимание, что вам также может потребоваться настроить правила безопасности для доступа из внешней сети к порту RDP.

Установка программного обеспечения Mikrotik

Для настройки проброса портов RDP на Mikrotik необходимо установить программное обеспечение Mikrotik на ваше устройство. Для этого следуйте указанным ниже шагам:

1. Посетите официальный сайт Mikrotik по адресу https://mikrotik.com/
2. На главной странице найдите раздел «Скачать» или «Download» и кликните на него.
3. В открывшемся разделе выберите тип устройства, для которого вы хотите скачать программное обеспечение Mikrotik.
4. После выбора типа устройства, вам будет предложено выбрать версию операционной системы Mikrotik. Выберите вариант, который наиболее соответствует вашим потребностям.
5. После выбора операционной системы нажмите на кнопку «Скачать» или «Download», чтобы начать загрузку установочного файла.
6. После завершения загрузки установочного файла откройте его и следуйте инструкциям мастера установки, чтобы установить программное обеспечение Mikrotik на ваше устройство.

После завершения установки программного обеспечения Mikrotik, вы будете готовы приступить к настройке проброса портов RDP и использованию других функций и возможностей данного устройства.

Подключение к роутеру Mikrotik

Для подключения к роутеру Mikrotik вам потребуется следующая информация:

1. IP-адрес роутера: узнайте IP-адрес вашего роутера Mikrotik. Обычно он указывается в документации или может быть установлен по умолчанию (например, 192.168.88.1).
2. Имя пользователя и пароль: обычно по умолчанию имя пользователя «admin», а пароль пустой (не заполнен).

Когда у вас есть эта информация, вы можете приступить к подключению к роутеру Mikrotik, следуя этим шагам:

1. Откройте любой веб-браузер на устройстве, подключенном к той же сети, что и роутер Mikrotik.
2. Введите IP-адрес роутера Mikrotik в адресную строку браузера и нажмите «Enter».
3. В появившемся окне введите имя пользователя и пароль для доступа к роутеру Mikrotik. Если пароль не был изменен, оставьте это поле пустым. Нажмите кнопку «Login» или «Войти».

Если вы успешно вошли в систему роутера Mikrotik, вы увидите главный экран или интерфейс управления роутером. Теперь вы можете настраивать проброс портов RDP или выполнять другие задачи для вашего роутера Mikrotik.

Настройка проброса портов

Проброс портов, также известный как порт-форвардинг, позволяет перенаправить входящий сетевой трафик с одного порта на вашем маршрутизаторе на другой порт вашего компьютера или устройства в сети.

Настройка проброса портов на маршрутизаторе MikroTik позволяет вам удаленно подключаться к компьютеру или устройству в своей локальной сети, используя удаленное рабочее место (RDP). Вот пошаговая инструкция, как настроить проброс портов RDP на MikroTik:

1. Войдите в административную панель вашего маршрутизатора MikroTik, используя браузер и IP-адрес маршрутизатора.
2. Выберите раздел «IP» в главном меню.
3. Выберите «Firewall» во вкладке «IP».
4. Перейдите на вкладку «NAT».
5. Нажмите на кнопку «Add New» для создания нового правила NAT.
6. Заполните поля в настройках правила NAT:
• Chain: Выберите «dstnat» из списка вариантов.
• Protocol: Выберите «tcp» из списка вариантов.
• Dst. Port: Введите порт RDP, который вы хотите перенаправить, например, «3389».
• Action: Выберите «dst-nat» из списка вариантов.
• To Addresses: Введите локальный IP-адрес компьютера или устройства, на который вы хотите перенаправить порт RDP.
• To Ports: Введите порт, на который вы хотите перенаправить RDP, например, «3389».
7. Нажмите на кнопку «OK», чтобы сохранить настройки правила NAT.
8. Перезагрузите маршрутизатор MikroTik, чтобы применить изменения.

Теперь проброс портов RDP настроен на вашем маршрутизаторе MikroTik. Вы сможете удаленно подключаться к вашему компьютеру или устройству в сети, используя удаленное рабочее место (RDP) и внешний IP-адрес вашего маршрутизатора вместе с перенаправленным портом RDP.

Проверка работоспособности проброса портов

После того, как вы настроили проброс портов на Mikrotik, вам необходимо убедиться в его работоспособности.

Шаг 1: Откройте программу «Подключение к удаленному рабочему столу» на компьютере, с которого вы хотите получить удаленный доступ к другой машине.

Шаг 2: В поле «Компьютер» введите публичный IP-адрес вашего Mikrotik роутера, за которым настроен проброс портов.

Шаг 3: Укажите порт, на который вы настроили проброс, в виде «IP-адрес:порт». Например, если вы настроили проброс порта номер 3389 на IP-адрес 192.168.1.100, введите «192.168.1.100:3389».

Шаг 4: Нажмите кнопку «Подключить».

Шаг 5: Если проброс портов настроен правильно и работает, вы должны увидеть окно ввода логина и пароля для удаленного компьютера.

Шаг 6: Введите имя пользователя и пароль для удаленного компьютера и нажмите кнопку «ОК».

Шаг 7: Если удаленный компьютер успешно подключен, вы должны увидеть рабочий стол удаленной машины.

Если вы испытываете проблемы при подключении к удаленному рабочему столу, убедитесь, что вы правильно настроили проброс портов на Mikrotik, а также проверьте настройки брандмауэра на удаленной машине и настройки безопасности на Mikrotik.