En un anterior Post explicamos cómo redireccionar un puerto público a uno interno, pero que ocurre cuando el puerto que queremos asignar está ocupado por otra aplicación. En este caso tendremos 2 opciones:
- Cambiamos el puerto interno del host al que queremos redireccionar el puerto público. Puede ser un quebradero de cabeza acordarse de todos los puertos si disponemos de varios host, porque nos tendremos que acordar de la dirección ip y el número de puerto correspondiente.
Cambiamos sólo el puerto público. Nuestra dirección ip pública, entendemos que es fija y que no cambiará por lo que cambiar el número de puerto externo es una solución mucho más fácil de recordar.
Escenario:
La empresa “Maderas Robles” dispone de 3 cámaras de videovigilancia IP a las que es necesario acceder desde el exterior para visualizar el estado de las máquinas. Si nos encontramos en un pc dentro de la red local la dirección ip de cada una de las cámaras es la siguiente:
Cámara 1 – http://192.168.1.11
Cámara 2 – http://192.168.1.12
Cámara 3 – http://192.168.1.13
Anteriormente Maderas Robles ha contratado una ip Fija con su proveedor de Internet y le ha sido asignada la dirección 5.26.158.8 y necesita hacer la redirección de puertos para poder ver sus cámaras desde la oficina de la empresa que se encuentra ubicada a 5 km de la Maderera en la zona urbana. Su proveedor le comenta que el puerto 80 no puede ser utilizado porque es utilizado para que el proveedor acceda en remoto a su router.
Se ha decidido utilizar los puertos 81, 82 y 83 para visualizar cada una de las cámaras de la planta.
El acceso a través de la ip pública será el siguiente:
Cámara 1 – http:// 5.26.158.9:81
Cámara 2 – http:// 5.26.158.9:82
Cámara 3 – http:// 5.26.158.9:83
Cómo configura el proveedor la redirección de puertos en el equipo Mikrotik:
- IP/Firewall/Nat y añadimos una nueva entrada.
Pestaña General
- Chain: dstnat (Cadena)
- Protocol: tcp (Protocolo)
- Port: 81 (Puerto de destino asignado a la cámara 1 (puerto público))
- Interface: pppoe-out1 (Interfaz de entrada, debemos seleccionar la interfaz wan del equipo, en este caso pppoe-out1)
- Coment: Cámara 1
Pestaña Action:
- Action: dst-nat (nat de destino)
- To Address: 192.168.1.1 (Dirección ip del equipo que queremos redireccionar el puerto).
- To Ports: 80 (Indicamos el puerto de acceso interno que utiliza la cámara 1).
2. Hacemos clic en OK. Se creará una nueva línea en el pestaña Nat mikrotik del Firewall para que se cree la entrada.
3. Repetimos el proceso para la cámara 2 y 3 cambiando únicamente el puerto público.
¡Espero que os sea útil! En el siguiente post explicaremos como crear una zona Desmilitarizada en Mikrotik (DMZ Mikrotik).
¡Hasta la próxima!
Cordial saludo,
Felicito este blog, tiene información MUY interesante. Me encantan los MIKROTIK e inclusive pude certificarme en MTCNA y MTCWE.
Les presento este caso, configuré un MIKROTIK RB750 con servicio de internet, IP fija, servicio de internet con IP dinamica, DHCP server, AP, DVR, Switch, impresoras de red, VPN
La idea principal es que la VPN me permita acceso a:
NAS (Network Attached Storage)
DVR
Al realizar la conexión la primera vez ambos servicios estaban disponibles, no obstante después ya no era posible aunque no hicimos NINGUN cambio en la configuración.
Agradezco de antemano su colaboración al respecto y en lo posible pronta respuesta.
Información adicional
Mi proveedor de internet realizó un pass through a mi RB-750, el cual está conectado a un ARRIS.
*** CONFIGURACIÓN ***
Interfaces
ether1-WAN1 Servicio internet IP fija 190.X.X.X
ether2-WAN2 Servicio internet IP dinamico (inactiva)
ether3-WLAN1 AP para servicio wireles 192.168.X.X
ether4-DVR1 DVR 192.168.X.X
ether5-LAN1 Switch
bridge1-LAN1
STP :rstp
Puertos : ether3-WLAN1, ether4-DVR1, ether5-LAN1
DHCP Cliente
ether2-WAN1 (inactivo)
DHCP Server
server1-LAN1
Interface : bridge1-LAN1
Lease time : 1d 00:00:00
Address pool : pool1-WAN1
Gateway : 192.168.X.1
Impresoras
RED : 192.168.X.XX1
Wireless : 192.168.X.XX2
NAS
Disco duro 2 TB, RAID 1
address : 192.168.X.X50
DNS settings
Allow Remote Request
Servers : 8.8.8.8
4.2.2.2
Pool
pool1-WAN1 : 192.168.X.XX0-192.168.X.X40
pool2-VPN1 : 192.168.X.XX0-192.168.X.X10
Address
address : 190.X.X.X/24
network : 190.X.X.0
Interface : ether1-WAN1
address : 192.168.X.1/24
network : 192.168.X.0
Interface : ether5-LAN1
PPTP Server
Enebled
Secrets
name : admin
service : pptp
profile : profile1-VPN1
Profiles
name : profile1-VPN1
local address : 192.168.X.1
remote address : pool2-VPN1
ARP
proxy-arp
ether1-WAN1, ether4-DVR1, ether5-LAN1
NAT
masquerade srnat dst.address 192.168.X.0/24
masquerade srnat out.interface ether1-WAN1
masquerade srnat out.interface ether2-WAN2 (inactiva)
Estuve revisando para abrir los puertos probé ambas opciones
dst-nat 190.X.X.X protocol TCP dest.port 80 to address 192.168.X.2 to port 80
dst-nat ether1-WAN1 protocol TCP dest.port 80 to address 192.168.X.2 to port 80
Tambien trate ambos casos con el puerto 34567 (el del DVR para accesos por móvil)
Buenas, muy interesante el post, tengo un problema, seguí todo los pasos para publicar unas cámaras pero solo dos son visibles a través de la ip publica, las otras dos no, todos los puertos son diferentes en cada una de ellas.
Quisiera saber como realizar el NAT para un rango de puertos, por ejemplo realizar el NAT desde el puerto 10000 al 2000
Hola, tengo un problema con algo similar a lo que planteas en la publicacion.
En mi caso redireccion los puerso necesario a un server mio, en el cual brindo un servicio a mis clientes.. resulta que cuando pruebo dihco servicio desde cualquier pc externa a la red, funciona todo bien, pero cuando intento desde alguna pc interna de la red no me responde.
Te doy un ejemplo mas claro:
Es como que en tu caso desde cualquier pc que tengas dentro de tu red quieras ingresar a ver la camara pero usando la ip publica de tu red, es decir: 5.26.158.9:81 y no te responda, pero si usas la ip privada de dicha camara si te responde.
Espero me puedan ayudar.
saludos
https://bandalibre.es/contacta/
ok.
como podria hacer si mi provedor isp me entrega 5 ip publicas con la misma puerta de enlace y yo deseo que cada ip publica salga por un segmento lan diferente es decir 5 ips publicas para 5 segmentos lan de manera que no se mezclen sino que cada lan salga por su propia ip publica siempre
https://bandalibre.es/contacta/
buenas tardes tengo un problema tengo un router mikrotik vree una vpn pptp me conecto a la vpn sin problema pero no veo las pc de la red ni logro hacer ping si me pueden ayudar gracias saludos
https://bandalibre.es/contacta/