Hướng dẫn nat port camera ra ngoai tren router mikrotik

Để máy chủ có thể được truy cập từ internet, hãy mở cổng trên bộ định tuyến và sau đó là trở cổng đó tới máy chủ trong mạng nội bộ. Việc này sẽ chặn lưu lượng truy cập từ IP công cộng bởi bộ định tuyến đến IP nội bộ của máy chủ. Bằng cách đó, nó giống như thể máy khách từ internet giao tiếp với máy chủ mượn IP công cộng của bộ định tuyến Mikrotik để hoạt động. Bước tạo quy tắc, đơn giản là vào menu IP -> Firewall -> nhấp vào thẻ "NAT", thêm quy tắc mới bằng cách nhấn nút "thêm", có dấu "+" màu xanh.

1./ Đối với địa chỉ IP WAN động (dynamic IP).

2./ Đối với địa chỉ IP WAN tĩnh (static IP).

Chỉ là một mẹo nhỏ, nếu bạn không chắc chắn về cổng và giao thức được sử dụng bởi máy chủ, bạn có thể để trống trước. Bằng cách đó, tất cả lưu lượng truy cập từ ip công cộng sẽ được chuyển tiếp đến máy chủ. Với cấu hình trên, quy tắc chuyển tiếp đã hoàn tất.

3./ Đối với nhiều địa chỉ IP WAN tĩnh (static IP).

Đối với quy tắc phía trên, việc cài đặt hoàn tất cho một địa chỉ ip công cộng. Tuy nhiên, nếu chúng ta có nhiều ip công cộng, chúng ta cần thêm một quy tắc nữa. Các quy tắc được sử dụng để hướng lưu lượng phản hồi từ máy chủ đến cùng một đường dẫn với lưu lượng yêu cầu. Ví dụ: yêu cầu vẫn là từ IP Public A, thì phản hồi từ máy chủ cũng phải đến IP Public A. Nếu hóa ra lưu lượng phản hồi đến từ IP Public B, thì lưu lượng đó không được máy khách chấp nhận. Các quy tắc phải được tạo như sau:

Quy tắc NAT đã hoàn tất, nhưng nếu chúng ta có nhiều hơn một máy chủ trong mạng, trong khi chúng ta chỉ có một IP công cộng, chúng ta có thể chuyển tiếp bằng cổng. Ví dụ: máy chủ A có thể được truy cập qua cổng 5678, sau đó máy chủ B qua cổng 8910. Với cách giải thích này, khi bộ định tuyến nhận được kết nối từ cổng 5678, kết nối sẽ được chuyển tiếp đến Máy chủ A, cũng như khi bộ định tuyến nhận được kết nối kết nối từ cổng 8910, nó sẽ chuyển tiếp đến máy chủ B.

4./ Hairpin NAT.

Câu hỏi đặt ra là liệu chúng tôi có thể truy cập máy chủ bằng địa chỉ ip công cộng từ trong mạng nội bộ hay không ? Câu trả lời là không. Tại sao nhỉ?

Khi truy cập từ Internet với IP máy khách là 113.166.1.12 chẳng hạn, luồng lưu lượng sẽ trông như thế này.

Khi truy cập từ mạng nội bộ với IP máy khách là 192.168.1.253, luồng lưu lượng sẽ trông như thế này.

Điều xảy ra là máy chủ ngay lập tức gửi lưu lượng phản hồi trực tiếp đến máy khách mà không cần thông qua bộ định tuyến, vì địa chỉ nguồn tồn tại của máy khách và địa chỉ IP mạng máy chủ (vẫn nằm trong 1 đoạn IP). Lưu lượng phản hồi được gửi từ máy chủ sẽ bị máy khách từ chối, vì trước đó máy khách đã gửi yêu cầu tới bộ định tuyến trước chứ không phải trực tiếp đến máy chủ. Máy khách chỉ muốn nhận phản hồi từ ip đã được đánh địa chỉ trước đó, đó là 117.16.102.18. Vậy thì, bây giờ giải pháp là thêm Quy tắc NAT cho lưu lượng truy cập từ mạng nội bộ đến Máy chủ.

Với quy tắc NAT ở trên, quy tắc này sẽ thay đổi địa chỉ ip nguồn mà trước đây là ip máy tính khách, được thay thế bằng ip bộ định tuyến Mikrotik khi dữ liệu được chuyển tiếp từ bộ định tuyến Mikrotik đến máy chủ. Sau đó, máy chủ sẽ gửi dữ liệu phản hồi đến bộ định tuyến Mikrotik, không trực tiếp đến máy khách. Với quy tắc nat mới, luồng dữ liệu sẽ như sau:

Trong bài viết này, mình sẽ hướng dẫn các bạn NAT port, hay còn gọi là mở port hoặc Port Forwarding trên Router cân bằng tải Mikrotik.

Mục lục

Mô hình

Trong thực tế thì khi chúng ta cần public 1 dịch vụ nào đó như 1 website, camera, SQL... thì chúng ta sẽ cần phải mở port để người dùng có thể truy cập được từ internet thông qua IP WAN. Đối với các dịch vụ khác nhau thì cách cấu hình vẫn sẽ giống nhau, các bạn chỉ cần thay đổi port cho dịch vụ đó là được. Trong bài viết này mình sẽ mở port 3389 cho dịch vụ remote desktop.

Mô hình của mình sẽ bao gồm 1 Máy tính ở bên dưới router Mikrotik. Máy tính có IP là 192.168.1.254 và đang bật dịch vụ Remote Desktop với port 3389. Trên router Mikrotik mình sẽ mở port để các máy tính ngoài Internet có thể remote được vào máy của mình. Với các dịch vụ như camera, SQL… thì các bạn chỉ cần thay đổi port tương ứng là được.

Kiểm tra Port nội bộ

Điều đầu tiên các bạn cần phải đảm bảo trước khi thực hiện NAT port là dịch vụ trong LAN phải được bật trước. Ví dụ các bạn có đầu ghi camera của hãng Hikvision có IP LAN là 192.168.1.254 đang dùng port 8080, thì khi đó các bạn phải truy cập được vào camera thông qua port này trong nội bộ trước. Mỗi ứng dụng sẽ có 1 cách kiểm tra khác nhau, với camera Hikvision, các bạn có thể add đầu ghi này vào phần mềm Hik-connect bằng IP LAN là 192.168.1.254, port 8080 và test thử. Với các ứng dụng khác thì các bạn có thể nhờ bên ứng dụng để kiểm tra. Có nhiều cách để kiểm tra, mình hay dùng TELNET. Mình sẽ hướng dẫn các bạn dùng telnet để check xem 1 port đã hoạt động hay chưa.

Đầu tiên trên máy tính, các bạn vào Controll Panel, vào menu Programs and Features, vào Turn Windows features on or off.

Tích chọn Telnet Client và nhấn OK. Windows sẽ cài đặt, các bạn chờ 1 lát là được.

Sau đó các bạn mở CMD lên. Để kiểm tra xem dịch vụ có đang được mở trên IP đó hay không các bạn chỉ cần TELNET đến IP đó với port là port dịch vụ mà chúng ta đang NAT, chứ không phải port 23 của TELNET.

Ví dụ với dịch vụ Remote Desktop port 3389. Khi Remote Desktop chưa được bật thì các bạn sẽ thấy thông báo lỗi không thể kết nối đến host này bằng port 3389.

Khi mà port 3389 được bật thì mình đã có thể telnet được. Tuy nhiên nó chỉ ra màn hình đen thôi, chúng ta chỉ sử dụng để xem port đã hoạt động hay chưa.

Sau khi đảm bảo dịch vụ đã hoạt động trong LAN, các bạn có thể cấu hình trên Mikrotik để mở port này. Có 2 trường hợp là IP WAN động và IP WAN tĩnh. Mình sẽ bắt đầu với trường hợp IP WAN là IP tĩnh

NAT Port với IP WAN là IP tĩnh

Với trường hợp đường mạng của các bạn đã đăng ký gói IP tĩnh thì khá đơn giản.

Trên Winbox, các bạn vào menu IP > Firewall, chuyển sang tab NAT. Nhấn dấu + để thêm 1 rule mới.

Nhập các thông số cho NAT rule:

• Chain: chọn dstnat.
• Dst. Address: nhập IP WAN của các bạn.
• Protocol: các bạn chọn theo dịch vụ mình muốn NAT, với remote destop thì nó là TCP.
• Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
• Chuyển sang tab Action.
• Action: chọn dst-nat.
• To Addresses: sẽ là IP nội bộ của chúng ta, trong mô hình của mình là 192.168.1.254.
• To Ports: nhập port nội bộ là 3389.
• Nhấn Apply > OK.

Như vậy là xong.

Để kiểm tra xem các bạn đã mở thành công chưa, các bạn có thể vào web ping.eu. Chọn Port check. Các bạn kiểm tra trạng thái port open là chúng ta đã cấu hình thành công.

NAT Port với IP WAN là IP động

Trường hợp thứ 2 là các bạn sử dụng IP WAN là IP động. IP WAN động sẽ thay đổi liên tục, thường thì mỗi khi router khởi động, hoặc sau 1 khoảng thời gian nhất định, nên chúng ta sẽ không chỉ định được IP WAN trong phần Dst Address như với trường hợp IP Tĩnh. Do vậy chúng ta sẽ cần phải sử dụng tính năng Cloud trên Mikrotik. Nó chính là dịch vụ DDNS nhưng trên Mikrotik thì menu của nó tên là Cloud.

Tuy nhiên tính năng này chỉ có trên các phiên bản từ 6.14 trở lên, với các phiên bản thấp hơn thì các bạn upgrade lên nhé.

Các bạn vào menu IP > Cloud. Sau đó tích chọn DDNS Enable và tích vào Update time. Nhấn Apply.

Mikrotik sẽ cho chúng ta 1 tên miền tương ứng với IP WAN, IP WAN của các bạn sẽ tự động được update theo thời gian phía trên. Các bạn để khoảng 10 phút là ok. Nghĩa là cứ sau 10 phút router sẽ update IP wan 1 lần, các bạn có thể để giá trị thấp, đang test lên mình sẽ để 1 phút cho nhanh. Các bạn copy lại URL trong mục DNS Name.

Truy cập vào menu IP > Firewall, chuyển sang tab Address Lists. Nhấn dấu + để tạo mới.

Name các bạn đặt sao cũng được, mình sẽ đặt là DDNS. Phần Address dán URL mà các bạn vừa copy trong trong menu Cloud.

Mikrotik sẽ tạo thêm 1 address bên dưới là IP wan đã được phân giải, IP này sẽ tự động thay đổi khi Cloud cập nhật lại IP mới.

Vẫn trong menu Firewall, chuyển sang tab NAT, nhấn dấu + để tạo rule mới.

Nhập các thông tin NAT với IP động.

• Chain: chọn dstnat.
• Phần Dst Address các bạn sẽ không nhập.
• Protocol: chọn theo dịch vụ của các bạn, Remote desktop là TCP.
• Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
• Chuyển sang tab Advanced.
• Dst Address List: các bạn chọn address mà các bạn đã tạo với tên miền của Mikrotik.
• Chuyển sang tab Action.
• Action: là dst-nat.
• To Addresses: là IP nội bộ.
• To Ports: nhập port nội bộ vào.

Khi đó mỗi khi IP WAN thay đổi thì Mikrotik sẽ cập nhật lại và port sẽ tự động được NAT qua IP mới do chúng ta đang NAT qua tên miền DDNS của Mikrotik chứ ko phải IP cố định.

Khi IP WAN thay đổi, các bạn cần chờ 1 lúc để router cập nhật IP mới nhé. Nó sẽ mất 1 lúc. Khi nào cloud cập nhật xong thì nó sẽ tự đổi, lúc đó thì các bạn check port mới open. Khi IP WAN vừa thay đổi thì các bạn check dịch vụ sẽ là close.

Và khi các bạn truy cập dịch vụ từ xa, thì các bạn cũng truy cập theo tên miền này chứ không phải IP nhé.

Ok như vậy là mình đã hướng dẫn bạn NAT port trên router Mikrotik với cả 2 trường hợp IP WAN động và tĩnh. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.