Deel dit onderwerp alstublieft!

mikrotik destination nat configuratie

Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft

mikrotik destination nat.
Met destination-NAT kunnen vervolgens netwerk verbindingen worden gemaakt voor binnenkomende aanvragen.


Anders gezegd kunnen dus verbindingen worden gemaakt vanaf het internet naar je privé netwerk toe, ook wel je LAN of je intern netwerk genaamd.


Dit heb je nodig als je bijvoorbeeld je server die verbonden is met je intern netwerk vanaf  het internet bereikbaar wilt maken.
Deze manier van NAT noemt men hairpin-NAT

Dus je kan zodoende ook op je Mikrotik destination nat instellingen configureren. 
Maar bij mikrotik destination nat configureren verloopt niet zoals de standaard routers.

Daarom deze mikrotik destination nat tutorial om het duidelijker te maken.

Hou er rekening mee dat je één of meerdere IP-adressen of poorten open zet en zodoende toestellen bereikbaar maakt vanaf het internet.

Destination-NAT wordt vaak gebruikt om de volgende acties uit te voeren

IP-adres forwarding
Omzetten van één IP-adres naar een ander IP-adres.

 Bijvoorbeeld om een computer op internet verbinding te laten maken met een host op een particulier netwerk.

port forwarding
Dit om vervolgens toegang te verlenen aan meerdere services met hetzelfde IP-adres maar met verschillende poorten.
Dit is wat er meestal bij particuliere routers gebeurd.

Hier zie je een voorbeeld van een port forwarding voor een IP-camera

IP-adres forwarding voor meerdere servers
Het omzetten van meerdere IP-adressen naar andere IP-adressen met hetzelfde aantal IP's. 

 Om zodoende toegang tot een groep servers mogelijk te maken.

port en IP forwarding
Het omzetten van een IP-adres en poort van een bestemming naar een ander IP-adres en andere poort.
Port/address forwarding wordt ook weleens port/address mapping genaamd.

Simpele port forwarding naar FTP-server

Ter illustratie nemen we een FTP-server die heeft binnen je netwerk poort 21.
Maar van buitenaf je netwerk is de FTP-server bereikbaar op poort 2024

Je hebt vervolgens een vast IP-adres van je internet provider. 
Als u vervolgens aanvragen van buitenaf je netwerk van een bepaalde poort naar een interne poort naar een FTP-server wil uitvoeren doe je dit als volgt.

Je externe IP-adres kan je hier vinden.
Je gaat door middel van één NAT-rule een poort doorsturen naar een andere poort.

mikrotik destination nat
  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
mikrotik destination nat
  1. Klik vervolgens op het tabblad "nat".
  2. Bij "Chain" selecteer je "dstnat".
    alle aanvragen op de poort 2021 zal doorgestuurt worden naar de FTP-server met IP-adres 192.168.1.2 en poort 21.
  3. Als protocol selecteer "6(tcp).
  4. Bij "Dst.Port" schrijf 2021 of een poort naar wens.
  5. Klik verder door naar "Action".
mikrotik destination nat
  1. Bij "Action" selecteer"dstnat".
  2. "To Address" vul het IP-adres in van je FTP-server.
  3. "To Ports" vul de poort 21 in.
  4. Klik op "ok" om af te sluiten.

Port forwarding van extern static IP-adres naar Web-server

  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
  1. Klik op het tabblad "NAT".
  2. Vervolgens klik je op het blauwe kruisje om een nieuwe NAT rule aan te maken.
  1. Bij "Chain" selecteer je "dstnat".
  2. Vervolgens vul je het externe IP-address in van je extern netwerk.
  3. Als protocol selecteer "6(tcp).
  4. Bij "Dst.Port" schrijf 8080 of een poort naar wens.
  5. Als "In.Interface" selecteer de WAN interface "ether1-wan
  6. Klik verder door naar "Action".
  1. Bij "Action" selecteer"dstnat".
  2. "To Address" vul het IP-adres in van je FTP-server in.
  3. "To Ports" vul de poort 80 in.
  4. Klik op "ok" om af te sluiten.

Alle aanvragen van computers buiten je netwerk naar het externe IP-adres van je netwerk 195.10.55.100 met als poort 8080.

Zal omgeleid worden naar je interne IP-adres 192.168.88.254 van je webserver en naar poort 80.

Je externe IP-adres kan je vinden door middel van deze tool.

Maak dat je router bereikbaar is vanaf je extern netwerk met Winbox door middel van port forwarding

Ten eerste wil ik dit eerst even toelichten want dit is niet zonder gevaar indien je niet op de hoogte bent.

Kwaadwillige hackers scannen dagelijks het internet af naar Mikrotik routers.
En dit met honderden tegelijkertijd.
 
Vergewis je als je vervolgens je  Mikrotik router bereikbaar wil maken vanaf het internet dat je zodoende je MAC, Telnet-server en Winbox uitschakelt op MAC niveau.
Hoe je dit moet doen zie je in deze tutorial.

Ten tweede gebruik nooit maar ook NOOIT de originele Winbox poort 8291 voor extern in te loggen met Winbox.

Hackers die scannen naar poort 8291 om Mikrotik routers te vinden hebben het te gemakkelijk.
Eens ze een Mikrotik router gevonden openen een lijst met brute force paswoorden en proberen deze vervolgens uit om in je router te geraken.

Brute force attack voorbeeld in de logfile

  1. In de logfile zie je dat er inbraak pogingen zijn op mijn router.
    Je kan zelfs achterhalen van welke ISP en land de aanval wordt uitgevoerd.
    Doch dit kan maar schijn zijn daar er gebruik kan worden gemaakt van een VPN.
    Door middel van VPN kan het lijken dat het van een bepaald land afkomstig is terwijl de locatie van de aanvaller wordt gemaskeerd.
  1. Je kan zelfs achterhalen van welke ISP en land de aanval wordt uitgevoerd.
    Doch dit kan maar schijn zijn daar er gebruik kan worden gemaakt van een VPN.
    Door middel van VPN kan het lijken dat het van een bepaald land afkomstig is terwijl de echte locatie van de aanvaller wordt gemaskeerd.

Met behulp van de nat forwarding techniek pas je hier eveneens een port redirection toe.
Er bestaat nog een eenvoudiger manier om de Winbox poort te veranderen maar ter illustratie houd ik dit bij port forwarding.

  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
  1. Klik op het tabblad "NAT".
  2. Vervolgens klik je op het blauwe kruisje om een nieuwe NAT rule aan te maken.
  1. Bij "Chain" selecteer je "dstnat".
  2. Vervolgens vul je het externe IP-address in van je extern netwerk.
  3. Als protocol selecteer "6(tcp).
  4. Bij "Dst.Port" schrijf 28291 of een poort naar wens.
  5. Als "In.Interface" selecteer de WAN interface "ether1-wan
  6. Klik verder door naar "Action".
  1. Bij "Action" selecteer"dstnat".
  2. "To Address" vul het IP-adres in van je Mikrotik router in.
  3. "To Ports" vul de poort 8291 in.
  4. Klik op "ok" om af te sluiten.

Port forwarding voor IP-camera streaming

Bij IP-camera port forwarding moet je vervolgens weten dat je twee poorten moet forwarden.
De poort in dit voorbeeld port 82 voor het management en het openen van de web interface.


En vervolgens de RTSP poort dat de streaming van de beelden verzorgt.
De default RTSP poort is port 554.

Dit is de sleutel van het succesvol configureren van de IP-camera port forwarding.
Een voorbeeld met een Hikvision IP-camera.

  1. Geef je gebruikersnaam in.
  2. Aangenomen dat je een paswoord hebt ingesteld geef het paswoord in.
  3. Klik vervolgens op "inloggen".
  1. Hier zie je de standaard instellingen voor de HTTP-poort 80
  2. De RTSP-poort is zoals al uitgelegd port 554.
  3. De HTTPS-port is normaal gezien port 443, maar als voorbeeld stel ik deze in als port 1082.

Ter verduidelijking het HTTPS-protocol versleuteld de verbinding en is veiliger om te surfen op het internet.

RTSP staat voor Real Time Streaming Protocol.
Deze zorgt ervoor om zodoende  beelden te streamen naar mensen die bevoegd zijn om de camera beelden te bekijken.

Een RTSP stream bestaat uit een URL met data informatie.

Ik ga vervolgens over tot het tonen van de IP-camera port forwarding. 

  1. Klik in het hoofdvenster op "IP".
  2. Vervolgens op "firewall".
  1. Klik op het tabblad "NAT".
  2. Vervolgens klik je op het blauwe kruisje om een nieuwe NAT rule aan te maken.
  1. Bij "Chain" selecteer je "dstnat".
  2. Vervolgens vul je het externe IP-address in van je extern netwerk.
    Hier als voorbeeld 195.10.55.100.
  3. Als protocol selecteer "6(tcp)".
  4. Bij "Dst.Port" vul 81 in of een poort naar wens.
  5. Klik verder door naar "Action".
  1. Bij "Action" selecteer"dstnat".
  2. "To Address" vul het IP-adres in van je Camera in.
  3. "To Ports" vul de poort 80 in.
  4. Klik op "comment".
  1. Vul in het venster bijvoorbeeld "cam1 http in.
  2. Klik vervolgens op "ok" om het comment venster af te sluiten.
  3. Klik op "ok" om af te sluiten.
  1. De eerste port forwarding voor de camera is aangemaakt.
  2. Vervolgens om de tweede port forwarding uit te voeren klik op het blauwe kruisje.
  1. Bij "Chain" selecteer je "dstnat".
  2. Vervolgens vul je het externe IP-address in van je extern netwerk.
    Hier als voorbeeld 195.10.55.100.
  3. Als protocol selecteer "6(tcp)".
  4. Bij "Dst.Port" vul 581 in of een poort naar wens.
  5. Klik verder door naar "Action".
  1. Bij "Action" selecteer"dstnat".
  2. "To Address" vul terug het IP-adres in van je Camera in.
  3. "To Ports" vul de poort 554 in.
  4. Klik op "comment".
  1. Vul in het venster bijvoorbeeld "cam1 RSTP in.
  2. Klik vervolgens op "ok" om het comment venster af te sluiten.
  3. Klik op "ok" om af te sluiten.
  1. Dit is wat betreft de correcte port forwarding van een IP-camera.
    Je kan vervolgens in de camera de poorten veranderen.
    Zo kan je meerdere camera's forwarden.
    Indien je nu op internet wil inloggen doe je dit als volgt.
    http://195.10.55.100:81

OPGELET!
Je hebt de mogelijkheid om je camera beelden te streamen naar het internet toe.
Dit om zodoende de camera beelden live vanop het internet te bekijken.

Voor jezelf is dat wel gunstig in bepaalde gevallen, maar denk eraan je camera goed te beveiligen door middel van een stevig paswoord in te voegen.
Onderaan deze opmerking kan je klikken om vervolgens een reportage te zien over mensen die camera's hebben geplaatst en constant in de gaten worden gehouden.
En dit zonder dat ze het weten.
De reden? het configureren van de camera's zonder de default instellingen te weizigen!
  


Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft