Настройка проброса портов на MikroTik

Введение

Статья содержит пошаговое руководство по настройке проброса портов на устройствах MikroTik. Информация актуальна для RouterOS 7.22 Stable, последняя проверка актуальности была в марте 2026 г.

В рамках статьи будут разобраны следующие темы:

• что такое проброс портов на MikroTik и где он настраивается в RouterOS (dst-nat в цепочке dstnat);
• условия, которые должны быть выполнены для корректной работы проброса портов;
• пример настройки проброса портов через GUI WinBox 3 и WinBox 4;
• пример настройки проброса портов через CLI.

Описанные в статье настройки основываются на приведенной далее схеме сети:

• ether1-WAN1 – внешний интерфейс, подключенный к Интернету;
• bridge-LAN – внутренний интерфейс, подключенный к локальной сети в которой находится сервер NGINX;
• NGINX#1– сервер, находящийся в локальной сети, доступный по IP-адресу 192.168.100.11 и использующийся как веб-сервер, доступный по TCP-порту 443;
• NGINX#2– сервер, находящийся в локальной сети, доступный по IP-адресу 192.168.100.12 и использующийся как веб-сервер, доступный по TCP-порту 443.

В статье будет выполнена настройка проброса портов к каждому из веб-серверов так, чтобы продемонстрировать две разные возможные ситуации:

• Настройка проброса портов, когда входящий и исходящий порты совпадают: пакеты входящие на TCP-порт 443 будут пробрасываться на IP-адрес 192.168.100.11 и TCP-порт 443 сервера NGINX#1;
• Настройка проброса портов, когда входящий и исходящий порты не совпадают: пакеты входящие на TCP-порт 444 будут пробрасываться на IP-адрес 192.168.100.12 и TCP-порт 443 сервера NGINX#2.

Секреты настройки MikroTik

Более 18.000 подписчиков самого большого telegram-канала «MikroTik-сэнсэй» первыми узнают секреты настройки MikroTik от автора этой вики.

В марте и апреле 2026 г. будут разбираться: Wi-Fi, QoS, VLAN и файрвол.

Подписаться на «MikroTik‑сэнсэй»

Общая информация про пробросы портов

Проброс портов (перенаправление портов) – это настройка, при которой входящие подключения из Интернета к внешнему IP‑адресу и определенному TCP- или UDP-порту маршрутизатора MikroTik перенаправляются на заданные IP‑адрес и TCP- или UDP-порту устройства в локальной сети.

До настройки проброса портов, необходимо убедиться, что выполняются перечисленные далее условия:

• Маршрутизатор доступен из Интернета по публичному (маршрутизируемому) IPv4‑адресу. Если на внешнем интерфейсе используется адрес из приватных диапазонов (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) или из диапазона CGNAT (100.64.0.0/10), входящие подключения из Интернета до вашего MikroTik не будут доходить дополнительной настройки со стороны интернет-провайдера.
• Определен внешний интерфейс (WAN), через который приходят входящие подключения. В используемом в статье примере WAN‑интерфейс называется ether1-WAN1.Если для выхода в Интернет используется логический интерфейс (PPPoE, L2TP, VLAN и др.), то в правилах проброса портов необходимо указывать именно этот логический интерфейс, а не физический интерфейс на который приходят пакеты.
• Устройство до которого будет настраиваться проброс портов имеет постоянный IP‑адрес. IP-адрес может быть как статическим, так и динамическим. Если он является динамическим, то для него следует сделать статическую привязку по MAC-адресу.
• На устройстве до которого будет выполняться проброс портов запущена соответствующая служба и открыты соответствующие порты. До настройки проброса портов следует убедиться, что соответствующая служба и соответствующие порты доступны из локальной сети.
• На устройстве до которого будет выполняться проброс портов прописан корректный шлюз по умолчанию. Если шлюз будет задан неверно, то ответы на входящие подключения не будут корректно маршрутизироваться и это будет выглядеть так как-будто проброс портов не работает.
• Файрвол MikroTik разрешает обработку пакетов, относящихся к пробросу портов. Проброс портов выполняется правилами NAT, однако дальше пакеты проходят фильтрацию в IP → Firewall → Filter. Если настроена политика «запрещено все из WAN», то проброс портов работать не будет. Если файрвол настроен по статье Настройка MikroTik с нуля, пробросы портов будут работать, так как там отбрасывается входящий трафик из Интернета только если он не относится к dstnat (то есть соединения, попавшие под dst-nat, не блокируются).

Следует учитывать, что проброс портов:

• рассчитан на использование с протоколом IPv4. В IPv6 NAT обычно не используется, а доступ к сервисам настраивается с помощью файрвола;
• рассчитан на использование с протоколами TCP, UDP и ICMP. Для любых других протоколов он работать не будет;
• не будет работать, если устройство с которого начато соединение и устройство до которого настроен проброс портов находятся в одной сети. Для таких ситуаций необходимо настраивать Hairpin NAT.

На устройствах MikroTik:

• для каждого проброса портов необходимо создать отдельное правило в цепочке dstnat с действием dst-nat;
• порядок правил в NAT играет роль:
• обработка правил NAT выполняется отдельно для каждой цепочки сверху вниз. При конфликте правил сработает то правило, которое расположено выше и поэтому более специфичные правила (с указанием протокола и порта) размещают выше более общих.

Параметры, которые необходимо настроить для проброса портов на MikroTik

Настройка через графический интерфейс

С помощью WinBox 3

С помощью WinBox 4

Настройка через командную строку

Ниже приведен пример настройки NAT через командную строку RouterOS. Он включает правило src-nat, которое было изначально в исходном списке правил.

/ip/firewall/nat/
add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100
add action=dst-nat chain=dstnat comment="HTTPS: Nginx #1" dst-port=443 \
     in-interface=ether1-WAN1 protocol=tcp to-addresses=192.168.100.11 to-ports=443
add action=dst-nat chain=dstnat comment="HTTPS: Nginx #2" dst-port=444 \
     in-interface=ether1-WAN1 protocol=tcp to-addresses=192.168.100.12 to-ports=443