Acceder a los equipos de nuestra casa desde Internet es posible. Tradicionalmente a esto se le llama "abrir puertos en el router" y significa poner a disposición de "cualquiera" en Internet un/unos puerto/s y una/varias direcciones IPs de la red interna LAN. La red LAN no está accesible nunca a equipos externos, como por ejemplo los equipos que hay en Internet. En caso necesario, la configuración debe ser realizada para permitir dicho acceso.
Seguid leyendo y os enseñaré a abrir los puertos en un Mikrotik para poder acceder a vuestros equipos de la LAN desde Internet...
¿QUÉ SIGNIFICA ABRIR PUERTOS?
Acceder desde Internet a un equipo de una red LAN no es posible ya que el router no permite dichas conexiones. Si queremos -por ejemplo- instalar un servidor Web, FTP, NAS etc ... en un equipo dentro de una red LAN, hay que abrir los puertos en el router y redirigir las conexiones a la IP y al puerto que queramos. En resumen, esa configuración es la que coloquialmente se llama "abrir puertos en el router".
Acceder a equipos de la LAN desde la WAN si es posible
1.- ELEMENTOS NECESARIOS PARA ESTE TUTORIAL
- MikroTik o equipo con RouterOS conectado a Internet
- Un PC en internet accesible
- Un PC en local al que redirigir las peticiones
- No tener CGNAT con el ISP
2.- ESQUEMA DE RED
Como he utilizado VmWare para virtualizar el MikroTik, la red WAN mia es 192.168.1.0/x en lugar de una IP pública de internet tipo 80.200.30.1 como es lo habitual. La configuración no cambia. El esquema de red utilizado en este ejemplo es el siguiente:
Esquemas de red
3.- ABRIR PUERTO EN EL MIKROTIK
El puerto que vamos a abrir en el MikroTik será el 9000tcp, y las peticiones que le lleguen desde la WAN (internet) serán redirigidas al equipo 10.10.10.3 pero al puerto 80tcp (Servidor Web Apache). En la siguiente imagen se ven las IPs que tiene el MikroTik en sus dos interfaces:
IPs interfaces de red
Para realizar la configuración del puerto 9000tcp, deberemos navegar por el menú principal de Winbox desde "IP->Firewall:
Menú firewall
Crearemos la nueva regla de NAT desde la pestaña "NAT" y luego en +:
Pestaña NAT
En la pestaña General, configuramos los datos que vemos en verde. Podremos cambiar el "Dst.Port" por el puerto que queramos utilizar y la interfaz (WAN) de Internet:
Pestaña General
Ahora en la pestaña "Action", rellenaremos los datos en verde y configuraremos la IP del equipo interno de la LAN al que queremos redirigir las peticiones (10.10.10.3) y el puerto 80. Una vez hecho los cambios pulsaremos "OK":
Pestaña Action
En la pestaña NAT se ve la nueva regla de "apertura" y redirección de peticiones creada correctamente:
Reglas NAT en el Firewall
Para añadir la regla desde consola, ejecutaremos lo siguiente:
[admin@MikroTik] > /ip firewall nat add chain=dstnat protocol=tcp dst-port=9000 in-interface=WAN action=dst-nat to-addresses=10.10.10.3 to-ports=80
4.- PROBAR EL PUERTO ABIERTO
Si probamos a conectar desde un equipo remoto de la WAN a la IP del MikroTik y al puerto 9000, las peticiones fallarán si la regla de activada y redirección está deshabilitada o no está creada correctamente:
Peticiones fallidas
Si activamos la regla del firewall, y volvemos a probar desde el equipo remoto, la conexión funcionará y podremos ver desde Internet la Web alojada en el interior de la LAN:
Web de LAN desde Internet
ENJOY!