تخطَّ إلى المحتوى
MKController Blog
InstagramYouTubeFacebook

Tutorial

إعداد NAT على MikroTik للوصول للإنترنت

قم بتكوين Network Address Translation على جهاز توجيه MikroTik باستخدام masquerade أو src-nat، عبر Winbox أو CLI، في خمس خطوات.

MKController5 min read

الملخص ترجمة الشبكة (NAT) هي ما يسمح لمجموعة من الأجهزة بمشاركة عنوان IP عام واحد. على جهاز توجيه MikroTik، يتم تكوين NAT تحت IP → Firewall → NAT مع خيارين عمليين: masquerade للروابط WAN الديناميكية وsrc-nat لعناوين IP العامة الثابتة. يوضح هذا الدليل كلا الخيارين، بالإضافة إلى حقول القاعدة التي تسبب التباسًا للمستخدمين الجدد.

رسم تخطيطي لبنية قاعدة NAT على MikroTik

كيف يعمل NAT على MikroTik؟

NAT هي ميزة جدار الحماية التي تعيد كتابة عناوين IP على الحزم وهي تمر عبر جهاز التوجيه، بحيث يمكن لأجهزة شبكة LAN الخاصة مشاركة عنوان IP عام واحد للوصول إلى الإنترنت. على MikroTik، يقع NAT داخل جدار الحماية تحت IP → Firewall → NAT، ويطبق جهاز التوجيه القواعد على حركة المرور بناءً على السلسلة (الاتجاه) والواجهة وإجراء يحدد كيفية إعادة كتابة العناوين.

قاعدة NAT الصحيحة تحول “جهاز LAN يريد الإنترنت” إلى “يرى WAN حزمة واحدة من عنوان IP العام لجهاز التوجيه، ويوجه الرد مرة أخرى عبر نفس الترجمة.” بدون قاعدة NAT، ترسل شبكة LAN الحزم، لكن مزود الخدمة الإنترنت يسقطها لأن عناوين RFC 1918 (192.168.x، 10.x، 172.16.x) غير قابلة للتوجيه على الإنترنت العام.

حقول قاعدة NAT التي تحتاج إلى معرفتها

ثلاثة حقول تحدد نجاح أو فشل قاعدة NAT:

Chain هو اتجاه حركة المرور. استخدم srcnat للترجمات الصادرة (حالة LAN-to-internet التي يغطيها هذا الدليل) وdstnat للترجمات الواردة (إعادة التوجيه).

Out. Interface هي الواجهة الصادرة التي تنطبق عليها القاعدة - عادة ما تكون منفذ WAN الخاص بك، الذي يتلقى رابط الإنترنت من مزود الخدمة.

Action هو ما تفعله القاعدة بالحزم المطابقة. بالنسبة لترجمة المصدر، الخياران هما masquerade وsrc-nat.

Masquerade مقابل src-nat

كلاهما يعيد كتابة عنوان IP للمصدر على الحزم الصادرة، لكنهما يتعاملان معه بشكل مختلف:

الحقلmasqueradesrc-nat
رابط الإنترنتعنوان IP ديناميكيعنوان IP عام صحيح (ثابت)
سجل تعيينات NATغير محتفظ بهمحتفظ به
عنوان IP للمصدر بعد الترجمةعنوان IP العام الحالي لجهاز التوجيهعنوان IP محدد تحدده في To Address

Masquerade هو الخيار الصحيح عندما يعطيك مزود الخدمة الإنترنت عنوان IP مختلفًا عند كل إعادة تشغيل (معظم الخطط المنزلية والشركات الصغيرة والمتوسطة). يعيد كتابة الحزم إلى أي عنوان تحتفظ به الواجهة WAN حاليًا، ولا يحتفظ بالحالة عبر تغييرات IP، مما يعني أنه ينجو من انقطاع WAN بأناقة.

Src-nat هو الخيار عندما يكون لديك عنوان IP عام ثابت وتريد تحكمًا صريحًا. يسمح لك حقل To Address بتثبيت عنوان IP المصدر بعد الترجمة، وهذا مهم لارتباط حركة المرور الواردة وحسابات حركة المرور والحالات الحدية مثل عناوين IP متعددة على واجهة واحدة.

قم بتكوين NAT خطوة بخطوة في Winbox

الخطوة 1 - فتح قائمة NAT

اتصل بجهاز التوجيه باستخدام Winbox، ثم انتقل إلى IP → Firewall وانتقل إلى علامة التبويب NAT.

علامة تبويب IP Firewall NAT على MikroTik Winbox

الخطوة 2 - إضافة قاعدة جديدة

انقر على زر + الأزرق لفتح مربع حوار New NAT Rule.

زر + على MikroTik Winbox لإضافة قاعدة NAT جديدة

الخطوة 3 - تعيين Chain و Out. Interface

على علامة التبويب General:

  • Chain: srcnat
  • Out. Interface: واجهة WAN (عادة ether1 في التكوين الافتراضي)

انتقل إلى علامة التبويب Action لتحديد الترجمة.

علامة التبويب General في قاعدة NAT على MikroTik مع تحديد srcnat و ether1

الخطوة 4أ - عنوان IP ديناميكي: استخدم masquerade

إذا كان مزود الخدمة الإنترنت الخاص بك يخصص عنوان IP ديناميكي، اضبط Action على masquerade وانقر على OK. سيعيد جهاز التوجيه كتابة عنوان المصدر على الفور، بغض النظر عن عنوان IP العام الذي يحتفظ به حاليًا.

/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
قاعدة NAT على MikroTik مع تحديد action masquerade

الخطوة 4ب - عنوان IP ثابت: استخدم src-nat

إذا كان مزود الخدمة الإنترنت يوفر عنوان IP عام ثابت:

  1. اضبط Action على src-nat.
  2. في To Address، أدخل عنوان IP الثابت المعين لواجهة WAN.
  3. انقر على OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
قاعدة NAT على MikroTik مع action src-nat و To Address المملوء

الخطوة 5 - التحقق

يجب أن تكون أجهزة LAN قادرة الآن على الوصول إلى الإنترنت. من عميل، تصفح أي موقع خارجي أو قم بتشغيل ping 8.8.8.8. إذا فشل، المشبوهون المعتادون هم الواجهة الخاطئة في Out. Interface، أو طريق افتراضي مفقود، أو عدم تكوين DNS بشكل منفصل - أصلح هذه بعد اتباع دليل إعداد DNS over HTTPS أو قائمة تحقق استكشاف أخطاء الوصول 192.168.88.1.

نصائح

  • ضع قواعد NAT بعد أي قواعد drop محددة في جدار الحماية، بحيث تحدث قرارات السياسة على عناوين غير مترجمة.
  • إذا غيرت من masquerade إلى src-nat، امسح إدخالات تتبع الاتصال الموجودة باستخدام /ip/firewall/connection remove [find] - قد تخفي الإدخالات القديمة الترجمة الجديدة.
  • بالنسبة لبيئات CGNAT، فإن masquerade على MikroTik يعمل بشكل جيد أيضًا - CGNAT الخاص بمزود الخدمة يضيف فقط طبقة ترجمة ثانية خلفك.

وسع سياسة NAT عبر كل موقع

قاعدة NAT واحدة تافهة. إدارة NAT وإعادة التوجيه وتعيينات src-nat عبر مئات أجهزة توجيه MikroTik - لكل منها إعداد WAN الخاص به وتخصيصه الخاص بتخصيص عناوين IP الثابتة والاستثناءات الخاصة بالعملاء - هي حيث يفقد المشغلون ساعات كل أسبوع.

يدفع MKController نفس قاعدة NAT وجدار الحماية إلى كل جهاز في جردك ويتتبع الانحرافات لكل جهاز توجيه حتى ترى بالضبط أي مواقع انجرفت عن القالب. عندما تتغير تخصيصات عنوان IP الأعلى مستوى أو انحدار ترتيب القاعدة يكسر الاتصال، تعلم لوحة المعلومات المواقع المتأثرة قبل العملاء.

ابدأ بتجربة MKController المجانية