Skip to content
MKController Blog
InstagramYouTubeFacebook

Tutorial

MikroTik NAT за Достъп

Конфигуриране на NAT на MikroTik чрез masquerade или src-nat в пет стъпки, използвайки Winbox или CLI.

MKController5 min read

Резюме Network Address Translation (NAT) е функцията, която позволява на множество устройства да споделят един публичен IP адрес. На MikroTik маршрутизаторите NAT се конфигурира под IP → Firewall → NAT с два практични варианта: masquerade за динамични WAN връзки и src-nat за статични публични IP адреси. Това ръководство описва и двата варианта, както и полетата на правилото, които създават проблеми първи път.

Диаграма на архитектурата на MikroTik NAT правило

Как работи NAT на MikroTik?

NAT е функцията на firewall, която преписва IP адреси на пакетите, докато преминават през маршрутизатора, така че устройствата в частна LAN могат да споделят един публичен IP, за да достъпят интернет. На MikroTik, NAT се съдържа във firewall под IP → Firewall → NAT, и маршрутизаторът прилага правила на трафика въз основа на chain (посока), интерфейс и действие, което определя как да се преписват адресите.

Правилното NAT правило превърта “LAN устройството иска интернет” в “WAN вижда един пакет от публичния IP на маршрутизатора и маршрутизира отговора назад чрез същата трансформация.” Без NAT правило, LAN изпраща пакетите, но upstream провайдерът ги отхвърля, защото RFC 1918 адреси (192.168.x, 10.x, 172.16.x) не могат да бъдат маршрутизирани на публичния интернет.

NAT полета, които трябва да знаете

Три полета определят успеха на NAT правилото:

Chain е посоката на трафика. Използвайте srcnat за изходящи трансформации (случаят LAN-към-интернет, който описва това ръководство) и dstnat за входящи (port forwarding).

Out. Interface е изходящия интерфейс, към който се прилага правилото — обикновено вашия WAN порт, този, който получава интернет връзката от ISP.

Action е това, което правилото прави с съвпадащите пакети. За source NAT, двата варианта са masquerade и src-nat.

Masquerade срещу src-nat

И двата преписват IP адреса на източника на изходящите пакети, но го справят по различни начини:

Полеmasqueradesrc-nat
Интернет връзкаДинамичен IPВалиден (статичен) публичен IP
NAT mapping записНе се поддържаПоддържа се
IP адрес на източника след трансформацияТекущия публичен IP на маршрутизатораСпецифичен IP, който определяте в To Address

Masquerade е правилният избор, когато вашия ISP ви дава различен IP адрес при всеки рестарт (повечето домашни и SMB планове). Той преписва пакетите в адреса, който WAN интерфейсът в момента задържа, и не поддържа състояние при промени на IP адреса, което означава, че издържа WAN flap елегантно.

Src-nat е изборът, когато имате статичен публичен IP адрес и искате експлицитен контрол. Полето To Address ви позволява да закрепите IP адреса на източника след трансформация, което е важно за корелирането на входящ трафик, счетоводството на трафика и граничните случаи като няколко WAN IP адреса на един интерфейс.

Конфигуриране на NAT стъпка по стъпка в Winbox

Стъпка 1 — Отворете NAT меню

Свържете се с маршрутизатора с Winbox, след това отидете на IP → Firewall и преминете към вкладката NAT.

MikroTik Winbox IP Firewall NAT вкладка

Стъпка 2 — Добавете ново правило

Щракнете върху синия + бутон, за да отворите диалога на ново NAT правило.

MikroTik Winbox + бутон за добавяне на ново NAT правило

Стъпка 3 — Задайте Chain и Out. Interface

На вкладката General:

  • Chain: srcnat
  • Out. Interface: WAN интерфейсът (обикновено ether1 в стандартна конфигурация)

Преминете към вкладката Action, за да определите трансформацията.

MikroTik NAT правило General вкладка с избран srcnat и ether1

Стъпка 4a — Динамичен IP: използвайте masquerade

Ако вашия ISP задава динамичен IP адрес, задайте Action на masquerade и щракнете OK. Маршрутизаторът ще преписва адреса на източника “на лету”, независимо какъв публичен IP той в момента задържа.

/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
MikroTik NAT правило с избрано action masquerade

Стъпка 4b — Статичен IP: използвайте src-nat

Ако вашия ISP предоставя фиксиран публичен IP адрес:

  1. Задайте Action на src-nat.
  2. В To Address, въведете статичния IP адрес, задоволен на WAN интерфейса.
  3. Щракнете OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
MikroTik NAT правило с action src-nat и попълнено To Address

Стъпка 5 — Проверка

LAN устройствата сега трябва да достъпят интернет. От клиент, отворете всеки външни сайт или изпълнете ping 8.8.8.8. Ако не успее, обичайните причини са грешен интерфейс в Out. Interface, липсващ default route или DNS, който не е конфигуриран отделно — отправете тези проблеми, като следвате нашия DNS over HTTPS setup guide или 192.168.88.1 access troubleshooting контролен списък.

Съвети

  • Поставяйте NAT правила след всякакви конкретни drop правила във firewall, така че решенията на политиката да се случат върху непреписани адреси.
  • Ако преминете от masquerade към src-nat, изчистете съществуващите записи за отследяване на връзки с /ip/firewall/connection remove [find] — остарели записи могат да скрият новата трансформация.
  • За CGNAT среди, masquerade на MikroTik работи добре — ISP CGNAT просто добавя втори слой трансформация зад вашия.

Мащабирайте NAT политика в целия сайт

Едно NAT правило е тривиално. Управляването на NAT, port forwards и src-nat mappings на сто MikroTik маршрутизатора — всеки със своя WAN настройка, своя статична IP разпределение, своите преключватели-специфични изключения — е където операторите губят часове всяка седмица.

MKController тласка един и същ NAT и firewall ruleset на всяко устройство в вашия инвентар и проследява отклоненията на всеки маршрутизатор, така че видите точно кои сайтове се отклониха от шаблона. Когато upstream IP разпределението се промени или регресия от ред на правилата прекъсне свързаността, табло флага засегнатите сайтове, преди клиентите да го направят.

Стартирайте вашия безплатен MKController пробен период