Tutorial
Configuració NAT de MikroTik per a Accés a
Configura la Traducció d'Adreces de Xarxa en un encaminador MikroTik amb masquerade o src-nat, usant Winbox o el CLI, en cinc passos breus.
Resum La Traducció d’Adreces de Xarxa (NAT) és el que permet que una sala plena de dispositius comparteixi una sola IP pública. En els encaminadors MikroTik, la NAT es configura sota
IP → Firewall → NATamb dues opcions pràctiques:masqueradeper a enllaços WAN dinàmics isrc-natper a IPs públiques estàtiques. Aquesta guia recorre ambdues, més els camps de regla que causen problemes la primera vegada.
Com funciona NAT a MikroTik?
La NAT és la característica del firewall que reescriu les adreces IP dels paquets mentre passen pel encaminador, de manera que els dispositius d’una LAN privada poden compartir una sola IP pública per arribar a internet. A MikroTik, la NAT viu dins del firewall sota IP → Firewall → NAT, i l’encaminador aplica regles al tràfic en funció de la cadena (direcció), la interfície i una acció que diu com reescriure les adreces.
Una regla NAT correcta converteix “el dispositiu LAN vol internet” en “la WAN veu un packet únic de la IP pública de l’encaminador, i encamina la resposta de nou a través de la mateixa traducció.” Sense una regla NAT, la LAN envia paquets, però el proveïdor ascendent els descarta perquè les adreces RFC 1918 (192.168.x, 10.x, 172.16.x) no es pot encaminar a la internet pública.
Els camps de regles NAT que heu de conèixer
Tres camps fan o trenquen una regla NAT:
Chain és la direcció del tràfic. Useu srcnat per a traduccions de sortida (el cas LAN-a-internet que cobreix aquesta guia) i dstnat per a entrada (redirecció de ports).
Out. Interface és la interfície de sortida a la qual s’aplica la regla, típicament el vostre port WAN, l’que rep l’enllaç d’internet del proveïdor d’internet.
Action és el que la regla fa amb els paquets coincidents. Per a NAT de font, les dues opcions són masquerade i src-nat.
Masquerade vs. src-nat
Ambdues reescriuen la IP font dels paquets de sortida, però les gestionen de manera diferent:
| Camp | masquerade | src-nat |
|---|---|---|
| Enllaç d’internet | IP dinàmica | IP pública vàlida (estàtica) |
| Registre de mapatges NAT | No es manté | Es manté |
| IP font després de la traducció | La IP pública actual de l’encaminador | Una IP específica que definiu a To Address |
Masquerade és la tria correcta quan el vostre proveïdor d’internet vos dóna una IP diferent cada reboot (la majoria de plans domèstics i SMB). Reescriu els paquets a qualsevol adreça que la interfície WAN actualment té, i no manté l’estat a través de canvis d’IP, el que significa que sobreviu a un WAN flap graciosament.
Src-nat és la tria quan teniu una IP pública estàtica i voleu un control explícit. El camp To Address vos permet fixar la IP font després de la traducció, la qual importa per a la correlació de tràfic entrant, la comptabilitat del tràfic i casos límit com múltiples IPs WAN en una sola interfície.
Configureu NAT pas a pas a Winbox
Pas 1 — Obriu el menú NAT
Connecteu-vos al encaminador amb Winbox, després anau a IP → Firewall i canvieu a la pestanya NAT.
Pas 2 — Afegiu una nova regla
Feu clic al botó blau + per obrir el diàleg Nova Regla NAT.
Pas 3 — Definiu Chain i Out. Interface
A la pestanya General:
- Chain:
srcnat - Out. Interface: la interfície WAN (comunament
ether1en una configuració estàndard)
Canvieu a la pestanya Action per definir la traducció.
Pas 4a — IP dinàmica: useu masquerade
Si el vostre proveïdor d’internet assigna una IP dinàmica, definiu Action a masquerade i feu clic a OK. L’encaminador reescriurà l’adreça font sobre la marxa, independentment de la IP pública que actualment té.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Pas 4b — IP estàtica: useu src-nat
Si el vostre proveïdor d’internet proporciona una IP pública fixa:
- Definiu Action a
src-nat. - A To Address, entreu la IP estàtica assignada a la interfície WAN.
- Feu clic a OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Pas 5 — Verifiqueu
Els dispositius LAN ara haurien de poder arribar a internet. Des d’un client, navegau a qualsevol web externa o executeu ping 8.8.8.8. Si falla, els sospitosos habituals són la interfície incorrecta a Out. Interface, una ruta per defecte que falta, o DNS que no està configurat per separat, solucioneu-ho seguint la nostra guia de configuració de DNS sobre HTTPS o la llista de verificació de accés a 192.168.88.1.
Consells
- Coloqueu les regles NAT després de qualsevol regles de caiguda específiques del firewall, de manera que les decisions de política es prenguin en adreces sense traduir.
- Si canvieu de masquerade a src-nat, esborreu les entrades de seguiment de connexió existents amb
/ip/firewall/connection remove [find], les entrades obsoletes poden amagar la nova traducció. - Per a entorns CGNAT, masquerade al MikroTik continua funcionant bé, la CGNAT del proveïdor d’internet només afegeix una segona capa de traducció al vostre darrere.
Escaleu la política NAT a tots els llocs
Una sola regla NAT és trivial. Gestionar NAT, redirecció de ports i mapatges src-nat en cent encaminadors MikroTik, cadascun amb la seva pròpia configuració WAN, la seva pròpia assignació IP estàtica, les seves pròpies excepcions específiques del client, és on els operadors perden hores cada setmana.
MKController empeny el mateix conjunt de regles NAT i firewall a cada dispositiu del vostre inventari i rastreja deviacions per encaminador de manera que veieu exactament quins llocs es van desplaçar de la plantilla. Quan una assignació IP ascendent canvia o una regressió d’ordre de regles trenca la connectivitat, el panell d’informació marca els llocs afectats abans que els clients ho facin.