Tutorial
MikroTik NAT-opsætning til internetadgang
Konfigurer Network Address Translation på en MikroTik-router med masquerade eller src-nat ved hjælp af Winbox eller CLI på fem nemme trin.
Sammenfatning Network Address Translation (NAT) er det, der gør det muligt for et værelsesfult enheder at dele en enkelt offentlig IP. På MikroTik-routere konfigureres NAT under
IP → Firewall → NATmed to praktiske muligheder:masqueradetil dynamiske WAN-links ogsrc-nattil statiske offentlige IP’er. Denne guide gennemgår begge samt regelfelterne, der forvirrer folk første gang.
Hvordan fungerer NAT på MikroTik?
NAT er firewall-funktionen, der omskriver IP-adresser på pakker, når de passerer gennem routeren, så enheder på et privat LAN kan dele en offentlig IP for at nå internettet. På MikroTik befinder NAT sig i firewallen under IP → Firewall → NAT, og routeren anvender regler på trafik baseret på chain (retning), interface og en handling, der siger, hvordan adresserne skal omskrives.
En korrekt NAT-regel omdanner “LAN-enhed vil til internettet” til “WAN ser en enkelt pakke fra routerens offentlige IP, og sender svaret tilbage gennem den samme oversættelse.” Uden en NAT-regel sender LAN pakkerne ud, men upstream-provideren kasserer dem, fordi RFC 1918-adresser (192.168.x, 10.x, 172.16.x) ikke kan dirigeres på det offentlige internet.
NAT-regelfelter, du skal kende
Tre felter afgør en NAT-regel:
Chain er trafikretningen. Brug srcnat til udgående oversættelser (LAN-til-internet-sagen, som denne guide dækker) og dstnat til indgående (port forwarding).
Out. Interface er det udgående interface, som reglen gælder for — typisk din WAN-port, den, der modtager internetforbindelsen fra ISP’en.
Action er det, som reglen gør ved matchende pakker. For source NAT er de to muligheder masquerade og src-nat.
Masquerade vs. src-nat
Begge omskriver kildeIP-adressen på udgående pakker, men de håndterer det forskelligt:
| Felt | masquerade | src-nat |
|---|---|---|
| Internetforbindelse | Dynamisk IP | Gyldig (statisk) offentlig IP |
| NAT-kortlægningspost | Ikke vedligeholdt | Vedligeholdt |
| Kildeadresse efter oversætning | Routerens aktuelle offentlige IP | En bestemt IP, du definerer i To Address |
Masquerade er det rigtige valg, når din ISP giver dig en anden IP ved hver genstart (de fleste hjem- og SMB-planer). Det omskriver pakker til, uanset hvilken adresse WAN-interfacet aktuelt har, og det holder ikke tilstand på tværs af IP-ændringer, hvilket betyder, at det overlever en WAN flap elegant.
Src-nat er valget, når du har en statisk offentlig IP og ønsker eksplicit kontrol. Feltet To Address lader dig fastgøre kildeIP’en efter oversættelse, som betyder noget for indbundet trafikkorrelation, trafikregnskab og kanttilfælde som flere WAN-IP’er på ét interface.
Konfigurer NAT trin for trin i Winbox
Trin 1 — Åbn NAT-menuen
Forbind til routeren med Winbox, og gå derefter til IP → Firewall og skift til fanen NAT.
Trin 2 — Tilføj en ny regel
Klik på den blå +-knap for at åbne dialogen Ny NAT-regel.
Trin 3 — Indstil Chain og Out. Interface
Under fanen Generelt:
- Chain:
srcnat - Out. Interface: WAN-interfacet (almindeligvis
ether1på en standardkonfiguration)
Skift til Action-fanen for at definere oversættelsen.
Trin 4a — Dynamisk IP: brug masquerade
Hvis din ISP tildeler en dynamisk IP, skal du indstille Action til masquerade og klikke OK. Routeren omskriver kildeadressen på flugt, uanset hvilken offentlig IP den aktuelt har.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Trin 4b — Statisk IP: brug src-nat
Hvis din ISP giver en fast offentlig IP:
- Indstil Action til
src-nat. - I To Address skal du indtaste den statiske IP tildelt til WAN-interfacet.
- Klik OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Trin 5 — Verifikation
LAN-enheder burde nu kunne nå internettet. Fra en klient skal du gå til et eksternt site eller køre ping 8.8.8.8. Hvis det mislykkes, er de sædvanlige mistænkte den forkerte interface i Out. Interface, en manglende standardrute eller DNS, der ikke er konfigureret separat — ret det ved at følge vores DNS over HTTPS-opsætningsvejledning eller tjeklisten 192.168.88.1 adgangsfejlfinding.
Tips
- Placer NAT-regler efter eventuelle specifikke drop-regler i firewallen, så politikbeslutninger sker på uoversatte adresser.
- Hvis du skifter fra masquerade til src-nat, skal du rydde de eksisterende forbindelses-tracking-poster med
/ip/firewall/connection remove [find]— forældede poster kan skjule den nye oversættelse. - I CGNAT-miljøer fungerer masquerade på MikroTik stadig fint — ISP’ens CGNAT tilføjer blot et andet oversættelseslag bag dit.
Skalér NAT-politik på tværs af alle steder
En enkelt NAT-regel er triviel. Styring af NAT, port forwards og src-nat-kortlægninger på tværs af hundrede MikroTik-routere — hver med sit eget WAN-setup, sin egen statiske IP-allokering, sine egne kunde-specifikke undtagelser — er der operatører mister timer hver uge.
MKController pusher den samme NAT- og firewall-regelvariant til hver enhed i dit inventar og sporer pr.-router-afvigelser, så du ser præcist, hvilke steder, der gik væk fra skabelonen. Når en upstream IP-allokering ændres, eller en regelrækkefølge-regression bryder forbindelsen, flagerer dashboardet de berørte steder, før kunderne gør det.