Tutorial
MikroTik NAT-Konfiguration für Internet
Konfigurieren Sie NAT auf MikroTik-Routern mit Masquerade oder src-nat, mithilfe von Winbox oder der CLI, in fünf einfachen Schritten.
Zusammenfassung Network Address Translation (NAT) ermöglicht es, dass viele Geräte eine einzelne öffentliche IP-Adresse teilen. Auf MikroTik-Routern wird NAT unter
IP → Firewall → NATkonfiguriert und bietet zwei praktische Optionen:masqueradefür dynamische WAN-Verbindungen undsrc-natfür statische öffentliche IPs. Diese Anleitung zeigt beide Varianten sowie die Regelfelder, die Anfänger häufig übersehen.
Wie funktioniert NAT auf MikroTik?
NAT ist die Firewall-Funktion, die IP-Adressen in Paketen umschreibt, während sie den Router durchlaufen, so dass Geräte in einem privaten LAN eine einzige öffentliche IP nutzen können, um ins Internet zu gelangen. Auf MikroTik befindet sich NAT in der Firewall unter IP → Firewall → NAT. Der Router wendet Regeln auf den Datenverkehr an, basierend auf Kette (Richtung), Schnittstelle und einer Aktion, die vorgibt, wie die Adressen umgeschrieben werden.
Eine korrekte NAT-Regel wandelt „LAN-Gerät möchte ins Internet” in „WAN sieht ein einzelnes Paket von der öffentlichen IP des Routers, und leitet die Antwort durch die gleiche Übersetzung zurück”. Ohne eine NAT-Regel sendet das LAN Pakete hinaus, aber der Upstream-Provider verwirft sie, da RFC 1918-Adressen (192.168.x, 10.x, 172.16.x) im öffentlichen Internet nicht routbar sind.
NAT-Regelfelder, die Sie kennen sollten
Drei Felder entscheiden über Erfolg oder Misserfolg einer NAT-Regel:
Kette ist die Datenverkehrsrichtung. Verwenden Sie srcnat für abgehende Übersetzungen (der LAN-zu-Internet-Fall, den diese Anleitung behandelt) und dstnat für eingehenden Verkehr (Portweiterleitung).
Out. Interface ist die ausgehende Schnittstelle, auf die die Regel angewendet wird — typischerweise Ihr WAN-Port, der die Internetverbindung vom ISP erhält.
Aktion ist das, was die Regel mit passenden Paketen tut. Für Source NAT sind die zwei Optionen masquerade und src-nat.
Masquerade vs. src-nat
Beide schreiben die Quell-IP bei ausgehenden Paketen um, handhaben dies aber unterschiedlich:
| Feld | masquerade | src-nat |
|---|---|---|
| Internetverbindung | Dynamische IP | Gültige (statische) öffentliche IP |
| NAT-Zuordnungen | Nicht beibehalten | Beibehalten |
| Quell-IP nach Übersetzung | Die aktuelle öffentliche IP des Routers | Eine spezifische IP, die Sie in To Address definieren |
Masquerade ist die richtige Wahl, wenn Ihr ISP Ihnen bei jedem Neustart eine andere IP zuweist (meiste private und KMU-Pläne). Es schreibt Pakete in die IP um, die die WAN-Schnittstelle aktuell hat, und behält keinen Zustand bei IP-Wechseln, was bedeutet, dass es einen WAN-Ausfall elegant übersteht.
Src-nat ist die Wahl, wenn Sie eine statische öffentliche IP haben und explizite Kontrolle möchten. Das Feld To Address ermöglicht es Ihnen, die Quell-IP nach der Übersetzung festzulegen, was für Korrelation eingehender Datenströme, Datenverkehrsbilanzierung und Grenzfälle wie mehrere WAN-IPs auf einer Schnittstelle wichtig ist.
Konfigurieren Sie NAT Schritt für Schritt in Winbox
Schritt 1 — Öffnen Sie das NAT-Menü
Verbinden Sie sich mit dem Router über Winbox und gehen Sie zu IP → Firewall und wechseln Sie zum Tab NAT.
Schritt 2 — Fügen Sie eine neue Regel hinzu
Klicken Sie auf den blauen Button +, um das Dialogfenster Neue NAT-Regel zu öffnen.
Schritt 3 — Legen Sie Kette und Out. Interface fest
Auf dem Tab Allgemein:
- Kette:
srcnat - Out. Interface: die WAN-Schnittstelle (üblicherweise
ether1in einer Standard-Konfiguration)
Wechseln Sie zum Tab Aktion, um die Übersetzung zu definieren.
Schritt 4a — Dynamische IP: Verwenden Sie masquerade
Wenn Ihr ISP eine dynamische IP zuweist, setzen Sie Aktion auf masquerade und klicken Sie auf OK. Der Router schreibt die Quelladdresse spontan um, unabhängig davon, welche öffentliche IP er aktuell hat.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Schritt 4b — Statische IP: Verwenden Sie src-nat
Wenn Ihr ISP eine feste öffentliche IP bereitstellt:
- Setzen Sie Aktion auf
src-nat. - Geben Sie in To Address die statische IP ein, die der WAN-Schnittstelle zugewiesen ist.
- Klicken Sie auf OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Schritt 5 — Verifizieren
LAN-Geräte sollten jetzt ins Internet gelangen. Navigieren Sie von einem Client zu einer externen Website oder führen Sie ping 8.8.8.8 aus. Falls es fehlschlägt, sind die üblichen Verdächtigen die falsche Schnittstelle in Out. Interface, eine fehlende Standardroute oder ein nicht separat konfiguriertes DNS — beheben Sie diese, indem Sie unsere DNS-over-HTTPS-Anleitung befolgen oder die 192.168.88.1-Zugriffsfehlerbehandlung-Checkliste durcharbeiten.
Tipps
- Platzieren Sie NAT-Regeln nach allen spezifischen Drop-Regeln in der Firewall, damit Richtlinienentscheidungen auf nicht übersetzten Adressen erfolgen.
- Wenn Sie von masquerade zu src-nat wechseln, löschen Sie die vorhandenen Verbindungsverfolgungseinträge mit
/ip/firewall/connection remove [find]— alte Einträge können die neue Übersetzung überlagern. - In CGNAT-Umgebungen funktioniert masquerade auf dem MikroTik problemlos — das CGNAT des ISP fügt einfach eine zweite Übersetzungsebene über Ihrer hinzu.
Skalieren Sie NAT-Richtlinien über jeden Standort
Eine einzelne NAT-Regel ist trivial. Die Verwaltung von NAT, Portweiterleitung und src-nat-Zuordnungen über hundert MikroTik-Router — jeweils mit eigenem WAN-Setup, eigener statischer IP-Zuweisung, eigenen kundenspezifischen Ausnahmen — ist der Punkt, wo Betreiber jede Woche Stunden verlieren.
MKController übertragen die gleiche NAT- und Firewall-Regelkonfiguration auf jedes Gerät in Ihrem Bestand und verfolgen gerätespezifische Abweichungen, so dass Sie genau sehen, welche Standorte von der Vorlage abgewichen sind. Wenn sich eine Upstream-IP-Zuweisung ändert oder eine Regelreihenfolgenregression die Verbindung unterbricht, kennzeichnet das Dashboard die betroffenen Standorte, bevor Kunden es bemerken.