Tutorial
Configurar NAT en MikroTik para internet
Configura Network Address Translation en un router MikroTik con masquerade o src-nat, mediante Winbox o la CLI, en cinco pasos breves.
Resumen Network Address Translation (NAT) es lo que permite que una sala llena de dispositivos comparta una única IP pública. En routers MikroTik, NAT se configura en
IP → Firewall → NATcon dos opciones prácticas:masqueradepara enlaces WAN dinámicos ysrc-natpara IPs públicas estáticas. Esta guía recorre ambas, además de los campos de regla que suelen sorprender a quien lo hace por primera vez.
¿Cómo funciona NAT en MikroTik?
NAT es la función del firewall que reescribe direcciones IP en los paquetes mientras pasan por el router, para que los dispositivos de una LAN privada compartan una única IP pública al salir a internet. En MikroTik, NAT vive dentro del firewall en IP → Firewall → NAT, y el router aplica reglas al tráfico según chain (dirección), interfaz y una acción que indica cómo reescribir las direcciones.
Una regla NAT correcta convierte “el dispositivo LAN quiere internet” en “la WAN ve un único paquete desde la IP pública del router y enruta la respuesta de vuelta por la misma traducción”. Sin regla NAT, la LAN envía paquetes hacia afuera, pero el proveedor upstream los descarta porque las direcciones RFC 1918 (192.168.x, 10.x, 172.16.x) no son enrutables en la internet pública.
Campos de la regla NAT que debes conocer
Tres campos hacen o rompen una regla NAT:
Chain es la dirección del tráfico. Usa srcnat para traducciones salientes (el caso LAN-a-internet que cubre esta guía) y dstnat para entrante (port forwarding).
Out. Interface es la interfaz saliente a la que se aplica la regla — normalmente tu puerto WAN, el que recibe el enlace de internet del ISP.
Action es lo que la regla hace con los paquetes que casan. Para source NAT, las dos opciones son masquerade y src-nat.
Masquerade vs. src-nat
Ambos reescriben la IP de origen en los paquetes salientes, pero lo hacen de forma distinta:
| Campo | masquerade | src-nat |
|---|---|---|
| Enlace de internet | IP dinámica | IP pública válida (estática) |
| Registro de mapeos NAT | No se mantiene | Se mantiene |
| IP de origen tras la traducción | La IP pública actual del router | Una IP concreta definida en To Address |
Masquerade es la elección correcta cuando tu ISP te entrega una IP distinta en cada reinicio (la mayoría de planes residenciales y SMB). Reescribe los paquetes a la dirección que tenga en ese momento la interfaz WAN y no guarda estado entre cambios de IP, por lo que sobrevive con elegancia a una caída de WAN.
Src-nat es la elección cuando tienes una IP pública estática y quieres control explícito. El campo To Address permite fijar la IP de origen tras la traducción, lo que importa para correlacionar tráfico entrante, contabilizar tráfico y casos como varias IP WAN sobre una misma interfaz.
Configurar NAT paso a paso en Winbox
Paso 1 — Abre el menú NAT
Conéctate al router con Winbox, entra en IP → Firewall y cambia a la pestaña NAT.
Paso 2 — Añade una nueva regla
Haz clic en el botón azul + para abrir el diálogo New NAT Rule.
Paso 3 — Configura Chain y Out. Interface
En la pestaña General:
- Chain:
srcnat - Out. Interface: la interfaz WAN (habitualmente
ether1en una config de fábrica)
Cambia a la pestaña Action para definir la traducción.
Paso 4a — IP dinámica: usa masquerade
Si tu ISP asigna una IP dinámica, pon Action en masquerade y pulsa OK. El router reescribirá la dirección de origen sobre la marcha, sea cual sea la IP pública que tenga en ese momento.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Paso 4b — IP estática: usa src-nat
Si tu ISP entrega una IP pública fija:
- Pon Action en
src-nat. - En To Address, introduce la IP estática asignada a la interfaz WAN.
- Pulsa OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Paso 5 — Verifica
Los dispositivos LAN ya deberían alcanzar internet. Desde un cliente, abre cualquier sitio externo o ejecuta ping 8.8.8.8. Si falla, los sospechosos habituales son la interfaz equivocada en Out. Interface, una ruta por defecto ausente o el DNS sin configurar por separado — corrígelos siguiendo nuestra guía de configuración de DNS over HTTPS o la checklist de acceso a 192.168.88.1.
Consejos
- Coloca las reglas NAT después de cualquier regla de drop específica en el firewall, para que las decisiones de política se tomen sobre direcciones aún sin traducir.
- Si cambias de masquerade a src-nat, limpia las entradas existentes de connection tracking con
/ip/firewall/connection remove [find]— las entradas viejas pueden enmascarar la nueva traducción. - En entornos CGNAT, masquerade en el MikroTik sigue funcionando bien — el CGNAT del ISP simplemente añade una segunda capa de traducción por detrás de la tuya.
Escala la política NAT en todos los sitios
Una sola regla NAT es trivial. Gestionar NAT, port forwards y mapeos src-nat en cien routers MikroTik — cada uno con su propio setup WAN, su propia asignación de IP estática, sus propias excepciones específicas por cliente — es donde los operadores pierden horas cada semana.
MKController despliega el mismo conjunto de reglas NAT y firewall en cada dispositivo de tu inventario y rastrea las desviaciones por router, para que veas exactamente qué sitios se han ido del template. Cuando cambia una asignación de IP upstream o una regresión en el orden de reglas rompe la conectividad, el panel destaca los sitios afectados antes de que lo hagan los clientes.