Tutorial
Configurer le NAT MikroTik pour internet
Configurez Network Address Translation sur un routeur MikroTik avec masquerade ou src-nat, via Winbox ou la CLI, en cinq étapes courtes.
Résumé Network Address Translation (NAT) est ce qui permet à toute une salle d’équipements de partager une seule IP publique. Sur les routeurs MikroTik, le NAT se configure sous
IP → Firewall → NATavec deux choix pratiques :masqueradepour les liens WAN dynamiques etsrc-natpour les IP publiques statiques. Ce guide parcourt les deux, plus les champs de règle qui piègent les utilisateurs la première fois.
Comment fonctionne le NAT sur MikroTik ?
Le NAT est la fonction de pare-feu qui réécrit les adresses IP sur les paquets traversant le routeur, afin que les équipements d’un LAN privé partagent une seule IP publique pour atteindre internet. Sur MikroTik, le NAT vit à l’intérieur du pare-feu sous IP → Firewall → NAT, et le routeur applique des règles au trafic selon la chain (direction), l’interface et une action qui indique comment réécrire les adresses.
Une règle NAT correcte transforme « un équipement LAN veut internet » en « la WAN voit un seul paquet venant de l’IP publique du routeur et route la réponse en sens inverse via la même traduction ». Sans règle NAT, le LAN émet des paquets vers l’extérieur, mais le fournisseur amont les rejette parce que les adresses RFC 1918 (192.168.x, 10.x, 172.16.x) ne sont pas routables sur l’internet public.
Champs de règle NAT à connaître
Trois champs font ou défont une règle NAT :
Chain est la direction du trafic. Utilisez srcnat pour les traductions sortantes (le cas LAN-vers-internet couvert ici) et dstnat pour le trafic entrant (port forwarding).
Out. Interface est l’interface sortante à laquelle s’applique la règle — généralement votre port WAN, celui qui reçoit le lien internet du FAI.
Action est ce que la règle fait des paquets qui matchent. Pour le source NAT, les deux options sont masquerade et src-nat.
Masquerade vs. src-nat
Les deux réécrivent l’IP source des paquets sortants, mais s’y prennent différemment :
| Champ | masquerade | src-nat |
|---|---|---|
| Lien internet | IP dynamique | IP publique valide (statique) |
| Enregistrement des mappings NAT | Non maintenu | Maintenu |
| IP source après traduction | L’IP publique actuelle du routeur | Une IP précise définie dans To Address |
Masquerade est le bon choix quand votre FAI vous attribue une IP différente à chaque redémarrage (la plupart des offres résidentielles et SMB). Il réécrit les paquets vers l’adresse que porte l’interface WAN à l’instant t et ne conserve pas d’état entre les changements d’IP, ce qui le fait survivre proprement à un flap WAN.
Src-nat est le choix lorsque vous disposez d’une IP publique statique et que vous voulez un contrôle explicite. Le champ To Address permet de fixer l’IP source post-traduction, ce qui importe pour la corrélation du trafic entrant, la comptabilité du trafic et les cas particuliers comme plusieurs IP WAN sur une même interface.
Configurer le NAT pas à pas dans Winbox
Étape 1 — Ouvrez le menu NAT
Connectez-vous au routeur avec Winbox, puis allez dans IP → Firewall et basculez sur l’onglet NAT.
Étape 2 — Ajoutez une nouvelle règle
Cliquez sur le bouton bleu + pour ouvrir la fenêtre New NAT Rule.
Étape 3 — Définissez Chain et Out. Interface
Sous l’onglet General :
- Chain :
srcnat - Out. Interface : l’interface WAN (le plus souvent
ether1sur une config d’usine)
Passez à l’onglet Action pour définir la traduction.
Étape 4a — IP dynamique : utilisez masquerade
Si votre FAI attribue une IP dynamique, mettez Action sur masquerade et cliquez sur OK. Le routeur réécrira l’adresse source à la volée, quelle que soit l’IP publique qu’il porte à l’instant t.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Étape 4b — IP statique : utilisez src-nat
Si votre FAI fournit une IP publique fixe :
- Mettez Action sur
src-nat. - Dans To Address, saisissez l’IP statique attribuée à l’interface WAN.
- Cliquez sur OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Étape 5 — Vérifiez
Les équipements LAN devraient désormais atteindre internet. Depuis un client, ouvrez n’importe quel site externe ou exécutez ping 8.8.8.8. En cas d’échec, les suspects habituels sont la mauvaise interface dans Out. Interface, une route par défaut manquante ou un DNS non configuré séparément — corrigez-les en suivant notre guide de configuration DNS over HTTPS ou la checklist d’accès à 192.168.88.1.
Conseils
- Placez les règles NAT après toute règle drop spécifique dans le pare-feu, pour que les décisions de politique se fassent sur des adresses non encore traduites.
- Si vous passez de masquerade à src-nat, videz les entrées existantes du connection tracking avec
/ip/firewall/connection remove [find]— les entrées périmées peuvent masquer la nouvelle traduction. - En environnement CGNAT, masquerade sur le MikroTik continue de fonctionner — le CGNAT du FAI ajoute simplement une seconde couche de traduction derrière la vôtre.
Étendez la politique NAT à tous les sites
Une seule règle NAT, c’est trivial. Gérer NAT, port forwards et mappings src-nat sur cent routeurs MikroTik — chacun avec son propre montage WAN, sa propre allocation d’IP statique, ses propres exceptions clients — c’est là que les opérateurs perdent des heures chaque semaine.
MKController pousse le même ensemble de règles NAT et pare-feu sur chaque équipement de votre inventaire et suit les écarts par routeur, pour que vous voyiez exactement quels sites ont divergé du modèle. Quand une allocation d’IP amont change ou qu’une régression d’ordre de règles casse la connectivité, le tableau de bord signale les sites concernés avant que les clients ne le fassent.