Pular para o conteúdo
MKController Blog
InstagramYouTubeFacebook

Tutorial

Configurar NAT no MikroTik para internet

Configure Network Address Translation em um roteador MikroTik com masquerade ou src-nat, usando Winbox ou a CLI, em cinco passos curtos.

MKController5 min read

Resumo Network Address Translation (NAT) é o que permite que uma sala cheia de dispositivos compartilhe um único IP público. Em roteadores MikroTik, o NAT é configurado em IP → Firewall → NAT com duas escolhas práticas: masquerade para links WAN dinâmicos e src-nat para IPs públicos estáticos. Este guia cobre os dois, além dos campos de regra que costumam pegar de surpresa quem está fazendo pela primeira vez.

Diagrama da arquitetura de regra NAT no MikroTik

Como o NAT funciona no MikroTik?

NAT é o recurso do firewall que reescreve endereços IP nos pacotes que passam pelo roteador, permitindo que dispositivos em uma LAN privada compartilhem um único IP público para acessar a internet. No MikroTik, o NAT vive dentro do firewall em IP → Firewall → NAT, e o roteador aplica regras ao tráfego com base em chain (direção), interface e uma ação que diz como reescrever os endereços.

Uma regra NAT correta transforma “dispositivo da LAN quer internet” em “a WAN vê um único pacote vindo do IP público do roteador e roteia a resposta de volta pela mesma tradução”. Sem uma regra NAT, a LAN envia pacotes, mas o provedor descarta porque endereços RFC 1918 (192.168.x, 10.x, 172.16.x) não são roteáveis na internet pública.

Campos da regra NAT que você precisa conhecer

Três campos fazem ou quebram uma regra NAT:

Chain é a direção do tráfego. Use srcnat para traduções de saída (o caso LAN-para-internet deste guia) e dstnat para tráfego de entrada (port forwarding).

Out. Interface é a interface de saída a que a regra se aplica — tipicamente a sua porta WAN, aquela que recebe o link de internet do provedor.

Action é o que a regra faz com pacotes que casam. Para source NAT, as duas opções são masquerade e src-nat.

Masquerade vs. src-nat

Ambos reescrevem o IP de origem nos pacotes de saída, mas tratam isso de forma diferente:

Campomasqueradesrc-nat
Link de internetIP dinâmicoIP público válido (estático)
Registro dos mapeamentos NATNão mantidoMantido
IP de origem após traduçãoO IP público atual do roteadorUm IP específico definido em To Address

Masquerade é a escolha certa quando seu provedor entrega um IP diferente a cada reboot (a maioria dos planos residenciais e SMB). Ele reescreve os pacotes para o endereço atual da interface WAN e não mantém estado entre trocas de IP, o que faz com que ele sobreviva bem a uma queda da WAN.

Src-nat é a escolha quando você tem um IP público estático e quer controle explícito. O campo To Address permite fixar o IP de origem pós-tradução, o que importa para correlacionar tráfego de entrada, contabilizar tráfego e casos como múltiplos IPs WAN em uma única interface.

Configurar NAT passo a passo no Winbox

Passo 1 — Abra o menu NAT

Conecte ao roteador com o Winbox, vá em IP → Firewall e mude para a aba NAT.

Aba NAT em IP Firewall no Winbox do MikroTik

Passo 2 — Adicione uma nova regra

Clique no botão azul + para abrir o diálogo New NAT Rule.

Botão + no Winbox do MikroTik para adicionar nova regra NAT

Passo 3 — Defina Chain e Out. Interface

Na aba General:

  • Chain: srcnat
  • Out. Interface: a interface WAN (normalmente ether1 em uma config de fábrica)

Mude para a aba Action para definir a tradução.

Aba General da regra NAT MikroTik com srcnat e ether1 selecionados

Passo 4a — IP dinâmico: use masquerade

Se o seu provedor atribui um IP dinâmico, defina Action como masquerade e clique em OK. O roteador reescreverá o endereço de origem em tempo real, qualquer que seja o IP público que ele esteja segurando no momento.

/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Regra NAT MikroTik com ação masquerade selecionada

Passo 4b — IP estático: use src-nat

Se o seu provedor fornece um IP público fixo:

  1. Defina Action como src-nat.
  2. Em To Address, informe o IP estático atribuído à interface WAN.
  3. Clique em OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Regra NAT MikroTik com ação src-nat e To Address preenchido

Passo 5 — Verifique

Os dispositivos da LAN agora devem acessar a internet. Em um cliente, abra qualquer site externo ou rode ping 8.8.8.8. Se falhar, os suspeitos de sempre são a interface errada em Out. Interface, uma rota padrão ausente ou DNS não configurado separadamente — corrija seguindo nosso guia de DNS over HTTPS ou o checklist de acesso ao 192.168.88.1.

Dicas

  • Coloque as regras NAT depois de qualquer regra de drop específica no firewall, para que as decisões de política aconteçam sobre endereços ainda não traduzidos.
  • Se você mudar de masquerade para src-nat, limpe as entradas existentes de connection tracking com /ip/firewall/connection remove [find] — entradas antigas podem mascarar a nova tradução.
  • Em ambientes de CGNAT, o masquerade no MikroTik continua funcionando normalmente — o CGNAT do provedor apenas adiciona uma segunda camada de tradução atrás da sua.

Escale política de NAT por todos os sites

Uma única regra NAT é trivial. Gerenciar NAT, port forwards e mapeamentos de src-nat em cem roteadores MikroTik — cada um com seu próprio setup WAN, sua própria alocação de IP estático, suas próprias exceções específicas por cliente — é onde os operadores perdem horas toda semana.

O MKController envia o mesmo conjunto de regras de NAT e firewall para cada dispositivo do seu inventário e rastreia desvios por roteador, de modo que você veja exatamente quais sites saíram do template. Quando uma alocação de IP upstream muda ou uma regressão na ordem das regras quebra a conectividade, o painel sinaliza os sites afetados antes que os clientes o façam.

Comece seu teste gratuito do MKController