Перейти к содержимому
MKController Blog
InstagramYouTubeFacebook

Tutorial

Настройка NAT на MikroTik для интернета

Настройте Network Address Translation на роутере MikroTik с masquerade или src-nat через Winbox или CLI всего за пять коротких шагов.

MKController4 min read

Краткое описание Network Address Translation (NAT) — это то, что позволяет целой комнате устройств делить один публичный IP. На роутерах MikroTik NAT настраивается в IP → Firewall → NAT с двумя практическими вариантами: masquerade для динамических WAN-каналов и src-nat для статических публичных IP. Это руководство охватывает оба варианта, а также поля правил, которые чаще всего сбивают с толку с первого раза.

Диаграмма архитектуры правила NAT на MikroTik

Как NAT работает на MikroTik?

NAT — это функция файрвола, которая переписывает IP-адреса в пакетах, проходящих через роутер, чтобы устройства в приватной LAN могли делить один публичный IP для выхода в интернет. На MikroTik NAT живёт внутри файрвола в IP → Firewall → NAT, и роутер применяет правила к трафику на основе chain (направления), интерфейса и действия, описывающего, как переписывать адреса.

Правильное правило NAT превращает «устройство LAN хочет в интернет» в «WAN видит один пакет с публичного IP роутера и маршрутизирует ответ обратно через ту же трансляцию». Без правила NAT LAN отправляет пакеты наружу, но провайдер их сбрасывает, потому что адреса RFC 1918 (192.168.x, 10.x, 172.16.x) не маршрутизируются в публичном интернете.

Поля правила NAT, которые нужно знать

Три поля делают или ломают правило NAT:

Chain — это направление трафика. Используйте srcnat для исходящих трансляций (случай LAN-в-интернет, который рассматривается здесь) и dstnat для входящего трафика (port forwarding).

Out. Interface — это исходящий интерфейс, к которому применяется правило, обычно ваш WAN-порт, тот, что принимает интернет-канал от провайдера.

Action — это то, что правило делает с совпавшими пакетами. Для source NAT доступны два варианта: masquerade и src-nat.

Masquerade против src-nat

Оба варианта переписывают IP источника в исходящих пакетах, но делают это по-разному:

Полеmasqueradesrc-nat
Интернет-каналДинамический IPДействительный (статический) публичный IP
Запись NAT-маппинговНе хранитсяХранится
IP источника после трансляцииТекущий публичный IP роутераКонкретный IP, заданный в To Address

Masquerade — правильный выбор, когда провайдер выдаёт вам другой IP при каждой перезагрузке (большинство домашних и SMB-тарифов). Он переписывает пакеты на тот адрес, который сейчас держит WAN-интерфейс, и не сохраняет состояние между сменами IP, поэтому корректно переживает падение WAN.

Src-nat — это выбор, когда у вас статический публичный IP и нужен явный контроль. Поле To Address позволяет зафиксировать IP источника после трансляции, что важно для корреляции входящего трафика, его учёта и таких случаев, как несколько WAN-IP на одном интерфейсе.

Настройка NAT по шагам в Winbox

Шаг 1 — Откройте меню NAT

Подключитесь к роутеру в Winbox, перейдите в IP → Firewall и переключитесь на вкладку NAT.

Вкладка NAT в IP Firewall в Winbox MikroTik

Шаг 2 — Добавьте новое правило

Нажмите синюю кнопку +, чтобы открыть диалог New NAT Rule.

Кнопка + в Winbox MikroTik для добавления нового правила NAT

Шаг 3 — Задайте Chain и Out. Interface

На вкладке General:

  • Chain: srcnat
  • Out. Interface: WAN-интерфейс (обычно ether1 в заводской конфигурации)

Переключитесь на вкладку Action, чтобы задать трансляцию.

Вкладка General правила NAT MikroTik с выбранными srcnat и ether1

Шаг 4a — Динамический IP: используйте masquerade

Если провайдер выдаёт динамический IP, установите Action в masquerade и нажмите OK. Роутер будет переписывать адрес источника на лету, независимо от того, какой публичный IP у него сейчас.

/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Правило NAT MikroTik с выбранным action masquerade

Шаг 4b — Статический IP: используйте src-nat

Если провайдер даёт фиксированный публичный IP:

  1. Установите Action в src-nat.
  2. В To Address введите статический IP, назначенный WAN-интерфейсу.
  3. Нажмите OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Правило NAT MikroTik с action src-nat и заполненным To Address

Шаг 5 — Проверьте

Устройства LAN теперь должны выйти в интернет. С клиента откройте любой внешний сайт или выполните ping 8.8.8.8. Если не работает, обычные подозреваемые — неправильный интерфейс в Out. Interface, отсутствующий маршрут по умолчанию или DNS, не настроенный отдельно — исправьте их по нашему руководству по настройке DNS over HTTPS или чек-листу доступа к 192.168.88.1.

Советы

  • Размещайте правила NAT после любых специфических правил drop в файрволе, чтобы решения политики принимались по нетранслированным адресам.
  • Если вы переходите с masquerade на src-nat, очистите текущие записи connection tracking командой /ip/firewall/connection remove [find] — устаревшие записи могут маскировать новую трансляцию.
  • В средах CGNAT masquerade на MikroTik по-прежнему отлично работает — CGNAT провайдера просто добавляет вторую трансляцию за вашей.

Масштабируйте политику NAT на все площадки

Одно правило NAT — это тривиально. Управление NAT, port forward и src-nat-маппингами на сотне роутеров MikroTik — у каждого свой WAN-сетап, своё распределение статических IP, свои клиентские исключения — это там, где операторы теряют часы каждую неделю.

MKController доставляет один и тот же набор NAT- и firewall-правил на каждое устройство в вашем инвентаре и отслеживает отклонения по роутерам, так что вы сразу видите, какие площадки ушли от шаблона. Когда меняется выделение IP вверх по потоку или регрессия в порядке правил ломает связь, панель сигнализирует пострадавшие площадки раньше, чем это сделают клиенты.

Начните бесплатную пробную версию MKController