Tutorial
Налаштування NAT на MikroTik для інтернету
Налаштуйте Network Address Translation на маршрутизаторі MikroTik з masquerade або src-nat через Winbox чи CLI за п'ять коротких кроків.
Короткий опис Network Address Translation (NAT) — це те, що дає змогу цілій кімнаті пристроїв спільно використовувати одну публічну IP-адресу. На маршрутизаторах MikroTik NAT налаштовується в
IP → Firewall → NATіз двома практичними варіантами:masqueradeдля динамічних WAN-каналів іsrc-natдля статичних публічних IP. Цей посібник охоплює обидва варіанти, а також поля правил, які найчастіше збивають із пантелику з першого разу.
Як NAT працює на MikroTik?
NAT — це функція файрвола, що переписує IP-адреси в пакетах, які проходять через маршрутизатор, аби пристрої в приватній LAN могли спільно користуватися одним публічним IP для виходу в інтернет. На MikroTik NAT живе всередині файрвола в IP → Firewall → NAT, і маршрутизатор застосовує правила до трафіку на основі chain (напрямку), інтерфейсу та дії, що описує, як переписувати адреси.
Правильне правило NAT перетворює «пристрій LAN хоче в інтернет» на «WAN бачить один пакет із публічного IP маршрутизатора і маршрутизує відповідь назад через ту саму трансляцію». Без правила NAT LAN відправляє пакети назовні, але провайдер їх скидає, бо адреси RFC 1918 (192.168.x, 10.x, 172.16.x) не маршрутизуються в публічному інтернеті.
Поля правила NAT, які варто знати
Три поля визначають успіх правила NAT:
Chain — це напрямок трафіку. Використовуйте srcnat для вихідних трансляцій (випадок LAN-в-інтернет, який охоплює цей посібник) і dstnat для вхідного трафіку (port forwarding).
Out. Interface — це вихідний інтерфейс, до якого застосовується правило, зазвичай ваш WAN-порт, той, що отримує інтернет-канал від провайдера.
Action — це те, що правило робить із пакетами, які збігаються. Для source NAT два варіанти — masquerade і src-nat.
Masquerade проти src-nat
Обидва переписують IP джерела у вихідних пакетах, але роблять це по-різному:
| Поле | masquerade | src-nat |
|---|---|---|
| Інтернет-канал | Динамічний IP | Дійсний (статичний) публічний IP |
| Запис NAT-меппінгів | Не зберігається | Зберігається |
| IP джерела після трансляції | Поточний публічний IP маршрутизатора | Конкретний IP, заданий у To Address |
Masquerade — правильний вибір, коли провайдер видає вам інший IP при кожному перезавантаженні (більшість домашніх і SMB-тарифів). Він переписує пакети на адресу, яку наразі має WAN-інтерфейс, і не зберігає стан між змінами IP, тому коректно переживає падіння WAN.
Src-nat — вибір, коли у вас статичний публічний IP і потрібен явний контроль. Поле To Address дає змогу зафіксувати IP джерела після трансляції, що важливо для кореляції вхідного трафіку, обліку трафіку та таких випадків, як кілька WAN-IP на одному інтерфейсі.
Налаштування NAT покроково у Winbox
Крок 1 — Відкрийте меню NAT
Підключіться до маршрутизатора через Winbox, перейдіть до IP → Firewall і переключіться на вкладку NAT.
Крок 2 — Додайте нове правило
Натисніть синю кнопку +, щоб відкрити діалог New NAT Rule.
Крок 3 — Задайте Chain і Out. Interface
На вкладці General:
- Chain:
srcnat - Out. Interface: WAN-інтерфейс (зазвичай
ether1у заводській конфігурації)
Перейдіть на вкладку Action, щоб визначити трансляцію.
Крок 4a — Динамічний IP: використовуйте masquerade
Якщо провайдер видає динамічний IP, встановіть Action на masquerade і натисніть OK. Маршрутизатор переписуватиме адресу джерела на льоту, незалежно від того, який публічний IP він має зараз.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade
Крок 4b — Статичний IP: використовуйте src-nat
Якщо провайдер надає фіксований публічний IP:
- Встановіть Action на
src-nat. - У To Address введіть статичний IP, призначений WAN-інтерфейсу.
- Натисніть OK.
/ip/firewall/nat add chain=srcnat out-interface=ether1 action=src-nat to-addresses=203.0.113.10
Крок 5 — Перевірте
Пристрої LAN тепер мають доступ до інтернету. З клієнта відкрийте будь-який зовнішній сайт або виконайте ping 8.8.8.8. Якщо не працює, звичайні підозрювані — неправильний інтерфейс у Out. Interface, відсутній маршрут за замовчуванням або DNS, не налаштований окремо — виправте їх за нашим посібником з налаштування DNS over HTTPS або чек-листом доступу до 192.168.88.1.
Поради
- Розміщуйте правила NAT після будь-яких специфічних правил drop у файрволі, щоб рішення політики ухвалювалися на нетранслованих адресах.
- Якщо ви переходите з masquerade на src-nat, очистьте поточні записи connection tracking командою
/ip/firewall/connection remove [find]— застарілі записи можуть маскувати нову трансляцію. - У середовищах CGNAT masquerade на MikroTik так само працює добре — CGNAT провайдера просто додає другий шар трансляції за вашим.
Масштабуйте політику NAT на всі майданчики
Одне правило NAT — це тривіально. Керування NAT, port forward і src-nat-меппінгами на сотні маршрутизаторів MikroTik — кожен зі своїм WAN-сетапом, своїм розподілом статичних IP, своїми клієнтськими винятками — це там, де оператори втрачають години щотижня.
MKController доставляє той самий набір правил NAT та файрвола на кожен пристрій у вашому інвентарі та відстежує відхилення на маршрутизаторах, тож ви одразу бачите, які майданчики відійшли від шаблону. Коли змінюється виділення IP вгору за потоком чи регресія в порядку правил ламає зв’язок, панель сигналізує постраждалі майданчики раніше, ніж це зроблять клієнти.