NAT dịch ra là Network Address Translation là kỹ thuật cho phép một hay nhiều địa chỉ IP nội bộ được ánh xạ với một hay nhiều địa chỉ IP mạng ngoài. Các địa chỉ IP nội bộ có thể chạy các dịch vụ như web, mail hay đầu ghi lưu trữ camera,… hoặc chỉ đơn giản sử dụng Internet bình thường. NAT được thực hiện ở router biên, nơi kết nối giữa mạng LAN nội bộ và mạng Internet. Sau đây An Nhiên sẽ giới thiệu tới các bạn cách cấu hình NAT router Mikrotik.
NAT router Mikrotik:
NAT giúp tiết kiệm được địa chỉ IP public IPv4 (với tổng địa chỉ khả dụng là hơn 4 tỉ) nhờ cơ chế xử lý của mình. Với NAT, hàng chục đến hàng trăm người dùng trong mạng có thể dùng “chung” một địa chỉ IP public.
Với router Mikrotik, ta cần quan tâm đến các hình thức NAT đó là NAT port, Hairpin NAT và NAT ra Internet.
NAT để truy cập Internet:
Hay còn gọi là Source NAT, có nghĩa là đổi địa chỉ nguồn từ local thành địa chỉ trên cổng WAN để đi ra ngoài Internet. Hình thức NAT phổ biến và đơn giản nhất là NAT động masquerade. Gói tin sẽ được đổi địa chỉ nguồn và router sẽ đánh port nguồn ra ngoài theo một cổng “mặt nạ” nào đó mà router chưa được dùng đến. Khi gói tin đi vào thì router cũng sẽ theo cổng này để đưa đúng gói tin trở lại IP local như cũ.
Ta truy cập vào IP → Firewall → NAT, ở tab General Nhập Chain là srcnat, Out. Interface là cổng muốn NAT đi ra ngoài Internet (cổng WAN). Nếu cổng WAN quay số PPPoE thì ta chọn tên interface PPPoE tương ứng (ví dụ: pppoe-out1), nếu không chọn luôn tên interface (ví dụ: eth1):
Tiếp đến các bạn chuyển sang tab Action chọn “masquerade” và nhấn “OK” để kết thúc:
NAT port
NAT port là hình thức phổ biến để truy cập dịch vụ nội bộ từ bên ngoài của Internet qua địa chỉ IP Public. Ta cần xác định địa chỉ IP public cần NAT trên cổng WAN, Địa chỉ IP local và port/protocol cần để NAT.
Giả sử cần NAT camera IP có địa chỉ là 192.168.68.22, port là 8022 để có thể xem được từ bên ngoài Internet. Ta vào IP → Firewall → NAT và thêm một rule NAT. Với Dst. Address là địa chỉ IP tĩnh của đường WAN, Protocol chọn 6 (tcp), Dst. Port điền port cần NAT. Trong trường hợp không có IP tĩnh có thể tham khảo cấu hình DDNS trong phần IP → Cloud.
Sau đó trong tab Action, phần Action bạn chọn dst-nat, To Addresses chọn IP local cần NAT. Điền port cần NAT vào ô To Ports và nhấn OK để kết thúc:
Sau đó các bạn kiểm tra từ tool trên Internet thấy port 8022 đã được mở:
Hairpin NAT
Hairpin NAT là hình thức NAT từ bên trong local đến IP public trên WAN. Thường thì trong local ta có thể truy cập trực tiếp tới local luôn, hoặc từ ngoài vào mới phải NAT. Nhưng có trường hợp do firewall chặn local hoặc thiết bị đã NAT từ ngoài vào mà đang ở gần router hoặc người dùng đi đến nơi làm việc có cùng mạng.
Ví dụ: trong LAN có nhiều camera IP cần NAT ra ngoài Internet để xem trực tiếp. Nhưng một vài camera không thể xem được dù đã NAT đúng các bước. Khi đó ta cần nghĩ đến phương án Hairpin NAT.
Ngoài phần cấu hình NAT port router Mikrotik thông thường ra, ta cần thêm vào rule Hairpin NAT để có thể sử dụng được dịch vụ như bình thường. Truy cập IP → Firewall → NAT, thêm rule NAT như sau:
Với Src. Address là dải IP local cần truy cập dịch vụ, Dst. Address và Dst. Port là địa chỉ IP và port cần NAT, Out. Interface chọn bridge tương ứng. Chuyển sang tab Action chọn masquerade, nhấn OK để kết thúc.
Trên đây là bài viết Hướng dẫn cấu hình NAT router Mikrotik của GGADS
Cảm ơn các bạn đã đọc bài viết này! Xin chân thành cảm ơn
