⚙️ Konfiguracja NAT krok po kroku na MikroTik – kompletny przewodnik

MikroTik RouterOS to jedno z najbardziej elastycznych narzędzi do zarządzania ruchem sieciowym, które cieszy się ogromną popularnością zarówno w małych sieciach firmowych, jak i w bardziej zaawansowanych środowiskach ISP. Jednym z podstawowych zastosowań RouterOS jest konfiguracja NAT – czyli translacji adresów sieciowych.

W tym artykule pokażemy Ci, jak krok po kroku skonfigurować NAT na routerze MikroTik – z pełnym zrozumieniem tego, co robisz, i dlaczego.

📘 Czym jest NAT w MikroTik?

NAT (Network Address Translation) umożliwia zamianę prywatnych adresów IP (np. 192.168.x.x) na publiczne (np. 89.64.x.x), co pozwala wielu urządzeniom w sieci lokalnej korzystać z jednego zewnętrznego adresu IP.

W MikroTik RouterOS NAT konfiguruje się w zakładce IP → Firewall → NAT.

Dwa najczęściej stosowane typy NAT:

• Masquerade (SNAT) – dla łącza dynamicznego (np. PPPoE, DHCP).
• Static NAT (DNAT) – dla przekierowania portów z Internetu do sieci wewnętrznej.

🧭 Wymagania wstępne

Zanim przejdziesz do konfiguracji:

• Twój MikroTik powinien mieć dwa interfejsy:
  • jeden do Internetu (np. ether1 z publicznym IP lub DHCP),
  • drugi do sieci lokalnej (np. ether2 z IP 192.168.88.1/24).
• Urządzenia w sieci LAN powinny mieć bramę ustawioną na IP routera (np. 192.168.88.1).

🛠️ Krok 1: Konfiguracja interfejsów

1. Zaloguj się do MikroTika przez Winbox lub SSH.
2. Przejdź do: IP → Addresses.
3. Dodaj adresy IP do interfejsów:
   • ether1 (WAN): otrzymuje IP od dostawcy (automatycznie lub statycznie).
   • ether2 (LAN): np. 192.168.88.1/24.

/ip address add address=192.168.88.1/24 interface=ether2

🔐 Krok 2: Dodanie reguły NAT (Masquerade)

Przez interfejs graficzny (Winbox):

1. Przejdź do: IP → Firewall → NAT → +
2. General:
   • Chain: srcnat
   • Out. Interface: ether1 (czyli WAN)
3. Action:
   • Action: masquerade
4. Kliknij OK

Przez terminal (CLI):

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

📌 Masquerade automatycznie używa IP przypisanego do interfejsu wyjściowego – idealne przy zmiennych adresach WAN.

🔁 Krok 3: Przekierowanie portów (DNAT)

Jeśli chcesz, aby usługa z sieci lokalnej (np. serwer www) była dostępna z Internetu:

Przykład: przekierowanie portu 80 na wewnętrzny adres 192.168.88.100

Przez Winbox:

1. IP → Firewall → NAT → +
2. General:
   • Chain: dstnat
   • Protocol: tcp
   • Dst. Port: 80
   • In. Interface: ether1
3. Action:
   • Action: dst-nat
   • To Address: 192.168.88.100
   • To Port: 80

Przez CLI:

/ip firewall nat add chain=dstnat in-interface=ether1 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.88.100 to-ports=80

📈 Krok 4: Sprawdzenie działania

• Urządzenia w sieci LAN powinny mieć dostęp do Internetu.
• Strona uruchomiona lokalnie (np. na 192.168.88.100:80) powinna być dostępna z zewnątrz, jeśli publiczny IP MikroTika został użyty w przeglądarce.

👉 Warto przetestować działanie za pomocą ping, traceroute lub usług typu CanYouSeeMe.org (dla portów).

🧱 Dodatkowe wskazówki i zabezpieczenia

• Nie przekierowuj portów bez potrzeby – każde otwarcie to potencjalne zagrożenie.
• Zabezpiecz router regułami w zakładce IP → Firewall → Filter.
• Ogranicz dostęp do Winboxa i interfejsów zarządzania tylko z LAN-u.

📌 Podsumowanie – konfiguracja NAT na MikroTik w pigułce

Dzięki NAT, Twój MikroTik może działać jako brama dla dowolnej liczby urządzeń w sieci lokalnej, zapewniając im dostęp do Internetu oraz odpowiednie zabezpieczenia.

Polecane wpisy

Migracja z IPv4 do IPv6: Przewodnik po procesie

Migracja z IPv4 do IPv6: Przewodnik po procesie Migracja z IPv4 do IPv6 to jeden z najważniejszych kroków, które muszą Czytaj dalej

Jak sprawdzić IP urządzenia podłączonego do komputera: Przewodnik krok po kroku

Jak sprawdzić IP urządzenia podłączonego do komputera: Przewodnik krok po kroku W dzisiejszych czasach komputery i urządzenia mobilne są powszechnie Czytaj dalej