• NAT z publicznym IP dla każdej podsieci – scenariusz ISP
    Sieci komputerowe

    NAT z publicznym IP dla każdej podsieci – scenariusz ISP

    Marek „Netbe” Lampart Opublikowane w

    🌍 NAT z Publicznym IP dla Każdej Podsieci – Scenariusz ISP i Zaawansowane Praktyki

    W nowoczesnych środowiskach operatorskich, takich jak sieci ISP, stosowanie klasycznego NAT (tzw. masquerade) dla jednego publicznego adresu IP często okazuje się niewystarczające. Zamiast tego, coraz częściej pojawia się potrzeba przypisania osobnych publicznych adresów IP do różnych podsiec lub klientów, zachowując jednocześnie kontrolę nad ruchem oraz elastyczność routingu.

    Ten scenariusz dotyczy nie tylko dostawców internetu, ale także firm, które zarządzają kilkoma podsieciami z dostępem do puli publicznych adresów IP od operatora. Przydzielenie publicznego IP per podsieć pozwala uzyskać większą przejrzystość, lepsze logowanie, kompatybilność z usługami online oraz zwiększoną kontrolę bezpieczeństwa.

    W niniejszym artykule omówimy architekturę, praktyczne przypadki oraz konfigurację NAT z publicznym IP dla każdej podsieci na MikroTik RouterOS, wraz z zasadami tworzenia odpowiednich reguł routingu i firewall.

    📌 Założenia architektoniczne

    Załóżmy, że ISP lub administrator posiada pulę IP:

    • Publiczna pula: 203.0.113.0/29 – do dyspozycji: 203.0.113.1203.0.113.6
    • Router MikroTik podłączony do internetu przez ether1
    • Sieci klientów (LAN) znajdują się za interfejsami:
      • ether2 – Klient A: 192.168.10.0/24
      • ether3 – Klient B: 192.168.20.0/24
      • ether4 – Klient C: 192.168.30.0/24

    Celem jest przypisanie każdej podsieci jednego unikalnego publicznego IP, tak aby ruch wychodzący był maskowany, ale z zachowaniem pełnego IP (Source NAT).

    Czytaj  Zaawansowane konfiguracje firewalla (iptables, nftables, ufw) w Linuxie: Wykorzystaj jego pełny potencjał
    NAT z publicznym IP dla każdej podsieci – scenariusz ISP
    NAT z publicznym IP dla każdej podsieci – scenariusz ISP

    ⚙️ Krok po kroku – konfiguracja SNAT z unikalnym publicznym IP

    1. Przydzielenie publicznych adresów IP do routera MikroTik

    /ip address
add address=203.0.113.2/29 interface=ether1 comment="Klient A"
add address=203.0.113.3/29 interface=ether1 comment="Klient B"
add address=203.0.113.4/29 interface=ether1 comment="Klient C"

    📍 Adresy zostały dodane na interfejsie WAN (ether1), jako dodatkowe IP.

    2. Konfiguracja NAT – Source NAT z określonym IP

    /ip firewall nat
add chain=srcnat src-address=192.168.10.0/24 out-interface=ether1 action=src-nat to-addresses=203.0.113.2 comment="SNAT dla Klienta A"
add chain=srcnat src-address=192.168.20.0/24 out-interface=ether1 action=src-nat to-addresses=203.0.113.3 comment="SNAT dla Klienta B"
add chain=srcnat src-address=192.168.30.0/24 out-interface=ether1 action=src-nat to-addresses=203.0.113.4 comment="SNAT dla Klienta C"

    🔒 Każda podsieć NAT-owana jest do własnego IP – nie używamy masquerade, tylko src-nat z ręcznie przypisanym adresem.

    📡 Routing domyślny

    /ip route
add dst-address=0.0.0.0/0 gateway=203.0.113.1 comment="Brama od ISP"

    🔥 Ochrona i kontrola – reguły firewall

    Aby kontrolować ruch, np. wprowadzić izolację między klientami lub ograniczyć usługi:

    /ip firewall filter
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop comment="Izolacja A -> B"
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.30.0/24 action=drop comment="Izolacja B -> C"
add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.0/24 action=drop comment="Izolacja C -> A"

    ✅ Dzięki tej regule sieci klientów są od siebie odseparowane.

    📈 Monitoring i diagnostyka

    Aby mieć podgląd, jaki klient generuje ruch na swoim IP, można dodać reguły mangle:

    /ip firewall mangle
add chain=forward src-address=192.168.10.0/24 action=mark-connection new-connection-mark=KlientA
add chain=forward src-address=192.168.20.0/24 action=mark-connection new-connection-mark=KlientB

    Następnie wykorzystaj Torch lub Traffic Flow, aby analizować zachowanie.

    ✅ Zalety stosowania publicznego IP dla każdej podsieci

    Funkcja Opis
    🛡️ Lepsza identyfikacja Ruch wychodzący jasno identyfikowany przez publiczny adres
    📊 Łatwiejsze logowanie Publiczne IP przypisane do klienta pozwala łatwo identyfikować ruch
    🧩 Kompatybilność z zewnętrznymi usługami Brak problemów z NAT typu Symmetric
    🔄 Zgodność z reverse DNS Każdy klient może mieć własny PTR
    🔐 Możliwość zastosowania polityki bezpieczeństwa Łatwe blokady ruchu po adresach IP
    Czytaj  Automatyzacja zadań administracyjnych w sieciach komputerowych za pomocą skryptów (Python, PowerShell)

    ❗ Pułapki i błędy

    • Brak przypisania dodatkowego IP do interfejsu WAN – reguła SNAT nie zadziała
    • Masquerade zamiast src-nat – MikroTik może dynamicznie zmieniać IP
    • Niezgodna maska adresu publicznego – brak routingu przez ISP
    • Brak ochrony firewall – podsieci mogą się wzajemnie skanować
    • Zbyt ogólne reguły NAT – mogą objąć inne ruchy i zaburzyć komunikację

    🧠 Dodatki i rozszerzenia

    • 🧭 DNAT (Destination NAT) – możesz również przekierowywać ruch przychodzący do konkretnej podsieci
    • 💡 Routing-mark + PBR – w celu rozdzielenia tras dla ruchu z różnych klientów
    • 🔒 Publiczny IP z VLAN – w połączeniu z VLAN możliwa pełna segmentacja per klient

    🧩 Praktyczne zastosowanie – model ISP

    Scenariusz, w którym router MikroTik znajduje się na brzegu sieci i dostarcza internet wielu klientom biznesowym. Każdy z nich korzysta z osobnej podsieci oraz dedykowanego publicznego IP. Dodatkowo router pozwala zdalnie zarządzać polityką ruchu, ograniczeniami pasma i bezpieczeństwem – wszystko w jednym urządzeniu.

    ✨ Podsumowanie

    W środowisku operatorskim lub korporacyjnym przypisanie publicznego IP dla każdej podsieci jest rozwiązaniem nowoczesnym, skalowalnym i transparentnym. Dzięki wykorzystaniu precyzyjnych reguł src-nat oraz odpowiednich konfiguracji firewall i routingu, możliwe jest zachowanie zarówno pełnej kontroli, jak i wysokiej wydajności. MikroTik daje elastyczne narzędzia, które – odpowiednio użyte – pozwalają stworzyć wydajne środowisko, gotowe na współczesne wyzwania sieciowe.

    Polecane wpisy
    Ochrona przed ransomware – jak zapobiegać szyfrowaniu danych
    Ochrona przed ransomware – jak zapobiegać szyfrowaniu danych

    Ochrona przed ransomware – jak zapobiegać szyfrowaniu danych Ransomware to jedno z najgroźniejszych zagrożeń współczesnego świata cyfrowego. Ten typ złośliwego Czytaj dalej

    Przyszłość protokołu RIP: Czy ma jeszcze zastosowanie w nowoczesnych sieciach?
    Przyszłość protokołu RIP: Czy ma jeszcze zastosowanie w nowoczesnych sieciach?

    Przyszłość protokołu RIP: Czy ma jeszcze zastosowanie w nowoczesnych sieciach? Wprowadzenie Routing Information Protocol (RIP) to jeden z najstarszych protokołów Czytaj dalej

    Czytaj  Jak włączyć i skonfigurować IPv6 na routerach, przełącznikach i innych urządzeniach sieciowych

    Powiązane wpisy:

    1. Konfiguracja NAT krok po kroku na MikroTik – kompletny przewodnik
    2. Load Balancing i Failover na MikroTik – Kompletny przewodnik krok po kroku
    3. Konfiguracja MikroTik: Kompleksowy przewodnik dla administratorów sieci
    4. Zaawansowane scenariusze konfiguracji MikroTik – kompleksowe przykłady
    5. Konfiguracja MikroTik — Część 79: MikroTik z VRRP — Redundancja bramy w sieci LAN i WAN
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również