Настройка NAT на MikroTik
Введение
Статья содержит пошаговое руководство по настройке NAT на роутерах MikroTik. Информация актуальна для RouterOS 7.23 Stable (июнь 2026 г.).
Описанные далее настройки основываются на приведенной ниже схеме сети, в т.ч. на том, что интерфейсы: ether2–ether5, а также оба интерфейса Wi-Fi объединены с помощью интерфейса bridge-LAN.
| Рисунок 1. Схема сети |
Настройка NAT
Настройка NAT на маршрутизаторах MikroTik выполняется:
- в GUI по пути: IP → Firewall → NAT;
- в CLI в разделе конфигурации: /ip/firewall/nat/.
Технология NAT используется для подмены в пакетах с данными IP-адресов устройств, находящихся в локальной сети, на IP-адрес внешнего интерфейса маршрутизатора при отправке пакетов в Интернет. А также для обратной подмены при получении ответов на эти пакеты.
NAT на роутерах MikroTik можно настроить с помощью действия src-nat или действия masquerade. Действие masquerade является частным случаем действия src-nat. На практике настройку NAT на устройствах MikroTik чаще всего реализуют с помощью masquerade. Использование этого действия является универсальным решением, но не всегда самым правильным. В некоторых случаях из-за использования masquerade возможны проблемы: повышенная нагрузка на процессор, проблемы с восстановлением звонков IP-телефонии при использовании нескольких интернет-каналов в режиме резервирования и др.
Выбирать действие src-nat или masquerade надо с помощью следующих правил:
- Если внешний IP-адрес выдается интернет-провайдером на постоянной основе (не изменяется), то надо использовать действие src-nat. При этом способ назначения IP-адреса роли не играет, он может назначаться как статически, так и динамически с помощью протокола DHCP. Ключевым фактором является именно то, что IP-адрес выдается на постоянной основе (не изменяется). Такая ситуация возможна и при использовании протокола DHCP, когда настройки IP-адресации выдаются динамически, но при этом за счет статической привязки всегда будет выдаваться один и тот же IP-адрес.
- Если внешний IP-адрес, выдаваемый интернет-провайдером, периодически изменяется, то надо использовать действие masquerade.
Далее в этой статье будут рассмотрены оба варианта настройки технологии NAT.
Настройка NAT с помощью действия src-nat
В поле To Address необходимо указать IP-адрес внешнего интерфейса маршрутизатора. В рамках данной статьи это 100.64.111.100.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 1. Добавление правила в NAT |
| Рисунок 2. Настройка NAT c помощью действия src-nat на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 3. Настройка NAT c помощью действия src-nat на вкладке Action |
С помощью WinBox 4
| Рисунок 4. Добавление правила в NAT |
| Рисунок 5. Настройка NAT c помощью действия src-nat на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 6. Настройка NAT c помощью действия src-nat на вкладке Action |
Через командную строку
/ip/firewall/nat/ add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100
Настройка NAT с помощью действия masquerade
При использовании действия masquerade указывать IP-адрес внешнего интерфейса не надо, так как специфика действия masquerade заключается в том, что при его использовании этот IP-адрес будет определяться динамически.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 7. Добавление правила в NAT |
| Рисунок 8. Настройка NAT c помощью действия masquerade на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 9. Настройка NAT c помощью действия masquerade на вкладке Action |
С помощью WinBox 4
| Рисунок 10. Добавление правила в NAT |
| Рисунок 11. Настройка NAT c помощью действия masquerade на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 12. Настройка NAT c помощью действия masquerade на вкладке Action |
Через командную строку
/ip/firewall/nat/ add action=masquerade chain=srcnat out-interface=ether1-WAN1
Проверка
На данном этапе с устройств, находящихся в локальной сети, должен успешно проходить ping до узлов в Интернете по доменным именам. Например, это могут быть: ya.ru, rbc.ru, rg.ru или любые другие имена. Если такой ping не проходит, то следует проверить ping до узлов в Интернете по IP-адресам. Например, это могут быть: 1.1.1.1, 8.8.8.8, 77.88.8.1, 77.88.8.8. Если ping до узлов в Интернете по IP-адресам проходит, а до доменных имен – нет, то это указывает на наличие проблемы со службой DNS.
Полезные ссылки
Онлайн-курсы по MikroTik
- Администрирование сетевых устройств MikroTik
- Файрвол и приоритизация трафика на MikroTik
- Маршрутизация на MikroTik
- Коммутация на MikroTik
Онлайн-курсы по сетям
- Математика и физика в сетевых технологиях
- Архитектура современных компьютерных сетей
- Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)
Telegram-каналы
Telegram-чат
Прочее