Настройка NAT на MikroTik
Введение
Статья содержит пошаговое руководство по настройке NAT на роутерах MikroTik. Информация актуальна для RouterOS 7.22 Stable, последняя проверка актуальности была в марте 2026 г.
Описанные далее настройки основываются на приведенной ниже схеме сети, в т.ч. на том, что интерфейсы: ether2–ether5, а также оба интерфейса Wi-Fi объединены с помощью интерфейса bridge-LAN.
| Рисунок 1. Схема сети |
Настройка NAT
Настройка NAT на маршрутизаторах MikroTik выполняется:
- в GUI по пути: IP → Firewall → NAT;
- в CLI в разделе конфигурации: /ip/firewall/nat/.
Технология NAT используется для подмены в пакетах с данными IP-адресов устройств, находящихся в локальной сети, на IP-адрес внешнего интерфейса маршрутизатора при отправке пакетов в Интернет. А также для обратной подмены при получении ответов на эти пакеты.
NAT на роутерах MikroTik можно настроить с помощью действия src-nat или действия masquerade. Действие masquerade является частным случаем действия src-nat. На практике настройку NAT на устройствах MikroTik чаще всего реализуют с помощью masquerade. Использование этого действия является универсальным решением, но не всегда самым правильным. В некоторых случаях из-за использования masquerade возможны проблемы: повышенная нагрузка на процессор, проблемы с восстановлением звонков IP-телефонии при использовании нескольких интернет-каналов в режиме резервирования и др.
Выбирать действие src-nat или masquerade надо с помощью следующих правил:
- Если внешний IP-адрес выдается интернет-провайдером на постоянной основе (не изменяется), то надо использовать действие src-nat. При этом способ назначения IP-адреса роли не играет, он может назначаться как статически, так и динамически с помощью протокола DHCP. Ключевым фактором является именно то, что IP-адрес выдается на постоянной основе (не изменяется). Такая ситуация возможна и при использовании протокола DHCP, когда настройки IP-адресации выдаются динамически, но при этом за счет статической привязки всегда будет выдаваться один и тот же IP-адрес.
- Если внешний IP-адрес, выдаваемый интернет-провайдером, периодически изменяется, то надо использовать действие masquerade.
Далее в этой статье будут рассмотрены оба варианта настройки технологии NAT.
Настройка NAT с помощью действия src-nat
В поле To Address необходимо указать IP-адрес внешнего интерфейса маршрутизатора. В рамках данной статьи это 100.64.111.100.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 1. Добавление правила в NAT |
| Рисунок 2. Настройка NAT c помощью действия src-nat на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 3. Настройка NAT c помощью действия src-nat на вкладке Action |
С помощью WinBox 4
| Рисунок 4. Добавление правила в NAT |
| Рисунок 5. Настройка NAT c помощью действия src-nat на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 6. Настройка NAT c помощью действия src-nat на вкладке Action |
Через командную строку
/ip/firewall/nat/ add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=100.64.111.100
Настройка NAT с помощью действия masquerade
При использовании действия masquerade указывать IP-адрес внешнего интерфейса не надо, так как специфика действия masquerade заключается в том, что при его использовании этот IP-адрес будет определяться динамически.
Через графический интерфейс
С помощью WinBox 3
| Рисунок 7. Добавление правила в NAT |
| Рисунок 8. Настройка NAT c помощью действия masquerade на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 9. Настройка NAT c помощью действия masquerade на вкладке Action |
С помощью WinBox 4
| Рисунок 10. Добавление правила в NAT |
| Рисунок 11. Настройка NAT c помощью действия masquerade на вкладке General |
| Примечание: Если для выхода в Интернет используется PPPoE-соединение, то в условии Out Interface нужно выбрать PPPoE-интерфейс, а не физический ethernet-интерфейс. |
| Рисунок 12. Настройка NAT c помощью действия masquerade на вкладке Action |
Через командную строку
/ip/firewall/nat/ add action=masquerade chain=srcnat out-interface=ether1-WAN1
Проверка
На данном этапе с устройств, находящихся в локальной сети, должен успешно проходить ping до узлов в Интернете по доменным именам. Например, это могут быть: ya.ru, rbc.ru, rg.ru или любые другие имена. Если такой ping не проходит, то следует проверить ping до узлов в Интернете по IP-адресам. Например, это могут быть: 1.1.1.1, 8.8.8.8, 77.88.8.1, 77.88.8.8. Если ping до узлов в Интернете по IP-адресам проходит, а до доменных имен – нет, то это указывает на наличие проблемы со службой DNS.
Полезные ссылки
Онлайн-курсы по MikroTik
- Администрирование сетевых устройств MikroTik
- Файрвол и приоритизация трафика на MikroTik
- Маршрутизация на MikroTik
- Коммутация на MikroTik
Онлайн-курсы по сетям
- Математика и физика в сетевых технологиях
- Архитектура современных компьютерных сетей
- Устройство, проектирование и диагностика беспроводных сетей IEEE 802.11 (Wi-Fi)
Telegram-каналы
Telegram-чат
Прочее