Mikrotik NAT HOWTO

[Itmy]

This is a short howto explaining how to set up a full-NAT on a Mikrotik RouterOS.

This setup lets you hide your private ip from the public network. This means that in your private network you can have whatever private ip you want which is translated to the public network ip given to you by your network provider.

Suppose you are 192.168.1.2/24 (Private)
Your RouterBoard's Ethernet card is 192.168.1.1/24 (Private)
Your RouterBoard's Wireless card is 10.140.1.30/26 (Public)
The Access Point You connect to is 10.140.1.1/26 (Public)

Enabling full-NAT is like the DMZ feature on the dsl-routers.
It is also an alternative to having a bridge wireless device (no special routes required). The routerboard cannot be accessed from the public network (with this exact configuration) as everything is forwarded to the pc in the private netwrok.

The following instructions are for a private network with 1 pc only. Further instructions for multiple pirvate network pcs will come soon.

Here is how you do it.

Specify the ip addresses:




Fix the static routes so you can access the network:





Start building the NAT:





DST-NAT:





SRC-NAT:





NAT COMPLETED:



Reference: http://www.mikrotik.com/testdocs/ros/2. ... /howto.pdf

[trv]

Καλα, γιατι να μη κανεις masquerade?

επισης καλο ειναι να μπει και το clamp mss to pmtu για να μην υπαρχουν διαφορα περιεργα κολληματα, ειδικα αν το ιδιο mk σηκωνει dsl με pppoe


edit: τωρα που το σκευτομαι αφου δεν ειναι δυναμικη η ip δε χρειαζεται να κανεις masq, οκ ειναι και το snat

προσοχη οταν ειναι δυναμικη, δε θα παιξει ετσι...

[neoplan]

...The following instructions are for a private network with 1 pc only...

Είδα αυτό που λες σε έναν οδηγό:

By djneoplan

Όταν είσαι στη σελίδα NAT-rules και πατήσεις new NAT rule, αν προσθέσει τις δύο αντίστοιχες καταχωρήσεις για ένα δεύτερο PC του υποδικτύου με την αντίστοιχη εξωτερική και εσωτερική IP, δεν θα δουλέψει??
Ή δεν είναι τόσο απλό το θέμα?

[tweety]

Το πρόβλημα είναι ότι έχεις μια εξωτερική Ip (όπως και στο παράδειγμαπου αναφέρεις) και όχι δύο (ή περισσότερες ή ολόκληρο subnet). Με το howto του itmy ολόκληρη η κίνηση που πάει στο routerboard προωθείται transparently στο κάτω pc. Eπιλεκτική κίνηση μπορεί να δρομολογείται σε πολλά pc (ΝΑΤ). Αυτό που θες εσύ είναι 2 pc να βγαίνουν ολόκληρα (όλες οι ports) στο wifi. Αυτό γίνεται πολύ απλά αν σου παραχωρήσει ο ap holder ενα subnet και βάλει το αντίστοιχο route, αλλιώς σου έδινα κι εγώ ένα subnet ). To αν γίνεται με NAT στο mikrotiki δεν το έχω ψάξει, plz όποιος γνωρίζει να το ποστάρει.

[Memphis]

Επειδή και εγώ είχα δύο pc και ήθελα να τα συνδέσω στο δίκτυο χωρίς subnet μετά από αρκετό παιχνίδι με τις ρυθμίσεις του Mikrotik πρέπει να γίνει η εξής διαδικασία.
Το πρώτο pc το συνδέουμαι στο δίκτυο σύμφωνα με τον οδηγό.Για το δεύτερο pc πρέπει να δώσουμε διαφορετική ether1 IP στο Mikrotik και διαφορετική wlan1 IP.

Στον οδηγό θεωρούμε πως το pc1 μας έχει IP 192.168.1.2/24. 192.168.1.1/24 η ether1 IP του routerboard, 10.140.1.30/26 η wlan1 IP του routerboard και 10.140.1.1/26 το access point.

Για να συνδέσουμε ένα δεύτερο pc δίνουμε 192.168.1.4/24 στο pc2, 192.168.1.3/24 δεύτερη IP ether1, 10.140.1.31/26 δεύτερη wlan1 IP.

Το στατικό route στο Mikrotik παραμένει το ίδιο.

Φτιάχνουμε καινούρια rules στο NAT όπως στον οδηγό αλλά πλέον με τις καινούριες IP.

Δίνουμε το static route στο pc2:

route add 10.0.0.0 mask 255.0.0.0 192.168.1.3 -p

Και όλα είναι έτοιμα!
Το δεύτερο pc συνδέεται κανονικά στο δίκτυο με τη δικιά του IP.Το μόνο που χρειάζεται είναι μια δεύτερη IP από τον διαχειριστή του access point.

Για τρίτο pc δεν έχω δοκιμάσει αλλά αφού δουλεύει για δύο υποθέτω πως θα λειτουργεί και για τρία με διαφορετική lan και wan IP στο Mikrotik.

Ο οδηγός δεν είναι και πολύ λεπτομερείς, καταλαβαίνω.θα ανεβάσω και φωτογραφίες μόλις μπορέσω να φαίνονται και τα μενού.

Neo για οποιαδήποτε απορία θα τα πούμε στο κανάλι!

[neoplan]

Η ερώτηση τίθεται ξανά.
Αν έχεις στο lan το δίκτυο π.χ. 192.168.0.0/24 και στο wlan1 έχεις πάρει ip π.χ. 10.140.0.1 γιατί απλά να μη βάλεις το παρακάτω rule στο firewall?

Code: Select all

chain=srcnat action=masquerade src-address=192.168.0.0/24 
     out-interface=wlan1

Την ίδια δουλειά δε θα κάνει?

[grigoris]

Αυτο που λες αρκει (και δε χρειαζεται καν να βαλεις το out-interface=wlan1
Ο router σου ξερει που θα βρει τις connected ips)
Απλα αυτο που εγραψε ο itmy εχει μαλλον λαθος τιτλο..
Στην πρωτη σειρα γραφει τι ακριβως ειναι: how to set up a full-NAT... full-NAT οχι απλο ΝΑΤ οπως στους dsl-routers
επισης και το DMZ που γραφει ειναι σωστο.
Να προσθεσω οτι ετσι ακριβως γινεται και το port forwarding στο mikrotik (για οσους παιρνουν internet απο τον router τους) αρκει αντι για 0-65535 να βαλουν την port που τους ενδιαφερει.