101 Pasos para hacer un Nat

Los 101 pasos para hacer un nat en Mikrotik

NAT (Network Address Translation)

Nat es una tecnica  muy usada para ahorrar  direcciones ipv4 y poder conectar multiples hosts  usando una sola ip publica  ,tambien es una medida de seguridad ya que las redes nateadas no son visibles desde internet y en teoria no podrian ser accedidas desde internet.

Como funciona el Nat

Hay distintos tipos de nat

• NAT  estatico
• NAT dinamico
• NAT  de sobrecarga

En este  caso tomaremos como ejemplo el nat de sobrecarga  o tambien conocido como PAT (Port Address Translation) es el mas usado  ya que es utilizado en clientes como hogares o empresas es una tecnica que  usan los proveedores de servicio como ISP o WISP  ya que usando una sola ip  en nuestra red podemos  conectar multiples  hosts  ahorrando nuestras  direciones ipv4  ya que asi tengan muchas redes  bajo el nat   todo el trafico que  salga hacia internet saldra con la ip wan que nosotros le asignemos.

 

Para  que esto funcione  el router dispone de  65.535 puertos para establecer conexiones, de este modo cuando  una   computadora  requiere establecer una conexion  con un servidor hacia internet como pagina web o  algun serivicio en la nube  el router guarda su ip privada  y el puerto  de origen y lo asocia a la ip publica  y un puerto al azar ,cuando  el router resive la informacion  a ese puerto elegido al azar comprueba la tabla  del connection tracking  y lo reenvia  a la ip privada  y al puerto  que  corresponda.

 

 

Pasos para realizar un nat  de sobrecaraga en  RouterOS

En este caso   haremos un  nat  de sobrecarga   el cual tendra el siguiente esquema  con las  siguientes ips asignadas

Teniendo estos datos procedemos a realizar  el nat


Paso 1
 
Primero identificamos  el dispositivo a configurar

 

Paso 2

Agregamos la ip wan  que vendria ser  para el cliente tomando enfasis en el puerto de salida que vendria  ser el puerto donde ira conectado el proveedor

Agregamos la ip lan  para el cliente teniendo en cuenta el puerto a donde este se asigne ya que solo se limitara a natear  todos los dispositivos  que esten  conectados directamente a ese puerto en este caso todos los dispositivos  que esten  conectados al ether2

  

Paso 2.1

En caso  se requiera que barios puertos  esten bajo nat y no solo el ether 2  sino tambien el ether 3,4,5,6,7 etc  se tendra  que  hacer un  bridge  nos bamos a la opcion bridge  y precionamos el signo +  en name nos pedira el nombre del Bridge el cual puede ser  el que gustes  en mi caso lo dejare  como esta  y luego le damos aplicar y ok

Bridge = agrupacion de puertos de forma loguica  se usa para extender redes

 

Paso 2.2

Se le agrega los puertos que uno desee en mi caso agregare todos los puertos excepto el puerto asignado a la wan  nos bamos a la pestaña port y precionamos  el signo +  y agregamos los puertos

Interface : hace referencia a los puertos que deseemos agrupar en nuestro bridge
Bridge :  seleccionamos  a que bridge queremos asociar ese puerto

se repite la accion para agregar otros puertos al bridge

 

Paso 2.3

Esta ves se crea la red lan de igual porma que se hizo la primera ves  con la diferencia que esta ves   se elije la interface bridge  esto hara que todos los puertos dentro del bridge  esten sujetos al nat, en nuestro caso  trabajaremos con  la interface bridge en nuestra configuracion

 

NOTA = etiquetar siempre los puertos  y las reglas esto ayudara a mantener el orden  y la organizacion de tu red.

Paso 3

Luego de haber elegido las internfaces y la ip  wan y lan nos iremos a ip/route para  crear la ruta default hacia nuestro gateway al entrar a la ventana  de Route List veremos   2 marcas de ruteo dinamicas las dos relacionadas a nuestras redes creadas en nuestro router

Añadimos  una nueva marca de ruteo  indicando los siguientes parametros

Dst.Address : 0.0.0.0/0 (esto indica a todas las direcciones destinos fuera del router)

Gateway      : 172.16.16.1 (esto indica  la puerta de enlace del proveedor) 

la interface  se  seleccionara automaticamente dependiendo en que interface esta el segmento wan , le damos   aplicar y ok 

 

Paso 4

Enmascarmos  todo el trafico que salga  por la interface wan para que pueda salir con la ip publica, nos dirigimos a   ip/firewall/nat 

Srcnat            : hace referencia al  origen  de las redes que seran nateadas

Out.Interface :  especifica la interface de salida del trafico hacia internet (la interface wan del cliente)

Action :  Se elige la accion que  se requiere realizar,  en esta ocacion se  seleccionara Masquedare esto nos permitira enmascarar todo nuestro trafico que salga por la ether1 (con una sola ip  publica)

 

Paso 5

Ahora  configuraremos los dns que nos ayudaran a resolver  de nombre de moninios a direcciones ip y viseversa en este caso colocaremos los dns de google  ya que son los mas rapidos hasta el momento

• DNS primario     : 8.8.8.8
• DNS segundario : 8.8.4.4

Un detalle muy importante si su mikrotik tiene una ip publica no activar la opcion Allow Remote Requests ya que esta obcion guarda  en cache las resoluciones de dominio para que no  buelvan a consultarse hacia internet reduciendo el tiempo de respuesta para el ususario pero tambien al activar esta obcion publica su router como un servidor de dominio, el cual puede ser usado  por cualquier persona del mundo  y puede ser victima de ataques desde intenet,una de las pistas mas notorias  es que los routers atacados suelen tener  mucho consumo en la interface wan  aun asi no haiga nadie conectado a la red

 

Paso 6

Creamos un servidor dhcp dinamico para  la red cliente, para que  los clientes  al conectarse a la red el mikoritk les suministre recursos de red para que puedan  tener acceso a la red y a internet

Añadimos  a la interface  a quien le queremos dar el servicio dhcp, en nuestro caso sera a la interface cliente que  es el bridge. le damos next



Nos mostrara el segmento de red de los clientes.   le damos next



Nos  mencionara  la puerta de enlace prederterminada para los clientes.  le damos next



Nos mencionara  el rango  de ips que estaran disponibles en el dhcp para los clientes. le damos next



Nos mensionara los dns que ya previamente configurados  en  el equipo. le damos next



Nos mensionara el tiempo que guardara la relacion  de una ip con la direccion mac del cliente, por mensionar un ejemplo, cuando el dhcp asigne una ip a algun cliente esta ip sera guardada exclusivamente para ese cliente durante  10 horas como se muestra en la imagen, luego de eso el dhcp server olvidara la relacion y  podra asignar a otro equipo esa ip, el tiempo es modificable dependiendo  el escenario, en un  lugar publico  el  tiempo puede  ponerse menor o en una oficina o hogar puede ser mayor, en nuestro caso pondremos que sera de 10 horas.


 

 Una ves terminado nos saldra esta  ventana  el cual nos indicara que nuestro  dhcp  ya esta levantado y esta asignado a la interface Bridge.

 

En caso  se tenga un servidor de monitoreo se habilitara el  servicio del Snmp como se muestra en al imagen ip/snmp



Se configura el  sntp cliente  esto nos ayudara  para que el router este sicronizado con un servidor de hora y pueda reportarnos los log a la  hora correcta  para  un  previo analisis mejor ante algun incidente en el router en este caso usaremos servidores   que estan en nuestra zona horaria  pero en caso se requiera otros  de otras regiones se pueden usar  algunos que estan  publicados en esta pagina web https://www.ntppool.org/es/ en nuestro caso usaremos las ips de la hora oficial del ecuador.

• NTP Priemario     : 200.89.75.197
• NTP Segundario   :  190.15.128.72

Palomiamos  Enable, le damos Apply y ok  y se sincronizara   con los servidores. 
























Con esto  abriamos terminado nuestro nat solo nos queda comprobar  que esta configuracion  funcione conectamos un cliente  a un puerto que este dentro del bridge (ether5)  y  vemos que ya tiene acceso a internet  y que todo el trafico sale por la interface wan (ether1)


 



Dejo el script de la configuracion realizada para mayor  facilidad de la configuracion  o analisis previo de parte de ustedes.


 /interface bridge
add name=bridge1
/ip pool
add name=dhcp_pool0 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
add name=dhcp_pool1 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip address
add address=172.16.16.89/24 comment="Red Wan" interface=ether1 network=\
    172.16.16.0
add address=172.16.50.30/24 comment="Red Lan" interface=bridge1 network=\
    172.16.50.0
/ip dhcp-server network
add address=172.16.50.0/24 gateway=172.16.50.30
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add comment=Gateway distance=1 gateway=172.16.16.1
/snmp
set contact=soporte enabled=yes
/system clock
set time-zone-name=America/Lima
/system ntp client
set enabled=yes primary-ntp=200.89.75.197 secondary-ntp=190.15.128.72
/tool user-manager database
set db-path=user-manager