101 Pasos para hacer un Nat
Los 101 pasos para hacer un nat en Mikrotik
NAT (Network Address Translation)
Nat es una tecnica muy usada para ahorrar direcciones ipv4 y poder conectar multiples hosts usando una sola ip publica ,tambien es una medida de seguridad ya que las redes nateadas no son visibles desde internet y en teoria no podrian ser accedidas desde internet.
Como funciona el Nat
Hay distintos tipos de nat
- NAT estatico
- NAT dinamico
- NAT de sobrecarga
En este caso tomaremos como ejemplo el nat de sobrecarga o tambien conocido como PAT (Port Address Translation) es el mas usado ya que es utilizado en clientes como hogares o empresas es una tecnica que usan los proveedores de servicio como ISP o WISP ya que usando una sola ip en nuestra red podemos conectar multiples hosts ahorrando nuestras direciones ipv4 ya que asi tengan muchas redes bajo el nat todo el trafico que salga hacia internet saldra con la ip wan que nosotros le asignemos.
Para que esto funcione el router dispone de 65.535 puertos para establecer conexiones, de este modo cuando una computadora requiere establecer una conexion con un servidor hacia internet como pagina web o algun serivicio en la nube el router guarda su ip privada y el puerto de origen y lo asocia a la ip publica y un puerto al azar ,cuando el router resive la informacion a ese puerto elegido al azar comprueba la tabla del connection tracking y lo reenvia a la ip privada y al puerto que corresponda.
Pasos para realizar un nat de sobrecaraga en RouterOS
En este caso haremos un nat de sobrecarga el cual tendra el siguiente esquema con las siguientes ips asignadas
Teniendo estos datos procedemos a realizar el nat
Paso 1
Primero identificamos el dispositivo a configurar
Paso 2
Agregamos la ip wan que vendria ser para el cliente tomando enfasis en el puerto de salida que vendria ser el puerto donde ira conectado el proveedor
Paso 2.1
En caso se requiera que barios puertos esten bajo nat y no solo el ether 2 sino tambien el ether 3,4,5,6,7 etc se tendra que hacer un bridge nos bamos a la opcion bridge y precionamos el signo + en name nos pedira el nombre del Bridge el cual puede ser el que gustes en mi caso lo dejare como esta y luego le damos aplicar y ok
Bridge = agrupacion de puertos de forma loguica se usa para extender redes
Paso 2.2
Se le agrega los puertos que uno desee en mi caso agregare todos los puertos excepto el puerto asignado a la wan nos bamos a la pestaña port y precionamos el signo + y agregamos los puertos
Interface : hace referencia a los puertos que deseemos agrupar en nuestro bridge
Bridge : seleccionamos a que bridge queremos asociar ese puerto
se repite la accion para agregar otros puertos al bridge
Paso 2.3
Esta ves se crea la red lan de igual porma que se hizo la primera ves con la diferencia que esta ves se elije la interface bridge esto hara que todos los puertos dentro del bridge esten sujetos al nat, en nuestro caso trabajaremos con la interface bridge en nuestra configuracion
Esta ves se crea la red lan de igual porma que se hizo la primera ves con la diferencia que esta ves se elije la interface bridge esto hara que todos los puertos dentro del bridge esten sujetos al nat, en nuestro caso trabajaremos con la interface bridge en nuestra configuracion
NOTA = etiquetar siempre los puertos y las reglas esto ayudara a mantener el orden y la organizacion de tu red.
Paso 3
Luego de haber elegido las internfaces y la ip wan y lan nos iremos a ip/route para crear la ruta default hacia nuestro gateway al entrar a la ventana de Route List veremos 2 marcas de ruteo dinamicas las dos relacionadas a nuestras redes creadas en nuestro router
Añadimos una nueva marca de ruteo indicando los siguientes parametros
Dst.Address : 0.0.0.0/0 (esto indica a todas las direcciones destinos fuera del router)
Gateway : 172.16.16.1 (esto indica la puerta de enlace del proveedor)
la interface se seleccionara automaticamente dependiendo en que interface esta el segmento wan , le damos aplicar y ok
Paso 4
Enmascarmos todo el trafico que salga por la interface wan para que pueda salir con la ip publica, nos dirigimos a ip/firewall/nat
Srcnat : hace referencia al origen de las redes que seran nateadas
Out.Interface : especifica la interface de salida del trafico hacia internet (la interface wan del cliente)
Action : Se elige la accion que se requiere realizar, en esta ocacion se seleccionara Masquedare esto nos permitira enmascarar todo nuestro trafico que salga por la ether1 (con una sola ip publica)
Paso 5
Ahora configuraremos los dns que nos ayudaran a resolver de nombre de moninios a direcciones ip y viseversa en este caso colocaremos los dns de google ya que son los mas rapidos hasta el momento
Un detalle muy importante si su mikrotik tiene una ip publica no activar la opcion Allow Remote Requests ya que esta obcion guarda en cache las resoluciones de dominio para que no buelvan a consultarse hacia internet reduciendo el tiempo de respuesta para el ususario pero tambien al activar esta obcion publica su router como un servidor de dominio, el cual puede ser usado por cualquier persona del mundo y puede ser victima de ataques desde intenet,una de las pistas mas notorias es que los routers atacados suelen tener mucho consumo en la interface wan aun asi no haiga nadie conectado a la red
- DNS primario : 8.8.8.8
- DNS segundario : 8.8.4.4
Un detalle muy importante si su mikrotik tiene una ip publica no activar la opcion Allow Remote Requests ya que esta obcion guarda en cache las resoluciones de dominio para que no buelvan a consultarse hacia internet reduciendo el tiempo de respuesta para el ususario pero tambien al activar esta obcion publica su router como un servidor de dominio, el cual puede ser usado por cualquier persona del mundo y puede ser victima de ataques desde intenet,una de las pistas mas notorias es que los routers atacados suelen tener mucho consumo en la interface wan aun asi no haiga nadie conectado a la red
Paso 6
Creamos un servidor dhcp dinamico para la red cliente, para que los clientes al conectarse a la red el mikoritk les suministre recursos de red para que puedan tener acceso a la red y a internet
Creamos un servidor dhcp dinamico para la red cliente, para que los clientes al conectarse a la red el mikoritk les suministre recursos de red para que puedan tener acceso a la red y a internet
Añadimos a la interface a quien le queremos dar el servicio dhcp, en nuestro caso sera a la interface cliente que es el bridge. le damos next
Nos mostrara el segmento de red de los clientes. le damos next
Nos mencionara la puerta de enlace prederterminada para los clientes. le damos next
Nos mencionara el rango de ips que estaran disponibles en el dhcp para los clientes. le damos next
Nos mensionara los dns que ya previamente configurados en el equipo. le damos next
Nos mensionara el tiempo que guardara la relacion de una ip con la direccion mac del cliente, por mensionar un ejemplo, cuando el dhcp asigne una ip a algun cliente esta ip sera guardada exclusivamente para ese cliente durante 10 horas como se muestra en la imagen, luego de eso el dhcp server olvidara la relacion y podra asignar a otro equipo esa ip, el tiempo es modificable dependiendo el escenario, en un lugar publico el tiempo puede ponerse menor o en una oficina o hogar puede ser mayor, en nuestro caso pondremos que sera de 10 horas.
Una ves terminado nos saldra esta ventana el cual nos indicara que nuestro dhcp ya esta levantado y esta asignado a la interface Bridge.
En caso se tenga un servidor de monitoreo se habilitara el servicio del Snmp como se muestra en al imagen ip/snmp
Se configura el sntp cliente esto nos ayudara para que el router este sicronizado con un servidor de hora y pueda reportarnos los log a la hora correcta para un previo analisis mejor ante algun incidente en el router en este caso usaremos servidores que estan en nuestra zona horaria pero en caso se requiera otros de otras regiones se pueden usar algunos que estan publicados en esta pagina web https://www.ntppool.org/es/ en nuestro caso usaremos las ips de la hora oficial del ecuador.
- NTP Priemario : 200.89.75.197
- NTP Segundario : 190.15.128.72
Palomiamos Enable, le damos Apply y ok y se sincronizara con los servidores.
Con esto abriamos terminado nuestro nat solo nos queda comprobar que esta configuracion funcione conectamos un cliente a un puerto que este dentro del bridge (ether5) y vemos que ya tiene acceso a internet y que todo el trafico sale por la interface wan (ether1)
Dejo el script de la configuracion realizada para mayor facilidad de la configuracion o analisis previo de parte de ustedes.
/interface bridge
add name=bridge1
/ip pool
add name=dhcp_pool0 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
add name=dhcp_pool1 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/tool user-manager customer
set admin access=\
own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip address
add address=172.16.16.89/24 comment="Red Wan" interface=ether1 network=\
172.16.16.0
add address=172.16.50.30/24 comment="Red Lan" interface=bridge1 network=\
172.16.50.0
/ip dhcp-server network
add address=172.16.50.0/24 gateway=172.16.50.30
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add comment=Gateway distance=1 gateway=172.16.16.1
/snmp
set contact=soporte enabled=yes
/system clock
set time-zone-name=America/Lima
/system ntp client
set enabled=yes primary-ntp=200.89.75.197 secondary-ntp=190.15.128.72
/tool user-manager database
set db-path=user-manager
Buen aporte , me sirvio mucho para implementarlo , Buena guia , Saludos desde alguna parte del mundo :D
ResponderEliminarBuenos dias Doctor Gerson gracias por los animos, hare mas guias en transcurso de los dias para motivar el aprendisaje de las personas interesadas en el tema, saludos desde Andalasia :v
EliminarEstoy enamorado de este blog
Eliminaralguna forma de conectarme a las antenas por redireccion de puertos desde NAT??, puedes hacer un tutotial?
EliminarMuchas gracias por darte el tiempo de leer mis posts :) en relacion ha tu pregunta te refieres ha poder entrar a tus equipos internos con tan solo tener una sola ip publica usando la tecnica del forwarding, esto ya esta escrito lo tengo en este articulo http://rizolatti.blogspot.com/2017/10/forwarding-mikortik.html donde explico como redireccionar puertos para poder publicar hacia internet tus equipos que estan dentro de tu red lan y poder verlos desde internet.
EliminarPuedo configurar dos nat.en un mikrotik para q haga como un balanceo de carga una lan q salga por wan1 y cuando no funcione wan 1 q salga por wan 2
ResponderEliminar