Mikrotik NAT HOWTO

Συζήτηση γύρω από θέματα λογισμικού
Post Reply
User avatar
Itmy
AMD Athlon
Posts: 893
Joined: Thu Mar 08, 2007 12:17 am
PWMN Wind Node ID: 108
Location: Itmy Territory
Contact:

Mikrotik NAT HOWTO

Post by Itmy »

This is a short howto explaining how to set up a full-NAT on a Mikrotik RouterOS.

This setup lets you hide your private ip from the public network. This means that in your private network you can have whatever private ip you want which is translated to the public network ip given to you by your network provider.

Suppose you are 192.168.1.2/24 (Private)
Your RouterBoard's Ethernet card is 192.168.1.1/24 (Private)
Your RouterBoard's Wireless card is 10.140.1.30/26 (Public)
The Access Point You connect to is 10.140.1.1/26 (Public)
Image
Enabling full-NAT is like the DMZ feature on the dsl-routers.
It is also an alternative to having a bridge wireless device (no special routes required). The routerboard cannot be accessed from the public network (with this exact configuration) as everything is forwarded to the pc in the private netwrok.

The following instructions are for a private network with 1 pc only. Further instructions for multiple pirvate network pcs will come soon.

Here is how you do it.

Specify the ip addresses:
Image

Image

Fix the static routes so you can access the network:
Image

Image


Start building the NAT:
Image

Image


DST-NAT:
Image

Image


SRC-NAT:
Image

Image


NAT COMPLETED:
Image


Reference: http://www.mikrotik.com/testdocs/ros/2. ... /howto.pdf
Last edited by Itmy on Mon Jun 18, 2007 11:53 am, edited 1 time in total.
Death to all Fanatics

trv
486
Posts: 291
Joined: Mon Mar 12, 2007 2:47 pm
PWMN Wind Node ID: 0

Post by trv »

Καλα, γιατι να μη κανεις masquerade?

επισης καλο ειναι να μπει και το clamp mss to pmtu για να μην υπαρχουν διαφορα περιεργα κολληματα, ειδικα αν το ιδιο mk σηκωνει dsl με pppoe


edit: τωρα που το σκευτομαι αφου δεν ειναι δυναμικη η ip δε χρειαζεται να κανεις masq, οκ ειναι και το snat :)

προσοχη οταν ειναι δυναμικη, δε θα παιξει ετσι...

User avatar
neoplan
Pentium IV
Posts: 1058
Joined: Mon Oct 08, 2007 10:55 pm
PWMN Wind Node ID: 188

Re: Mikrotik NAT HOWTO

Post by neoplan »

Itmy wrote:...The following instructions are for a private network with 1 pc only...


Είδα αυτό που λες σε έναν οδηγό:
Image
By djneoplan

Όταν είσαι στη σελίδα NAT-rules και πατήσεις new NAT rule, αν προσθέσει τις δύο αντίστοιχες καταχωρήσεις για ένα δεύτερο PC του υποδικτύου με την αντίστοιχη εξωτερική και εσωτερική IP, δεν θα δουλέψει??
Ή δεν είναι τόσο απλό το θέμα?
Old Services by neoplan: http://proxy.pwmn || http://services.pwmn || http://clips.pwmn
http://movies.pwmn || http://dude.pwmn || http://hotspot.pwmn
other services: fakebook.pwmn, dc.pwmn, irc.pwmn, ntp.pwmn

User avatar
tweety
486
Posts: 275
Joined: Sat Mar 10, 2007 2:33 am
PWMN Wind Node ID: 101

Post by tweety »

Το πρόβλημα είναι ότι έχεις μια εξωτερική Ip (όπως και στο παράδειγμαπου αναφέρεις) και όχι δύο (ή περισσότερες ή ολόκληρο subnet). Με το howto του itmy ολόκληρη η κίνηση που πάει στο routerboard προωθείται transparently στο κάτω pc. Eπιλεκτική κίνηση μπορεί να δρομολογείται σε πολλά pc (ΝΑΤ). Αυτό που θες εσύ είναι 2 pc να βγαίνουν ολόκληρα (όλες οι ports) στο wifi. Αυτό γίνεται πολύ απλά αν σου παραχωρήσει ο ap holder ενα subnet και βάλει το αντίστοιχο route, αλλιώς σου έδινα κι εγώ ένα subnet 8) ). To αν γίνεται με NAT στο mikrotiki δεν το έχω ψάξει, plz όποιος γνωρίζει να το ποστάρει.

Memphis
Intel 8088
Posts: 46
Joined: Thu Apr 19, 2007 4:33 pm

Post by Memphis »

Επειδή και εγώ είχα δύο pc και ήθελα να τα συνδέσω στο δίκτυο χωρίς subnet μετά από αρκετό παιχνίδι με τις ρυθμίσεις του Mikrotik πρέπει να γίνει η εξής διαδικασία.
Το πρώτο pc το συνδέουμαι στο δίκτυο σύμφωνα με τον οδηγό.Για το δεύτερο pc πρέπει να δώσουμε διαφορετική ether1 IP στο Mikrotik και διαφορετική wlan1 IP.

Στον οδηγό θεωρούμε πως το pc1 μας έχει IP 192.168.1.2/24. 192.168.1.1/24 η ether1 IP του routerboard, 10.140.1.30/26 η wlan1 IP του routerboard και 10.140.1.1/26 το access point.

Για να συνδέσουμε ένα δεύτερο pc δίνουμε 192.168.1.4/24 στο pc2, 192.168.1.3/24 δεύτερη IP ether1, 10.140.1.31/26 δεύτερη wlan1 IP.

Το στατικό route στο Mikrotik παραμένει το ίδιο.

Φτιάχνουμε καινούρια rules στο NAT όπως στον οδηγό αλλά πλέον με τις καινούριες IP.

Δίνουμε το static route στο pc2:

route add 10.0.0.0 mask 255.0.0.0 192.168.1.3 -p

Και όλα είναι έτοιμα!
Το δεύτερο pc συνδέεται κανονικά στο δίκτυο με τη δικιά του IP.Το μόνο που χρειάζεται είναι μια δεύτερη IP από τον διαχειριστή του access point.

Για τρίτο pc δεν έχω δοκιμάσει αλλά αφού δουλεύει για δύο υποθέτω πως θα λειτουργεί και για τρία με διαφορετική lan και wan IP στο Mikrotik.

Ο οδηγός δεν είναι και πολύ λεπτομερείς, καταλαβαίνω.θα ανεβάσω και φωτογραφίες μόλις μπορέσω να φαίνονται και τα μενού.

Neo για οποιαδήποτε απορία θα τα πούμε στο κανάλι!

User avatar
neoplan
Pentium IV
Posts: 1058
Joined: Mon Oct 08, 2007 10:55 pm
PWMN Wind Node ID: 188

Re: Mikrotik NAT HOWTO

Post by neoplan »

Η ερώτηση τίθεται ξανά.
Αν έχεις στο lan το δίκτυο π.χ. 192.168.0.0/24 και στο wlan1 έχεις πάρει ip π.χ. 10.140.0.1 γιατί απλά να μη βάλεις το παρακάτω rule στο firewall?

Code: Select all

chain=srcnat action=masquerade src-address=192.168.0.0/24 
     out-interface=wlan1
Την ίδια δουλειά δε θα κάνει?
Old Services by neoplan: http://proxy.pwmn || http://services.pwmn || http://clips.pwmn
http://movies.pwmn || http://dude.pwmn || http://hotspot.pwmn
other services: fakebook.pwmn, dc.pwmn, irc.pwmn, ntp.pwmn

User avatar
grigoris
AMD Athlon
Posts: 951
Joined: Mon Mar 12, 2007 12:25 pm
PWMN Wind Node ID: 74
Contact:

Re: Mikrotik NAT HOWTO

Post by grigoris »

Αυτο που λες αρκει (και δε χρειαζεται καν να βαλεις το out-interface=wlan1
Ο router σου ξερει που θα βρει τις connected ips)
Απλα αυτο που εγραψε ο itmy εχει μαλλον λαθος τιτλο..
Στην πρωτη σειρα γραφει τι ακριβως ειναι: how to set up a full-NAT... full-NAT οχι απλο ΝΑΤ οπως στους dsl-routers
επισης και το DMZ που γραφει ειναι σωστο.
Να προσθεσω οτι ετσι ακριβως γινεται και το port forwarding στο mikrotik (για οσους παιρνουν internet απο τον router τους) αρκει αντι για 0-65535 να βαλουν την port που τους ενδιαφερει.

Post Reply