RIZOLATTI

agosto 03, 2018

101 PASOS PARA HACER UN NAT

—

Los 101 pasos para hacer un nat en Mikrotik

NAT (Network Address Translation)

Nat es una tecnica  muy usada para ahorrar  direcciones ipv4 y poder conectar multiples hosts  usando una sola ip
publica  ,tambien es una medida de seguridad ya que las redes nateadas no son visibles desde internet y en
teoria no podrian ser accedidas desde internet.

Como funciona el Nat

Hay distintos tipos de nat

NAT  estatico
NAT dinamico
NAT  de sobrecarga

En este  caso tomaremos como ejemplo el nat de sobrecarga  o tambien conocido como PAT (Port Address
Translation) es el mas usado  ya que es utilizado en clientes como hogares o empresas es una tecnica que  usan
los proveedores de servicio como ISP o WISP  ya que usando una sola ip  en nuestra red podemos  conectar
multiples  hosts  ahorrando nuestras  direciones ipv4  ya que asi tengan muchas redes  bajo el nat   todo el tra co
que  salga hacia internet saldra con la ip wan que nosotros le asignemos.
 

Para  que esto funcione  el router dispone de  65.535 puertos para establecer conexiones, de este modo cuando 
una   computadora  requiere establecer una conexion  con un servidor hacia internet como pagina web o  algun
serivicio en la nube  el router guarda su ip privada  y el puerto  de origen y lo asocia a la ip publica  y un puerto al
azar ,cuando  el router resive la informacion  a ese puerto elegido al azar comprueba la tabla  del connection
tracking  y lo reenvia  a la ip privada  y al puerto  que  corresponda.

Pasos para realizar un nat  de sobrecaraga en  RouterOS

En este caso   haremos un  nat  de sobrecarga   el cual tendra el siguiente esquema  con las  siguientes ips
asignadas

Teniendo estos datos procedemos a realizar  el nat

Paso 1
 
Primero identi camos  el dispositivo a con gurar
 

Paso 2

Agregamos la ip wan  que vendria ser  para el cliente tomando enfasis en el puerto de salida que vendria  ser el
puerto donde ira conectado el proveedor
Agregamos la ip lan  para el cliente teniendo en cuenta el puerto a donde este se asigne ya que solo se limitara a
natear  todos los dispositivos  que esten  conectados directamente a ese puerto en este caso todos los
dispositivos  que esten  conectados al ether2

  

Paso 2.1

En caso  se requiera que barios puertos  esten bajo nat y no solo el ether 2  sino tambien el ether 3,4,5,6,7 etc  se
tendra  que  hacer un  bridge  nos bamos a la opcion bridge  y precionamos el signo +  en name nos pedira el
nombre del Bridge el cual puede ser  el que gustes  en mi caso lo dejare  como esta  y luego le damos aplicar y ok
Bridge = agrupacion de puertos de forma loguica  se usa para extender redes

Paso 2.2

Se le agrega los puertos que uno desee en mi caso agregare todos los puertos excepto el puerto asignado a la
wan  nos bamos a la pestaña port y precionamos  el signo +  y agregamos los puertos

Interface : hace referencia a los puertos que deseemos agrupar en nuestro bridge
Bridge :  seleccionamos  a que bridge queremos asociar ese puerto

se repite la accion para agregar otros puertos al bridge

 
Paso 2.3

Esta ves se crea la red lan de igual porma que se hizo la primera ves  con la diferencia que esta ves   se elije la
interface bridge  esto hara que todos los puertos dentro del bridge  esten sujetos al nat, en nuestro caso 
trabajaremos con  la interface bridge en nuestra con guracion

NOTA = etiquetar siempre los puertos  y las reglas esto ayudara a mantener el orden  y la organizacion de tu red.

Paso 3

Luego de haber elegido las internfaces y la ip  wan y lan nos iremos a ip/route para  crear la ruta default hacia
nuestro gateway al entrar a la ventana  de Route List veremos   2 marcas de ruteo dinamicas las dos relacionadas
a nuestras redes creadas en nuestro router
Añadimos  una nueva marca de ruteo  indicando los siguientes parametros

Dst.Address : 0.0.0.0/0 (esto indica a todas las direcciones destinos fuera del router)
Gateway      : 172.16.16.1 (esto indica  la puerta de enlace del proveedor) 

la interface  se  seleccionara automaticamente dependiendo en que interface esta el segmento wan , le damos  
aplicar y ok 

Paso 4
Enmascarmos  todo el tra co que salga  por la interface wan para que pueda salir con la ip publica, nos dirigimos
a   ip/ rewall/nat 

Srcnat            : hace referencia al  origen  de las redes que seran nateadas

Out.Interface :  especi ca la interface de salida del tra co hacia internet (la interface wan del cliente)

Action :  Se elige la accion que  se requiere realizar,  en esta ocacion se  seleccionara Masquedare esto nos
permitira enmascarar todo nuestro tra co que salga por la ether1 (con una sola ip  publica)
 

Paso 5

Ahora  con guraremos los dns que nos ayudaran a resolver  de nombre de moninios a direcciones ip y viseversa
en este caso colocaremos los dns de google  ya que son los mas rapidos hasta el momento

DNS primario     : 8.8.8.8

DNS segundario : 8.8.4.4

Un detalle muy importante si su mikrotik tiene una ip publica no activar la opcion Allow Remote Requests ya que
esta obcion guarda  en cache las resoluciones de dominio para que no  buelvan a consultarse hacia internet
reduciendo el tiempo de respuesta para el ususario pero tambien al activar esta obcion publica su router como un
servidor de dominio, el cual puede ser usado  por cualquier persona del mundo  y puede ser victima de ataques
desde intenet,una de las pistas mas notorias  es que los routers atacados suelen tener  mucho consumo en la
interface wan  aun asi no haiga nadie conectado a la red
 

Paso 6

Creamos un servidor dhcp dinamico para  la red cliente, para que  los clientes  al conectarse a la red el mikoritk
les suministre recursos de red para que puedan  tener acceso a la red y a internet
Añadimos  a la interface  a quien le queremos dar el servicio dhcp, en nuestro caso sera a la interface cliente
que  es el bridge. le damos next

Nos mostrara el segmento de red de los clientes.   le damos next

Nos  mencionara  la puerta de enlace prederterminada para los clientes.  le damos next

Nos mencionara  el rango  de ips que estaran disponibles en el dhcp para los clientes. le damos next
Nos mensionara los dns que ya previamente con gurados  en  el equipo. le damos next

Nos mensionara el tiempo que guardara la relacion  de una ip con la direccion mac del cliente, por mensionar
un ejemplo, cuando el dhcp asigne una ip a algun cliente esta ip sera guardada exclusivamente para ese cliente
durante  10 horas como se muestra en la imagen, luego de eso el dhcp server olvidara la relacion y  podra asignar
a otro equipo esa ip, el tiempo es modi cable dependiendo  el escenario, en un  lugar publico  el  tiempo puede 
ponerse menor o en una o cina o hogar puede ser mayor, en nuestro caso pondremos que sera de 10 horas.

 Una ves terminado nos saldra esta  ventana  el cual nos indicara que nuestro  dhcp  ya esta levantado y esta
asignado a la interface Bridge.
 

En caso  se tenga un servidor de monitoreo se habilitara el  servicio del Snmp como se muestra en al imagen
ip/snmp

Se con gura el  sntp cliente  esto nos ayudara  para que el router este sicronizado con un servidor de hora y
pueda reportarnos los log a la  hora correcta  para  un  previo analisis mejor ante algun incidente en el router en
este caso usaremos servidores   que estan en nuestra zona horaria  pero en caso se requiera otros  de otras
regiones se pueden usar  algunos que estan  publicados en esta pagina web https://www.ntppool.org/es/ en
nuestro caso usaremos las ips de la hora o cial del ecuador.
 NTP Priemario     : 200.89.75.197
NTP Segundario   :  190.15.128.72

Palomiamos  Enable, le damos Apply y ok  y se sincronizara   con los servidores. 

Con esto  abriamos terminado nuestro nat solo nos queda comprobar  que esta con guracion  funcione
conectamos un cliente  a un puerto que este dentro del bridge (ether5)  y  vemos que ya tiene acceso a internet 
y que todo el tra co sale por la interface wan (ether1)

Dejo el script de la con guracion realizada para mayor  facilidad de la con guracion  o analisis previo de parte de
ustedes.

 /interface bridge
add name=bridge1
/ip pool
add name=dhcp_pool0 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
add name=dhcp_pool1 ranges=172.16.50.1-172.16.50.29,172.16.50.31-172.16.50.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-pro les,own-limits,con g-payment-gw
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/ip address
add address=172.16.16.89/24 comment="Red Wan" interface=ether1 network=\
    172.16.16.0
add address=172.16.50.30/24 comment="Red Lan" interface=bridge1 network=\
    172.16.50.0
/ip dhcp-server network
add address=172.16.50.0/24 gateway=172.16.50.30
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip rewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add comment=Gateway distance=1 gateway=172.16.16.1
/snmp
set contact=soporte enabled=yes
/system clock
set time-zone-name=America/Lima
/system ntp client
set enabled=yes primary-ntp=200.89.75.197 secondary-ntp=190.15.128.72
/tool user-manager database
set db-path=user-manager

Compartir

Etiquetas: MiKroTik

Ubicación: Malecón de la Reserva 610, Mira ores Lima 18, Perú

COMENTARIOS

Gerson De La Cruz 8 de agosto de 2018, 21:22

Buen aporte , me sirvio mucho para implementarlo , Buena guia , Saludos desde alguna parte del
mundo :D

Rizolatti 9 de agosto de 2018, 9:31

 Buenos dias Doctor Gerson gracias por los animos, hare mas guias en transcurso de los dias
para motivar el aprendisaje de las personas interesadas en el tema, saludos desde Andalasia :v

Rn Santana 9 de febrero de 2019, 19:35

Estoy enamorado de este blog

Rn Santana 10 de febrero de 2019, 19:37

alguna forma de conectarme a las antenas por redireccion de puertos desde NAT??, puedes
hacer un tutotial?

Rizolatti 11 de febrero de 2019, 8:27

Muchas gracias por darte el tiempo de leer mis posts :) en relacion ha tu pregunta te re eres
ha poder entrar a tus equipos internos con tan solo tener una sola ip publica usando la tecnica
del forwarding, esto ya esta escrito lo tengo en este articulo
http://rizolatti.blogspot.com/2017/10/forwarding-mikortik.html donde explico como
redireccionar puertos para poder publicar hacia internet tus equipos que estan dentro de tu
red lan y poder verlos desde internet.

RESPONDER

Introduce tu comentario...

ENTRADAS POPULARES
octubre 21, 2017

BALANCEO DE CARGA MIKROTIK DIFERENTES VELOCIDADES

Compartir 9 comentarios
octubre 23, 2017

REDIRECCION DE TRAFICO POR UNA LINEA WAN

Compartir 10 comentarios

Con la tecnología de Blogger

Imágenes del tema: Anna Williams