Mikrotik Firewall NAT configureren: DST NAT en SRC NAT

Mikrotik
/ By Jean-Pierre Krickx

🌐 Waarom NAT gebruiken op je Mikrotik router?

MikroTik firewall NAT configuratie, hoe gaat dat in zijn werk. NAT (Network Address Translation) is een standaard functie op elke Mikrotik router en speelt vervolgens een cruciale rol in moderne computer netwerken. De belangrijkste reden dat NAT is ontstaan, is het wereldwijde tekort aan IPv4-adressen. Dankzij NAT kunnen meerdere apparaten op een intern netwerk allemaal het internet op via één enkel publiek IP-adres. Door NAT toe te passen op je Mikrotik router, bescherm je niet alleen je interne netwerk tegen directe toegang van buitenaf, maar kun je ook efficiënt omgaan met beschikbare IP-adressen. Bovendien is NAT een basisvoorwaarde voor veel firewall configuraties en geavanceerde netwerk oplossingen, zoals port forwarding (DST-NAT) en masquerading (SRC-NAT). Kortom: NAT op een Mikrotik router is onmisbaar voor een veilig, schaalbaar en toekomstbestendig netwerk. Ben je nieuw met MikroTik bekijk eerst hoe je moet inloggen met Winbox en SSH, dit kan je hier bekijken.

❗️Let op:

Deze blogpost MikroTik Firewall NAT vervangt alle eerdere artikelen over NAT op deze website. Hier vind je de meest actuele uitleg over NAT instellingen op Mikrotik routers.

🔄 Twee vormen van NAT, DST-NAT en SRC-NAT

Op een Mikrotik router zijn twee belangrijke vormen van NAT, namelijk Destination NAT afgekort als DST-NAT) en Source NAT, SRC-NAT. Beide technieken hebben een eigen functie binnen je netwerk en worden voor verschillende doeleinden gebruikt. Het is belangrijk om te weten dat NAT op zich geen echte beveiligingsmaatregel is. NAT helpt wel om je interne netwerk te verbergen achter een publiek IP-adres, maar biedt geen volledige bescherming tegen aanvallen of ongewenste toegang. Wil je je netwerk echt goed beveiligen? Lees dan ook mijn uitgebreide gids: 👉 Mikrotik apparaten beveiligen: stap voor stap naar een veilig netwerk. In deze blogpost bespreken we eerst wat DST-NAT is en waarvoor je het gebruikt. Daarna leggen we uit hoe SRC-NAT werkt en hoe je deze configuratie toepast op je Mikrotik router. Zo krijg je een compleet beeld van alle NAT mogelijkheden, zodat je je firewall en netwerk slim en veilig kunt instellen.

📊 Verschillen tussen DST-NAT en SRC-NAT op een Mikrotik router

	DST-NAT	SRC-NAT
Volledige naam	Destination NAT	Source NAT
Functie	Stuurt inkomend verkeer door naar een intern apparaat	Wijzigt het bronadres van uitgaand verkeer naar het publieke IP-adres van de router
Voornaamste toepassing	Port forwarding (bv. externe toegang tot camera of server)	Internettoegang delen voor alle interne apparaten (“masquerading”)
Veelgebruikte Mikrotik-term	Port Forwarding	Masquerading
Wordt toegepast op…	Inkomende verbindingen vanuit internet	Uitgaande verbindingen vanuit intern netwerk
Belangrijk voor…	Bereikbaarheid van interne diensten	Verbinden met internet vanaf je interne netwerk

Met deze tabel zie je in een oogopslag de belangrijkste verschillen tussen DST NAT en SRC NAT op een Mikrotik router. Zodoende weet je precies wanneer je welke NAT techniek gebruikt en waarvoor ze bedoeld zijn.

🎯 Wat is DST-NAT of Port Forwarding?

DST-NAT, oftewel Destination NAT, is een veelgebruikte functie op Mikrotik routers. Met DST-NAT kun je namelijk inkomend verkeer van het internet automatisch doorsturen naar een specifiek apparaat op je interne netwerk, zoals een webserver, IP-camera, NAS of gameserver. Dit proces heet ook wel port forwarding. Ter illustratie gaan we aan de slag met een voorbeeld om je hierdoor meer inzicht te geven wat port forwarding inhoud.

✨ Voordelen van DST-NAT (Port forwarding)

Toegankelijkheid: Je kunt interne diensten, zoals een camera of server, bereikbaar maken vanaf het internet.
Flexibiliteit: Je bepaalt vervolgens zelf welk intern apparaat op welke poort bereikbaar is.
Beheer: Je kunt eenvoudig poorten open- of dichtzetten voor specifieke toepassingen.

⚠️ Nadelen van DST-NAT op MikroTik (Port forwarding)

Beveiligingsrisico: Je stelt je interne apparaat bloot aan het internet. Zonder goede firewall regels kan dit leiden tot ongewenste toegang of aanvallen.
Beheercomplexiteit: Bij veel port forwards moet je goed documenteren wat waar naartoe gaat, om verwarring of conflicten te voorkomen.

💡Tip:

Wat de veiligheid bevorderd is het wijzigen van het default IP-adres, hoe je dit kan doen in 5 stappen zie je in de blogpost: Mikrotik default IP-adres veranderen. Lees vervolgens ook de blogpost en volg stap voor stap hoe je uw MikroTik router goed beveiligd: Lees dit in deze blogpost. Wil je meer weten over de MikroTik firewall? Lees mijn blog: MikroTik firewall begrijpen.

🔍 Praktijkvoorbeeld: Port forwarding naar een fileserver in een apart subnet

Scenario:
Je wilt op afstand toegang tot een fileserver, bijvoorbeeld een NAS of een gedeelde pc via het internet. De onveilige manier is om port forwarding direct naar de fileserver in je privé netwerk bijvoorbeeld 192.168.1.100 in te stellen. Zo kan dus iedereen van buitenaf bij je gevoelige bestanden. Dit mag in geen geval gebeuren. We gaan dat immers slimmer en veiliger aanpakken. Maak een apart subnet bijvoorbeeld 192.168.10.0/24 speciaal voor apparaten die extern bereikbaar moeten zijn.

Nadat je dit hebt gedaan:

Geef je fileserver in dit subnet een vast IP-adres, bijvoorbeeld 192.168.10.10.
Stel vervolgens port forwarding in op je Mikrotik router, zodat alleen de benodigde poort, bijv. TCP 445 voor SMB, of een custom poort van je publieke IP naar 192.168.10.10 wordt doorgestuurd. Het is veiliger te werken met een custom poort. Maar dit is een voorbeeld.
Gebruik strenge firewall regels: verkeer van het server netwerk mag niet naar je privé LAN (bijvoorbeeld 192.168.1.0/24).

Voordeel:

Zelfs als je fileserver wordt gehackt, blijft je privé netwerk beschermd. Zo beperk je de risico’s en kun je port forwarding toch veilig inzetten.
Dit wil zeggen dat we dus een veilige omgeving hebben.

🛠️ Stappenplan: veilig DTS-NAT instellen op je Mikrotik router

Stel, je internetprovider geeft jou het publieke IP-adres 11.11.11.11. Je fileserver in het server subnet heeft het interne IP-adres 192.168.10.10. Wil je vanaf het internet toegang tot deze fileserver via poort 445 (voor SMB), dan maak je de volgende port forwarding regel aan in je Mikrotik router:

🛠️ Voorbeeld: Port forwarding naar een fileserver met publiek IP 11.11.11.11

Stap 1: Om te beginnen maak een apart subnet aan voor je server netwerk. Voeg vervolgens een nieuw IP-adres toe , bijvoorbeeld 192.168.10.1/24 op een vrije interface (of een VLAN, bridge). Koppel nadien je fileserver aan dit subnet, bijvoorbeeld op 192.168.10.10.

Stap 2: Maak strenge firewall regels: Zorg ervoor dat verkeer van het server subnet (192.168.10.0/24) niet naar je privé-LAN (bijvoorbeeld 192.168.1.0/24) kan, behalve als je dit expliciet toestaat. Een voorbeeld van deze firewall regel zie je hieronder.

/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=drop

Stap 3: Stel vervolgens port forwarding (DST-NAT) in. Maak een DST-NAT regel aan die inkomend verkeer op een bepaalde poort naar de fileserver in het server subnet stuurt.Voorbeeld (port 445 TCP).

/ip firewall nat add chain=dstnat dst-address=11.11.11.11 protocol=tcp dst-port=445 action=dst-nat to-addresses=192.168.10.10 to-ports=445

Voor alle duidelijkheid:

Vervang 11.11.11.11 door je eigen publieke IP-adres. Dit is het IP-adres die je router heeft gekregen van je internet service provider (wan).

Stap 4: Test van buitenaf: Probeer de fileserver te bereiken via het publieke IP adres van je router, op de juiste poort.

Stap 5: Beperk toegang verder waar mogelijk. Overweeg extra maatregelen, zoals: Alleen toegang toestaan vanaf bepaalde externe IP-adressen.
Multi factor authenticatie op je fileserver of, het liefst: werken via een VPN en geen directe poorten openzetten voor gevoelige services.

Uitleg:

dst-address=11.11.11.11 geeft aan dat alleen verkeer naar jouw publieke IP-adres wordt doorgestuurd.
dst-port=445 is de poort waarop je fileserver bereikbaar moet zijn.
to-addresses=192.168.10.10 is het interne IP van je fileserver.
to-ports=445 betekent dat het verkeer naar dezelfde poort wordt doorgestuurd.

❗️Let op:

Gebruik nooit standaardpoorten op het WAN! Port forwarding van poort 445 (of andere bekende standaardpoorten) op je publieke IP-adres maakt je fileserver kwetsbaar voor aanvallen. Aanvallers scannen massaal op deze poorten, waardoor je snel doelwit wordt. Gebruik aan de WAN zijde een hoge, niet-standaard poort en stuur die door naar de standaardpoort op je fileserver. Bijvoorbeeld: WAN poort 54445 naar interne poort 445

Voorbeeldregel:

/ip firewall nat add chain=dstnat dst-address=11.11.11.11 protocol=tcp dst-port=54445 action=dst-nat to-addresses=192.168.10.10 to-ports=445

Uitleg:

dst-port=54445: Alleen verkeer naar WAN-poort 54445 wordt doorgestuurd.
to-ports=445: Op je fileserver blijft alles werken via de standaardpoort 445.
Dit maakt het moeilijker voor willekeurige aanvallers om jouw service te vinden.

⚠️ Mijn advies:

Gebruik bij voorkeur altijd een VPN om toegang te krijgen tot gevoelige diensten. Een veilige en moderne keuze hiervoor is WireGuard. Lees stap voor stap hoe je dit instelt in mijn blog: 👉 WireGuard op Mikrotik instellen. Moet je toch port forwarding gebruiken? Kies dan een hoge, willekeurige poort op het WAN en beperk toegang verder waar mogelijk. Voeg altijd firewall regels toe die alleen toegang toestaan vanaf vertrouwde externe IP-adressen.

🛠️DNS-verkeer forceren via NAT op je MikroTik router?

Steeds meer apparaten en apps proberen hun eigen DNS servers te gebruiken, waardoor ze de beveiligingsinstellingen van jouw netwerk kunnen omzeilen. Dit kan leiden tot ongefilterd internetverkeer, privacyproblemen of het mislopen van je eigen content filters. Door alle DNS-verkeer via NAT regels te forceren naar jouw gekozen DNS-server, houd je volledige controle over welke DNS-resolutie er binnen je netwerk plaatsvindt. Zo voorkom je dat gebruikers of slimme apparaten ongewenste DNS-servers instellen, en verbeter je de veiligheid en beheersbaarheid van je netwerk aanzienlijk.
Hieronder zie je hoe je dit eenvoudig instelt op je MikroTik router met praktische voorbeeldregels.

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=1.2.3.4 to-ports=53 comment="Forceer DNS UDP verkeer naar interne DNS-server"
/ip firewall nat add chain=dstnat protocol=tcp dst-port=53 action=dst-nat to-addresses=1.2.3.4 to-ports=53 comment="Forceer DNS TCP verkeer naar interne DNS-server"

❌ Veelgemaakte fouten bij DST-NAT (port forwarding)

Standaardpoorten openzetten op het publieke IP: Hierdoor word je fileserver of andere dienst een makkelijk doelwit voor hackers.
Port forwarding rechtstreeks naar het prive LAN: Dit vergroot het risico dat een aanvaller toegang krijgt tot je hele netwerk als een apparaat wordt gehackt.
Geen hairpin-NAT instellen: Hierdoor kun je je eigen server niet bereiken vanuit het interne netwerk.
Te brede firewall regels: Toegang toestaan “from any IP” maakt je systeem wereldwijd bereikbaar voor iedereen.
Geen documentatie bijhouden: Na verloop van tijd is het onduidelijk welke poorten waarvoor openstaan en wie er toegang heeft.
Geen logging of monitoring instellen: Zo merk je niet op tijd als er misbruik wordt gemaakt van je open poorten.

🔁 Hairpin-NAT (NAT loopback) op Mikrotik

Veel gebruikers van Mikrotik routers lopen vast op het correct instellen van hairpin-NAT, ook wel NAT loopback genoemd. Daarom is deze techniek belangrijk als je interne apparaten via het publieke IP-adres van je Mikrotik router wilt bereiken, zelfs wanneer je binnen je eigen netwerk werkt. Bovendien kun je dankzij hairpin-NAT altijd dezelfde domeinnaam gebruiken, of je nu extern of intern verbonden bent. Echter, standaard werkt port forwarding alleen voor externe gebruikers. Probeer je binnen je netwerk het publieke IP-adres te gebruiken, dan krijg je vaak geen verbinding. Dit leidt tot frustratie bij het testen van servers of bij het gebruik van een NAS of fileserver. Om die reden is het instellen van hairpin-NAT op je Mikrotik router essentieel. Zo werkt hairpin-NAT altijd, voor zowel externe als interne gebruikers.

❓Waarvoor gebruik je hairpin-NAT op een Mikrotik router?

Om te beginnen gebruik je hairpin-NAT, ook wel NAT loopback genoemd wanneer je interne apparaten via het publieke IP-adres of de externe domeinnaam van je Mikrotik router wilt bereiken, zelfs als je binnen je eigen netwerk zit. Daardoor kun je altijd dezelfde domeinnaam of het publieke adres gebruiken, zowel binnen als buiten je netwerk. Bovendien is hairpin-NAT handig voor het testen van serverdiensten, omdat je vanuit je eigen netwerk precies ziet wat een externe gebruiker zou ervaren. Daarom voorkomt hairpin-NAT verbindingsproblemen die ontstaan wanneer apps of apparaten verplicht via het publieke IP-adres te werken. Kortom, dankzij hairpin-NAT werkt port forwarding niet alleen voor externe gebruikers, maar ook voor interne apparaten. Hierdoor hoef je geen aparte adressen of uitzonderingen te onthouden; alles blijft eenvoudig en consistent. Wil je meer achtergrondinformatie over NAT? Lees dan dit uitgebreide artikel op Wikipedia over NAT voor een diepgaande uitleg en praktische voorbeelden.

❗️Let op: Hairpin-NAT vereist altijd twee regels

Om hairpin-NAT goed te laten werken op een Mikrotik router, moet je altijd twee NAT regels combineren:
Eerst een DST-NAT-regel (port forwarding), en daarna een speciale SRC-NAT regel (masquerade). Beide regels zijn nodig, want alleen samen zorgen ze ervoor dat intern verkeer naar je publieke IP-adres goed wordt afgehandeld en bij het juiste apparaat terechtkomt.

🖥️ Waarom je een server in een ander subnet plaatst

Om te beginnen verhoog je de netwerk beveiliging. Door je server of NAS in een apart subnet te plaatsen, verder kun je met firewall regels precies bepalen welk verkeer wordt toegelaten. Daardoor is je privé LAN beter afgeschermd van mogelijke risico’s als een server ooit gecompromitteerd raakt. Bovendien krijg je zo meer controle over netwerkverkeer. Je kunt bijvoorbeeld het serververkeer beperken, loggen of apart prioriteren via Quality of Service (QoS). Dit is uiteraard handig als je zware toepassingen zoals camera opslag, VPN of back-ups draait. Daarnaast maak je je netwerk flexibeler en schaalbaarder. Nieuwe servers voeg je eenvoudig toe zonder het gewone LAN te verstoren. Kortom: een server in een apart subnet maakt je netwerk veiliger, overzichtelijker en makkelijker te beheren.

🛠️ Hairpin-NAT instellen op je Mikrotik router: stappenplan

Ons scenario

Stel, je hebt thuis een fileserver met het interne IP-adres 192.168.10.10, geplaatst in het subnet 192.168.10.0/24. Je andere apparaten, zoals computers, laptops en smartphones, maken allemaal gebruik van het hoofd netwerk 192.168.1.0/24. De Mikrotik router vormt de schakel tussen beide netwerken en is met het internet verbonden via het publieke IP-adres 11.11.11.11.

Doel

Het doel is om deze fileserver van overal te kunnen benaderen, zowel als je onderweg bent via het internet, als wanneer je gewoon thuis bent en verbinding maakt via je eigen wifi. Daarom wil je dat alle toegang intern en extern verloopt via hetzelfde publieke IP-adres of via een vaste domeinnaam, bijvoorbeeld fileserver.wirelessinfo.be. Dit maakt het eenvoudig: je hoeft niet na te denken over aparte adressen als je thuis werkt of als je via een mobiele verbinding inlogt.

Zonder extra configuratie lukt het niet

Zonder extra configuratie op je Mikrotik router werkt port forwarding standaard alleen voor externe gebruikers. Als je binnen je thuisnetwerk het publieke IP-adres probeert te bereiken, krijg je geen verbinding. Dit kan verwarrend zijn bij het testen of het gebruik van applicaties die altijd het publieke adres verwachten.

Oplossing

Door hairpin-NAT in te stellen op je MikroTik router, zorg je ervoor dat port forwarding ook werkt voor interne gebruikers. Iedereen zowel thuis of onderweg kan de server bereiken via hetzelfde adres. Dat levert gemak op, voorkomt foutmeldingen, en houdt je netwerkbeheer overzichtelijk en professioneel.

Stap 1: Maak een port forwarding (DST-NAT) regel aan. Voeg een port forwarding regel toe. Deze stuurt verkeer naar je publieke IP-adres door, naar het interne IP-adres van je server.

/ip firewall nat add chain=dstnat dst-address=11.11.11.11 protocol=tcp dst-port=54445 action=dst-nat to-addresses=192.168.10.10 to-ports=445 comment="Port forwarding voor fileserver"

Stap 2: Voeg de hairpin SRC-NAT regel toe. Voeg vervolgens de masquerade regel toe. Zo wordt intern verkeer dat via het publieke IP loopt, correct gemasquerade.

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.10.10 out-interface=bridge-lan action=masquerade comment="Hairpin NAT voor interne toegang"

Wat doet de onderstaande regel?

src-address=192.168.1.0/24: Alleen verkeer afkomstig uit het LAN subnet (bijv. je werkstations).
dst-address=192.168.10.10: Alleen verkeer gericht naar het interne IP-adres van je server (in dit voorbeeld een fileserver).
out-interface=bridge-lan: De regel wordt alleen toegepast als het verkeer het LAN verlaat via deze bridge-interface.
action=masquerade: Het bronadres van het LAN apparaat wordt vervangen door het IP-adres van de bridge-interface.

Waarom is dit nodig?

Zonder deze regel ziet de fileserver het originele LAN IP-adres van de client. Hierdoor kunnen veel verbindingen of firewall regels op de server mislukken.
Dankzij masquerade lijkt het alsof de router zelf de verbinding opzet, zodat de server het verkeer accepteert alsof het “extern” is.

Stap 3: Controleer de volgorde van je NAT regels. Plaats deze twee regels altijd boven de algemene masquerade regel voor internet, zodat ze als eerste werken (zie onderstaand screenshot)

/ip firewall nat add chain=dstnat dst-address=11.11.11.11 protocol=tcp dst-port=54445 action=dst-nat to-addresses=192.168.10.10 to-ports=445

Deze regel stuurt verkeer op de WAN poort 54445 door naar poort 445 van de fileserver.

Hairpin-NAT masquerade regel:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.10.10 out-interface=bridge-lan action=masquerade

De regel zorgt ervoor dat interne apparaten die via het publieke IP-adres verbinding maken, de server ook bereiken alsof ze van buitenaf komen.

Zo werkt het in de praktijk:

Gebruikers van buitenaf verbinden naar 11.11.11.11:54445, de fileserver is bereikbaar.
Gebruikers binnen het LAN verbinden naar 11.11.11.11:54445 of de domeinnaam, dankzij hairpin NAT werkt de verbinding ook intern.

Voordeel:

Je hoeft geen aparte instellingen te maken voor intern of extern verkeer. Iedereen gebruikt hetzelfde IP-adres of dezelfde domeinnaam, en het werkt altijd.

❗ Veelvoorkomende problemen en oplossingen bij hairpin-NAT

Probleem 1:

De server is wel extern bereikbaar, maar niet via het publieke IP vanuit het LAN.
Oplossing: Controleer of je de hairpin NAT regel correct hebt ingesteld:

Het src address moet overeenkomen met je LAN subnet (bijvoorbeeld 192.168.1.0/24).
Het dst address moet het interne IP-adres van de server zijn (bijvoorbeeld 192.168.10.10).
De out interface moet de juiste LAN interface, VLAN of bridge zijn.

Probleem 2:

De verbinding werkt, maar alleen voor sommige protocollen (bijvoorbeeld HTTP wel, SMB niet).
Oplossing: Controleer of alle benodigde poorten correct worden geforward (DST NAT) en dat er geen extra firewall regels zijn die bepaalde poorten blokkeren.

Probleem 3:

Er komt geen verkeer op de Hairpin-NAT regel (wordt niet gebruikt).
Oplossing: Controleer met /ip firewall nat print stats of de hairpin regel verkeer verwerkt.

Kijk of je apparaten echt het publieke IP-adres gebruiken en niet het interne IP van de server.Gebruik hiervoor tracert in de command prompt. (Windows).
Soms helpt het om de volgorde van de NAT regels aan te passen: zet hairpin NAT regels na je DST NAT regels.

Probleem 4:

Verbinding werkt soms, maar is traag of onstabiel.
Oplossing:

Controleer of de router voldoende resources heeft (in Winbox system -> resource) .
Kijk of er geen dubbele NAT of ARP problemen spelen.
Herstart router en server na configuratie wijzigingen.

💡 Tips voor succesvolle hairpin NAT op je Mikrotik router

📝 Documenteer je regels: Geef je NAT regels duidelijke opmerkingen, zodat je ze later makkelijk terugvindt.
🔄 Test zowel extern als intern: Controleer altijd of de server bereikbaar is via het publieke IP-adres en het interne adres.
🔒 Beperk verkeer waar mogelijk: Stel firewallregels in die toegang tot port forwarding beperken tot de IP-adressen die echt nodig zijn.
🧑‍💻 Gebruik logging bij problemen: Voeg tijdelijk een NAT regel toe met action=log om te zien of en hoe verkeer wordt verwerkt.
🕒 Herstart de router na grote wijzigingen: Sommige aanpassingen in NAT regels worden pas actief na een herstart.
🔗 Lees altijd de Mikrotik Wiki voor updates: NAT functionaliteit kan veranderen met nieuwe RouterOS-versies.

🔄 Wat is netmap in Mikrotik NAT?

Netmap is een speciale NAT actie op Mikrotik routers waarmee je een reeks publieke IP-adressen één-op-één (1:1) kunt koppelen aan een intern IP bereik. Dit wordt ook wel 1:1 NAT genoemd. Met netmap kun je eenvoudig en efficiënt meerdere interne servers, apparaten of diensten elk een eigen extern IP-adres geven, zonder complexe port forwarding regels.

👥 Wie gebruikt netmap op een Mikrotik router?

Netmap wordt vooral ingezet door bedrijven, IT professionals en netwerkbeheerders die werken met meerdere publieke IP-adressen. Je kiest voor netmap als je elke interne server, dienst of apparaat een eigen extern IP-adres wilt geven. Dit zie je vooral terug in hosting omgevingen, colocatie opstellingen of bij bedrijven die meerdere diensten direct op het internet willen publiceren zonder poorten te delen. Kortom: Heb je een blok publieke IP’s en wil je deze één-op-één koppelen aan je interne netwerk? Dan is netmap de ideale oplossing.

✅ Voordelen van netmap op een Mikrotik router

1-op-1 koppeling: Elk publiek IP-adres wordt direct gekoppeld aan een specifiek intern IP-adres. Dit maakt het beheer overzichtelijk en eenvoudig.
Geen port sharing: Je hoeft geen poorten te delen tussen verschillende interne apparaten; elk apparaat krijgt het volledige bereik van het externe IP.
Eenvoudige configuratie: Een enkele regel volstaat vaak om een heel subnet te koppelen, in plaats van tientallen losse NAT-regels.
Ideaal voor geavanceerde netwerken: Netmap is perfect voor hosting, servers, VoIP apparatuur of legacy systemen die een eigen publiek adres vereisen.
Flexibel uitbreiden: Voeg je extra IP-adressen toe? Dan breid je eenvoudig je netmap regel uit zonder complexe wijzigingen.

⚠️ Nadelen van netmap op een Mikrotik router

Publieke IP-adressen zijn schaars: Je hebt voor elk intern apparaat een uniek extern IP-adres nodig, wat in veel netwerken niet haalbaar is.
Geen port sharing: Je kunt niet eenvoudig meerdere interne apparaten achter één publiek IP zetten; alles is strikt één-op-één.
Beperkte flexibiliteit voor kleine netwerken: Voor kleinere netwerken of thuisgebruik is netmap meestal overkill en niet efficiënt.
Vergroot het aanvalsoppervlak: Elk publiek IP-adres wordt direct zichtbaar op het internet, wat het risico op aanvallen vergroot als je de firewall niet goed instelt.
Complexiteit bij foutopsporing: In grote netwerken kan het soms lastig zijn snel te achterhalen welk apparaat aan welk extern IP is gekoppeld, zeker zonder goede documentatie.

🛠️ Praktijkvoorbeeld: netmap op Mikrotik

Situatie:

Stel, je bent netwerk beheerder van een bedrijf met een klein hosting platform. Van je internetprovider krijg je een blok publieke IP-adressen gekregen: 11.11.11.0/29 (acht adressen). Je wilt deze één-op-één koppelen aan interne servers in het subnet 192.168.10.0/29.

Stap 1: NAT regel voor inkomend verkeer (dstnat):

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/29 action=netmap to-addresses=192.168.10.0/29

Resultaat: Verkeer voor 11.11.11.1 wordt direct omgezet naar 192.168.10.1, enzovoort voor de hele reeks.

Stap 2: NAT-regel voor uitgaand verkeer (srcnat):

/ip firewall nat add chain=srcnat src-address=192.168.10.0/29 action=netmap to-addresses=11.11.11.0/29

Resultaat: Uitgaand verkeer van elke server krijgt het bijbehorende publieke IP-adres.

Stap 3: Logging inschakelen voor je netmap regel: Tijdens het testen of troubleshooten is het handig om te controleren of je netmap regel wordt gebruikt. Je kunt eenvoudig logging toevoegen aan je netmap regel, zodat elk gemapt pakket wordt gelogd.

Voorbeeld: netmap-regel met logging voor inkomend verkeer (dst-nat):

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/29 action=netmap to-addresses=192.168.10.0/29 log=yes log-prefix="NETMAP-IN: "

Deze regel zorgt ervoor dat elk pakket dat aan je publieke IP reeks wordt aangeboden, één-op-één wordt doorgestuurd naar het overeenkomende interne IP-adres. Dankzij log=yes wordt elk gemapt pakket zichtbaar in het logboek, met de prefix “NETMAP-IN:”. Zo kun je snel zien of inkomend verkeer goed wordt omgezet.

Voorbeeld: netmap-regel met logging voor uitgaand verkeer (srcnat):

/ip firewall nat add chain=srcnat src-address=192.168.10.0/29 action=netmap to-addresses=11.11.11.0/29 log=yes log-prefix="NETMAP-OUT: "

De regel zorgt ervoor dat elk pakket dat vanuit je interne subnet naar buiten gaat, het bijbehorende publieke IP-adres krijgt. Ook hier logt de router elk pakket dat wordt omgezet, met de prefix “NETMAP-OUT:”. Zo zie je meteen of je srcnat regel actief is.

Voordeel van deze aanpak:

Je hoeft niet per server tientallen port forwarding regels aan te maken. Alles wordt netjes en overzichtelijk één-op-één gekoppeld. Zo behoud je het overzicht en werkt je netwerk stabiel, ook bij veel publieke servers of diensten.

Log bekijken met CLI

/log print where message~"NETMAP-IN"
/log print where message~"NETMAP-OUT"

💡 Tip:

Controleer regelmatig je logboek om te verifiëren dat beide regels goed werken. Vergeet niet om logging weer uit te schakelen als alles naar wens functioneert, om logbestanden schoon en overzichtelijk te houden.

🛠️ Troubleshooting netmap op Mikrotik router

Er komt geen verkeer op de netmap regels: Controleer of je bron- en doeladressen exact overeenkomen met je subnets. Een tikfout in het bereik of een verkeerde mask (bijvoorbeeld /28 i.p.v. /29) kan de oorzaak zijn.
Verkeer wordt niet correct gemapt: Kijk of de volgorde van de NAT regels klopt. Zet je netmap regels altijd boven de algemene NAT regels zoals masquerade of algemene dstnat/srcnat-regels.
Geen logging zichtbaar: Controleer of je log=hebt aangevinkt, en zoek op de juiste log-prefix (“NETMAP-IN:” of “NETMAP-OUT:”). Gebruik /log print where message~"NETMAP" voor snelle filtering.
Verkeer werkt in één richting, maar niet terug: Vergeet niet om voor zowel dstnat als srcnat een netmap regel te maken, anders blijft de terug route ongewijzigd en faalt de connectie.
Onverwachte verbindingen: Controleer je firewall regels! Netmap stelt interne apparaten volledig op het publieke IP-adres. Alleen verkeer dat je expliciet toestaat mag door.
Test tijdelijk met logging: Zet tijdelijk logging aan om te zien of je verkeer echt langs de netmap-regel loopt, en schakel dit daarna weer uit.

❓ Veelgestelde vragen over netmap op Mikrotik

Moet ik zowel een dst-nat als een src-nat netmap regel maken? Ja, in de meeste scenario’s heb je beide nodig. Dstnat zorgt voor de vertaling van inkomend verkeer; srcnat zorgt ervoor dat uitgaand verkeer het juiste publieke IP-adres krijgt.

Werkt netmap ook met verschillende subnet groottes? Nee, de interne en externe IP reeksen moeten exact even groot zijn (zelfde aantal IP’s en subnetmask). Anders werkt de één-op-één mapping niet correct.

Kan ik netmap combineren met port forwarding? Netmap is bedoeld voor volledige IP-adressen. Wil je alleen specifieke poorten mappen, gebruik dan standaard dstnat of srcnat met action=dst-nat of action=src-nat.

Is netmap veilig? Netmap maakt je interne apparaten rechtstreeks vanaf het internet bereikbaar. Zorg dus altijd voor strikte firewall regels om ongewenste toegang te voorkomen.

📝 Samenvatting: netmap op Mikrotik router

Met netmap op je Mikrotik router kun je eenvoudig een volledig blok publieke IP-adressen één-op-één koppelen aan interne servers of apparaten. Dit is ideaal voor bedrijven, hosting omgevingen en netwerk beheerders die meerdere diensten elk een eigen extern IP-adres willen geven. Door zowel een dstnat als een srcnat netmapregel te gebruiken, werkt de koppeling in beide richtingen. Vergeet niet om altijd strikte firewall regels toe te passen voor maximale veiligheid.

🔄 Wat is SRC-NAT op een Mikrotik router?

Om te beginnen is SRC-NAT of anders gezegd Source Network Address Translation een van de belangrijkste functies op een Mikrotik router. Met SRC-NAT wordt het bronadres van uitgaand verkeer van je interne netwerk naar het internet automatisch vervangen door het publieke IP-adres (WAN-IP) van je router. Aan de andere kant zorgt DST-NAT (Destination NAT) ervoor dat verkeer dat binnenkomt op je publieke IP-adres wordt doorgestuurd naar het juiste interne apparaat in je privé netwerk.

Daardoor werkt communicatie in beide richtingen als volgt:

SRC-NAT: al het uitgaande verkeer lijkt van het publieke IP-adres van je router te komen, ongeacht het werkelijke interne IP-adres van het apparaat.
DST-NAT: inkomend verkeer dat binnenkomt op je publieke IP-adres wordt op basis van ingestelde regels direct doorgestuurd naar het juiste apparaat binnen je privé netwerk.

Zo maak je efficiënt gebruik van je publieke IP-adres(sen) en blijft je interne netwerk veilig en overzichtelijk. De meest voorkomende vorm van SRC-NAT is masquerade. In dat geval vertaalt de router alle uitgaande verbindingen van je interne netwerk automatisch naar het publieke adres van de router. Daardoor kunnen je apparaten gewoon het internet op, terwijl hun eigen IP adressen verborgen blijven. Je denkt misschien "wat gebeurd er als er antwoorden binnenkomen vanaf het internet?

🔄 Hoe werken antwoorden bij SRC-NAT masquerade op je Mikrotik router?

Stap voor stap uitgelegd:

1
🖥️ Privé-apparaat (bijv. 192.168.1.100) maakt verbinding met het internet.
2
🌐 Mikrotik router verandert het bronadres naar het publieke IP (bijv. 11.11.11.11) met masquerade SRC NAT.
3
📒 Router onthoudt in de NAT tabel van wie het verkeer oorspronkelijk kwam.
4
🌍 Antwoord van internet komt binnen op 11.11.11.11.
5
🚦 Router kijkt in de NAT-table, ziet dat dit antwoord bij 192.168.1.100 hoort.
6
📬 Router stuurt het pakket door naar 192.168.1.100, het juiste privé-apparaat.

Alle antwoorden op uitgaande connecties komen netjes bij het juiste apparaat terecht, omdat de Mikrotik router dit automatisch regelt dankzij de NAT-table.

🌐 Waarom is NAT onmisbaar op je Mikrotik router?

Door het wereldwijde tekort aan IPv4-adressen kunnen we niet elk apparaat een uniek publiek IP-adres geven.
Met NAT (Network Address Translation) kun je meerdere privé apparaten via één publiek IP-adres met het internet laten communiceren.
NAT zorgt ervoor dat interne IP adressen verborgen blijven voor de buitenwereld. Dat verhoogt de veiligheid van je netwerk.
Dankzij NAT kun je flexibel netwerken uitbreiden zonder afhankelijk te zijn van je provider voor extra publieke IP-adressen.
Voor veel toepassingen (zoals thuisnetwerken, bedrijfsnetwerken en zelfs kleine hosting omgevingen) is NAT de standaardoplossing.

🚨 Let op! Dit is het snelste recept voor netwerk chaos: zo moet je geen Masquerade-regel instellen

Het klakkeloos instellen van een algemene Masquerade regel zonder je LAN en WAN interface of IP-bereik te specificeren, is vragen om problemen. Ik heb dit helaas al te vaak in de praktijk zien gebeuren. Zo’n aanpak zorgt ervoor dat alle uitgaande verbindingen, dus ook intern of via VPN’s, worden gemasquerade. Daardoor raak je snel het overzicht kwijt, ontstaan onverwachte netwerk problemen en kunnen zelfs beveiligingslekken ontstaan. Bovendien wordt troubleshooting veel lastiger, omdat je niet meer weet welk verkeer precies wordt vertaald. Beperk je Masquerade regel daarom altijd tot de juiste interface en subnetten. Zo blijft je netwerk veilig, stabiel en beheersbaar.

/ip firewall nat add chain=srcnat action=masquerade

Waarom is dit slecht?

Deze regel geldt op alle interfaces, dus ook op interne bridges, VPN’s en eventuele andere netwerken.
Je verliest overzicht en controle over je NAT instellingen.
Er kunnen snel fouten ontstaan, zoals dubbele NAT, onbedoelde masquerade op interne netwerken, of zelfs dat bepaalde services niet meer werken.

🛠️ Praktijkvoorbeeld: SRC-NAT (masquerade) op Mikrotik router

Stel, je thuisnetwerk gebruikt het subnet 192.168.1.0/24 en je Mikrotik router heeft het publieke IP-adres 11.11.11.11 op de WAN-interface. Je wilt dat alle apparaten in je netwerk via dat ene publieke IP het internet op kunnen.

🛠️ Een juiste masquerade regel aanmaken:

/ip firewall nat add chain=srcnat out-interface=ether1-WAN action=masquerade

Elk apparaat in 192.168.1.0/24 dat naar het internet gaat, krijgt als bronadres 11.11.11.11.
Antwoordverkeer komt automatisch bij het juiste apparaat terecht, omdat de router dit onthoudt in de NAT-table.

🛠️ Masquerade-regel met address-list:

📋 Address-list aanmaken voor je LAN-netwerken

Stap 1: Voeg je LAN subnetten toe aan de address-list
Stel, je hebt twee LAN segmenten: 192.168.1.0/24 en 192.168.10.0/24. Voeg ze toe aan een address-list genaamd lan-networks.

/ip firewall address-list add list=lan-networks address=192.168.1.0/24
/ip firewall address-list add list=lan-networks address=192.168.10.0/24

Stap 2: Maak de masquerade-regel op basis van de address-list

/ip firewall nat add chain=srcnat src-address-list=lan-networks out-interface=ether1-WAN action=masquerade

Uitleg:

Door alle relevante LAN subnetten in een address-list te verzamelen, houd je het beheer overzichtelijk.
Voeg eenvoudig meer subnetten toe als je netwerk groeit, zonder je NAT-regels telkens aan te passen.

🖼️ Voorbeeld van een MikroTik NAT Masquerade-regel met screenshot

🔒 Waarom is het veiliger om een src-address of address-list te gebruiken in je masquerade regel?

Beperk je NAT tot je echte LAN: Zonder een src-address of src-address-list zou al het verkeer dat via je Mikrotik router naar buiten gaat gemasquerade worden, dus ook mogelijk verkeer van ongewenste of ongecontroleerde interfaces (zoals gastnetwerken, VPN clients, of andere routers).
Voorkom ongewenste NAT van management of IoT segmenten: Door je masquerade regel te beperken tot je eigen LAN’s, voorkom je dat bijvoorbeeld management of IoT netwerken onbedoeld toegang krijgen tot het internet via jouw publieke IP.
Beter beheer en troubleshooting: Je weet zeker dat alleen de gewenste apparaten NAT gebruiken. Dat maakt het loggen, monitoren en oplossen van netwerkproblemen veel eenvoudiger.
Extra beveiligingslaag: Mocht iemand een onbekend subnet toevoegen aan je router, dan zal dat verkeer niet automatisch gemasquerade worden en dus ook niet zonder meer toegang krijgen tot het internet.

Besluit:

Door het toevoegen van een src-address of een src-address-list aan je masquerade regel houd je je netwerk niet alleen overzichtelijker, maar vooral ook veiliger. We bespreken hier MikroTik NAT configuraties doch weet dat elke reguliere router door middel van NAT op het internet kan.

🛠️ Troubleshooting masquerade SRC-NAT op Mikrotik

Geen internet op (sommige) apparaten: Controleer of het juiste LAN subnet in de src address-list of src address staat. Apparaten buiten deze lijst worden niet gemasquerade en krijgen dus geen internet.
Internet werkt alleen als je masquerade zonder src-address gebruikt: Dit betekent meestal dat je LAN segment(en) niet goed in de address-list zijn toegevoegd. Controleer spelling, subnetmask en lijstnaam.
Apparaten krijgen wel een publiek IP maar geen antwoord terug: Kijk of je out interface in de masquerade regel klopt (bijvoorbeeld ether1-WAN). Als je meerdere WAN’s hebt, kan een verkeerde interface problemen geven.
Dubbele NAT-problemen bij dubbele routers of cascades: Let erop dat je niet per ongeluk NAT stapelt (bijvoorbeeld door masquerade toe te passen op verkeer dat eigenlijk intern hoort te blijven).
Onverwacht verkeer wordt toch gemasquerade: Voeg altijd een specifieke src-address of address-list toe. Zo voorkom je dat bijvoorbeeld gastnetwerken, VPN-clients of onbekende segmenten onbedoeld NAT gebruiken.
Gebruik logging bij twijfel: Voeg tijdelijk log=yes log-prefix="MASQUERADE-TEST: " toe aan je NAT-regel om te controleren welk verkeer precies gemasquerade wordt.

💡 Tips voor masquerade SRC-NAT op Mikrotik

Gebruik altijd een address-list: Verzamel al je LAN-segmenten in één address-list en verwijs daarnaar in je masquerade regel. Dat maakt beheer veel eenvoudiger.
Documenteer je regels: Geef elke NAT-regel een duidelijke opmerking (comment="Masquerade LAN-netwerken"). Zo weet je later altijd waarvoor elke regel dient.
Test je NAT met logging: Voeg tijdelijk log=yes log-prefix="MASQUERADE-TEST: " toe aan je masquerade regel om te controleren welk verkeer wordt omgezet.
Werk je address-lists bij: Voeg nieuwe subnetten direct toe aan je address-list als je netwerk uitbreidt. Vergeet niet om oude, niet-gebruikte segmenten te verwijderen.
Controleer de volgorde van je NAT-regels: Zet je masquerade regel onderaan (na eventuele meer specifieke SRC-NAT regels), zodat uitzonderingen altijd eerst worden verwerkt.
Gebruik een failover als je meerdere WAN’s hebt: Overweeg een specifieke masquerade-regel per WAN-interface om onbedoelde routes en NAT-problemen te voorkomen.

📝 Samenvatting: masquerade en SRC-NAT op Mikrotik

SRC-NAT is een essentiële functie op elke Mikrotik router, waarmee je eenvoudig al het uitgaande verkeer van je interne netwerk naar het publieke IP-adres van je router vertaalt. Met de masquerade actie zorg je ervoor dat apparaten in je LAN veilig en efficiënt toegang tot het internet krijgen, zonder dat elk apparaat een eigen extern IP nodig heeft. Door gebruik te maken van address-lists en duidelijke firewall regels houd je het beheer overzichtelijk en verhoog je de veiligheid van je netwerk.

🔄 Port Address Translation (PAT) op Mikrotik

Hoewel veel Mikrotik gebruikers bekend zijn met standaard NAT, is Port Address Translation (PAT) een minder besproken maar krachtige functie. Dankzij PAT kun je niet alleen het bron IP-adres van uitgaand verkeer veranderen, maar ook de bronpoort aanpassen. Dit kan bijvoorbeeld nodig zijn in netwerken waar veel apparaten via hetzelfde publieke IP-adres communiceren, of waar poort conflicten of dubbele NAT situaties moeten worden opgelost.Bovendien geeft PAT je meer controle over hoe uitgaand verkeer wordt gemasquerade. Hierdoor kun je flexibel inspelen op eisen van specifieke applicaties, of problemen oplossen die ontstaan bij complexe netwerk situaties. In de volgende voorbeelden zie je precies hoe je PAT instelt op een Mikrotik router.

📝 Wanneer is PAT nuttig op Mikrotik?

Indien je meerdere interne apparaten hebt die via één publiek IP het internet opgaan en je wilt poort conflicten voorkomen.
Je gebruikt dubbele NAT (bijvoorbeeld na een modem of router van de provider) en moet poorten herschrijven om bepaalde applicaties correct te laten werken.
Indien je het gedrag van specifieke applicaties wil controleren of optimaliseren door het bronpoort bereik van uitgaand verkeer te bepalen.
Je hebt te maken met legacy applicaties of firewalls die bepaalde poorten blokkeren, en je wilt via PAT een workaround instellen.

🚫 Wanneer is Port Address Translation (PAT) niet nuttig op Mikrotik?

Simpel thuisnetwerk zonder poortconflicten: Als je slechts enkele apparaten hebt die probleemloos via masquerade (standaard SRC-NAT) werken, heb je PAT meestal niet nodig.
Alleen standaard internettoegang vereist: Voor basisinternet (web browsen, e-mail, updates) is gewone masquerade ruim voldoende; het toevoegen van PAT maakt het alleen maar complexer.
Geen dubbele NAT situaties of legacy apps: Als je netwerk geen bijzondere eisen stelt aan poorten of geen last heeft van dubbele NAT, biedt PAT geen extra voordeel.
Je wilt eenvoudig beheer: PAT regels zijn moeilijker te beheren, te loggen en te troubleshooten. Voor netwerken waar eenvoud en stabiliteit prioriteit hebben, is masquerade meestal de beste keuze.

Besluit:

Gebruik PAT alleen als je een specifiek probleem of geavanceerde behoefte hebt, in veel gevallen volstaat gewone masquerade SRC NAT op je Mikrotik router.

🛠️ Praktijkvoorbeeld: PAT instellen op Mikrotik

Stel, je interne apparaat heeft het IP-adres 192.168.10.100 en je wilt dat al het uitgaande TCP-verkeer naar het internet vertaald wordt naar bronpoorten tussen 10000 en 20000, met als publiek IP 11.11.11.12:

/ip firewall nat add chain=srcnat src-address=192.168.10.100 protocol=tcp action=src-nat to-addresses=11.11.11.12 to-ports=10000-20000

to-addresses=11.11.11.12: verkeer gebruikt altijd dit externe IP-adres.
to-ports=10000-20000: uitgaand verkeer krijgt een willekeurige bronpoort uit dit bereik toegewezen.

Voordeel: Dit voorkomt poortconflicten en geeft je veel controle over je uitgaande verbindingen.

❌ Veelgemaakte fouten bij PAT op Mikrotik

Verkeerd poortbereik gekozen: Te smal bereik instellen, waardoor niet alle verbindingen een unieke poort krijgen — dit kan leiden tot verbindingsproblemen of vastlopers.
Onbedoeld poortconflict: Meerdere interne apparaten NATten naar hetzelfde externe IP en hetzelfde poortbereik. Dit veroorzaakt connectieproblemen bij gelijktijdig gebruik.
Regel staat op verkeerde plek in de NAT-lijst: PAT regel per ongeluk onder een algemene masquerade of src-nat regel geplaatst, waardoor het verkeer niet volgens de bedoeling wordt herschreven.
Vergeten te loggen/testen: Door de complexiteit van PAT kan troubleshooting lastig zijn. Vergeet daarom niet om logging toe te voegen bij het testen.

PAT is krachtig, maar gebruik het alleen als je het echt nodig hebt. Test nieuwe regels altijd grondig in een veilige omgeving.

💡 Tips voor Port Address Translation (PAT) op Mikrotik

Kies altijd een ruim poortbereik: Geef een breed genoeg bereik op bij to-ports=, zodat elk parallelle verbinding een unieke poort krijgt. Zo voorkom je “port exhaustion” en verbindingsproblemen.
Documenteer je PAT-regels: Voeg altijd een duidelijke comment toe aan je PAT-regel, bijvoorbeeld: comment="PAT voor server X, poortbereik 10000-20000"
Gebruik logging bij testen: Voeg tijdelijk log=yes log-prefix="PAT-TEST: " toe aan je PAT-regel om te controleren of verkeer correct wordt herschreven.
Controleer NAT-volgorde: Zet je PAT-regels altijd boven algemene masquerade- of src-nat-regels in de NAT-lijst. Anders wordt het verkeer mogelijk niet volgens PAT verwerkt.
Gebruik PAT alleen als het nodig is: Maak je netwerk niet complexer dan nodig. In veel situaties volstaat gewone masquerade of standaard src-nat.

📝 Samenvatting: Port Address Translation (PAT) op Mikrotik

Port Address Translation (PAT) is een geavanceerde SRC-NAT techniek op je Mikrotik router. Met PAT kun je niet alleen het bron-IP-adres, maar ook het bronpoort bereik van uitgaand verkeer aanpassen. Dit geeft je meer controle en lost poort conflicten op in complexe netwerk situaties, bijvoorbeeld bij dubbele NAT of specifieke applicatie eisen. In de meeste thuis en standaard bedrijfsnetwerken is PAT niet nodig; daar volstaat gewone masquerade. Gebruik PAT dus alleen als je het echt nodig hebt, documenteer je regels goed en kies altijd een ruim poortbereik.

🔄 Double NAT op Mikrotik: uitleg, praktijkvoorbeeld en risico’s

Wat is Double NAT?

Double NAT ontstaat wanneer er twee apparaten in je netwerk NAT toepassen op uitgaand verkeer, bijvoorbeeld als je Mikrotik router achter een modem of router van je internetprovider hangt en beide NAT gebruiken. Daardoor krijgen je interne apparaten niet één, maar twee lagen netwerk vertaling. Dit kan werken, maar brengt verschillende nadelen en risico’s met zich mee.

🚨 Risico’s van Double NAT op Mikrotik

Port forwarding wordt ingewikkeld: Je moet poorten openen op zowel je provider modem/router als op je Mikrotik router. Hierdoor ontstaan snel fouten, waardoor diensten soms niet bereikbaar zijn.
Problemen met inkomende verbindingen: Online gaming, VoIP, VPN servers en sommige IoT apparaten werken vaak slecht of helemaal niet achter een dubbele NAT configuratie.
Slecht overzicht en beheer: Je raakt het overzicht kwijt: bij netwerkproblemen is het niet altijd duidelijk in welke router het probleem zit.
Verhoogde latency en minder performance: Elke extra NAT-laag betekent extra verwerkingstijd. Daardoor kan je internet soms trager of minder stabiel aanvoelen.
Beveiligingsrisico’s: Je denkt soms veilig te zijn achter “dubbele NAT”, maar in werkelijkheid kun je juist onverwachte openingen creëren als je onzorgvuldig poorten forward op beide routers.

✅ Oplossingen om Double NAT te vermijden of te minimaliseren

Zet de router van je provider in bridge mode: Daardoor krijgt je Mikrotik router direct het publieke IP-adres en doet alleen de Mikrotik NAT. Dit is de beste oplossing.
Gebruik DMZ of Exposed Host: Kun je geen bridge mode gebruiken? Zet dan je Mikrotik in de DMZ van je providers router. Zo worden alle inkomende verbindingen direct naar je Mikrotik doorgestuurd.
Overweeg één router te gebruiken: Als je provider het toestaat, gebruik dan alleen je Mikrotik router .
Is dubbele NAT onvermijdelijk? Documenteer dan goed je port forward regels op beide apparaten en wees extra alert op firewall regels en netwerkbeveiliging.

Let op: Double NAT ontstaat alleen wanneer zowel het apparaat van je provider als router is ingesteld (dus NAT uitvoert), en jouw eigen Mikrotik-router ook NAT toepast. Een puur modem, in bridge-modus, voert nooit NAT uit en veroorzaakt dus geen Double NAT.

🛠️ Praktijkvoorbeeld Double NAT bij Telenet

Scenario is als volgt:

De Telenet router heeft het subnet 192.168.0.0/24.
Jouw Mikrotik router krijgt via DHCP het adres 192.168.0.2 op de WAN-poort in mijn geval ether8-wan.
Je eigen LAN thuis gebruikt bijvoorbeeld 192.168.88.0/24 achter de Mikrotik.

Verloop van het verkeer:

stap	wat gebeurd er	waar	adres / netwerk
1	Je computer stuurt iets naar het internet	Op het LAN netwerk van de MikroTik router	192.168.88.x
2	Je Mikrotik router zet het adres om naar 192.168.0.2 d.m.v. NAT-Masquerade (eerste nat)	De WAN poort van je MikroTik router	192.168.0.2
3	Je Telenet router zet vervolgens dat adres om naar je publieke IP-adres d.m.v. NAT-Masquerade (tweede nat)	Telenet-router	192.168.0.1 -> publiek IP-adres
4	Het internet weet nu waar het vandaan komt	Internet	Publiek IP van Telenet

Eenvoudig uitgelegd:

1
Je computer thuis gebruikt een private adres (192.168.88.x).
2
De Mikrotik router verandert dat adres naar 192.168.0.2 zodat hij kan praten met de Telenet router.
3
De Telenet router verandert het adres nog eens, nu naar je publieke internetadres.
4
Nu kan alles via het internet verstuurd en ontvangen worden.

Zo zie je: het verkeer wordt twee keer “vertaald (genat)” voordat het verkeer het internet op kan. Dat noemen we Double NAT!

Extra tip:

Soms kun je Double NAT ook vermijden door MAC passthrough (of “Exposed Host”) in te stellen op je Telenet-router. In mijn video “Configureer MAC passthrough op je Telenet router” laat ik stap voor stap zien hoe je dit uitvoert. Bekijk de video hier:

🚨Let op:

MAC passthrough (of bridge-modus) is alleen beschikbaar op de Telenet CV8560E-modem/router. Heb je een ander type Telenet-toestel, dan is deze oplossing helaas niet mogelijk. In dat geval kun je het beste je internetprovider contacteren voor alternatieven, zoals het instellen van DMZ of Exposed Host. Wil je meer weten? Bekijk mijn video “Configureer MAC passthrough op je Telenet router” speciaal voor de CV8560E.

Wat is MAC passthrough op de Telenet CV8560E?

MAC-passthrough (ook wel bridge-modus genoemd bij Telenet) zorgt ervoor dat je CV8560E-modem je eigen router (zoals je Mikrotik) direct het publieke IP-adres van Telenet geeft. Het apparaat van Telenet functioneert dan als een pure modem: alle router en NAT functies worden uitgeschakeld. Daardoor wordt je Mikrotik router de enige echte router in je netwerk, wat alle problemen rond Double NAT oplost.

Voordelen:

Je Mikrotik krijgt direct het publieke IP-adres van Telenet.
Je hoeft geen port forwarding of DMZ meer te doen op de Telenet-router.
Je netwerkbeheer en troubleshooting worden veel eenvoudiger en overzichtelijker.

Beperkingen:

MAC passthrough werkt uitsluitend op de Telenet CV8560E. Andere Telenet-modems bieden deze optie niet.
Je kan maar één router verbinden via MAC passthrough.

Wanneer gebruik je dit?

Als je volledige controle wilt over je netwerk, geen dubbele NAT wilt, en je een eigen router (zoals Mikrotik) wil gebruiken voor alle netwerkfunctionaliteit.

❓ Wat is een “Exposed Host” bij Telenet of andere routers?

Op veel consumenten routers, kun je een Exposed Host (ook wel “DMZ-host” genoemd) instellen. Met deze functie stuur je al het inkomende verkeer van het internet, waarvoor geen specifieke port forwarding regel bestaat, automatisch door naar één intern IP-adres in je netwerk. Meestal is dat jouw eigen router, zoals je Mikrotik. Hierdoor fungeert dit apparaat als een “volledig blootgestelde host”, waardoor je geen afzonderlijke port forwarding regels meer hoeft te maken.

🔚 Besluit: kies de juiste aanpak voor je eigen router achter Telenet

Samenvattend: Werk je met een Mikrotik router achter een Telenet toestel, dan loop je al snel tegen Double NAT aan. Dit zorgt vaak voor problemen met port forwarding, externe toegang en netwerk prestaties. Daarom is het het beste om, waar mogelijk, je Telenet apparaat in bridge modus of MAC passthrough te zetten. Vooral met de CV8560E-modem van Telenet kun je met MAC passthrough je Mikrotik rechtstreeks het publieke IP geven, waardoor je netwerk veel eenvoudiger en flexibeler wordt.

Heb je een ander type Telenet router?

Overweeg dan DMZ of Exposed Host, of neem contact op met Telenet voor meer informatie over de mogelijkheden. Kortom: Door bewust te kiezen voor de juiste configuratie, voorkom je Double NAT en haal je het maximale uit je eigen router en je internetverbinding.

🔚 Samenvatting en laatste tips

Met deze uitgebreide uitleg over NAT op je MikroTik router heb je nu alle handvatten in huis om je netwerk veilig, flexibel en professioneel te configureren. Of je nu kiest voor DST-NAT (port forwarding), SRC-NAT (masquerade) of geavanceerde technieken zoals hairpin NAT en netmap: een doordachte NAT instelling is onmisbaar voor een stabiel netwerk. Vergeet niet: Documenteer je instellingen, werk vervolgens met duidelijke subnetten en gebruik tenslotte altijd strikte firewall regels. Blijf testen, optimaliseren en let goed op de veiligheid van je apparaten. Wil je nog meer uit je MikroTik router halen? Bekijk zeker ook mijn andere tutorials over netwerkbeveiliging, VPN’s (zoals WireGuard) en ProtonVPN op MikroTik. Heb je nog vragen of loop je vast? Stuur gerust een berichtje via het contact formulier. Samen zorgen we voor een veiliger en slimmer netwerk!