Deel dit onderwerp alstublieft!

mikrotik nat configuratie op je Mikrotik router instellen

Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft

Inleiding over de Mikrotik NAT configuratie

Mikrotik nat configuratie op je Mikrotik router instellen. Er zijn namelijk verschillende manieren van NAT technieken. En deze wil ik zodoende met jullie bespreken.
NAT staat namelijk voor Network Address Translating. Dit is een verzamelnaam voor technieken die gebruikt worden in computernetwerken. 

Bij deze mikrotik nat settings wordt de adresinformatie in de datapakketjes veranderd. Zodoende kunnen verschillende netwerken aan elkaar worden verbonden.

NAT kan je immers terugvinden op elke router, en dus ook op de Mikrotik routers. Daarom bespreek ik de verschillende soorten NAT. En toon je vervolgens configuratie voorbeelden.

Ik behandel in deze tutorial alleen de NAT configuratie van de Mikrotik router.

De verschillende soorten van NAT technieken

Eén van deze  NAT technieken wordt NAT masquerading genaamd. Deze techniek zorgt er namelijk voor dat je privé netwerk wordt gemaskeerd. Bijgevolg wordt op deze manier je privé netwerk afgeschermd. Daardoor gaat alle data verkeer van dit privé netwerk door één extern IP-adres. Dit ene IP-adres is namelijk deze wat je ISP modem of router toegewezen krijgt van het netwerk van je internet provider. 
Op deze manier kan jij  253 IP-adressen gebruiken door al je netwerk toestellen van een IP-adres voorzien. Dit gebeurd door middel van een DHCP-server.

mikrotik nat settings

Nat masquerading vangt het tekort aan IPv4 IP-adressen op

Deze techniek is in gebruik genomen omstreeks het jaar 1990. Dit omdat er een bijna tekort aan de 4 miljard IPv4 IP-adressen werd vastgesteld. 
Mikrotik nat masquerading is een techniek waardoor uw privé geadresseerd IP-verkeer wordt vertaald naar één openbaar IP-adres.

Door middel van deze NAT techniek wordt het tekort aan IPv4 IP-adressen opgevangen. Daardoor zorgt NAT dat alle computers verbonden met je netwerk gebruik maken van één extern IP-adres.  Namelijk het extern IP-adres van je internet provider. 

Vergelijk het met een appartement (het externe IP-adres) en de bewoners die hun post ontvangen. 
Dit  door middel van huisnummers op de brievenbus (de IP-adressen van het interne netwerk). Op deze manier wordt tot op heden het tekort aan IP-adressen opgelost. Doch men is al een gehele tijd bezig met het uitrollen van IPv6 IP-adressenDit kan het einde betekenen van NAT masquerading en ook andere vormen van NAT.

mikrotik nat settings

Nat masquerading heeft nog een andere functie

Er zijn namelijk enkele IP-ranges die zijn gereserveerd voor privégebruik. Die horen niet thuis op het openbaar internet maar dienen als Local Area Network.

Of anders genaamd je LAN netwerk. Deze voor privé gereserveerde IP-ranges mogen in geen geval rechtstreeks worden verbonden met het internet.
Dit zijn privé adressen en horen zeker niet op het publieke internet te verschijnen.  
 
Hoe kan je LAN netwerk dan wel verbinden met het openbaar internet? NAT Masquerading lost dit probleem op door een toestel met een privé IP-adres te laten communiceren met internet.

En dit terwijl de pakketten van de computers op je LAN netwerk tegelijkertijd worden aangepast om zo een geldig openbaar IP-adres te gebruiken.

Pakketten die van internet worden teruggestuurd, worden terug gewijzigd om het oorspronkelijke IP-adres te gebruiken voordat ze een privé IP machine bereiken.

Mikrotik nat Masquerading vertaald met andere woorden de interne IP-adressen naar het ene openbaar IP-adres en andersom. 

Mikrotik nat masquerading configuratie 

Dit is een korte tutorial die uitlegt hoe je een NAT masquerading configuratie instelt op de Mikrotik RouterOS routers.

Ik toon je hier twee manieren hoe je deze kan uitvoeren, maar op de video tutorial zie je drie manieren van NAT masquerading configuratie technieken.

Mikrotik nat settings een eenvoudige nat Masquerading configuratie

mikrotik nat settings
  1. Klik in het hoofd venster op "IP".
  2. Klik vervolgens op "Firewall".
mikrotik nat settings
  1. klik bovenaan op het tabblad "NAT".
  2. Klik op het blauwe kruisje om een NAT rule aan te maken.
mikrotik nat settings
  1. Bij chain selecteer srcnat (sourcenat).
  2. Als "out interface" selecteer je de interface dat verbonden is met de ISP mode/router.
mikrotik nat settings
  1. Bij "Action" selecteer "masquerade". Meer houd dat niet in.
    Bevestig met "ok".
mikrotik nat settings
  1. Dit is de eenvoudigste manier van een NAT masquerading configuratie op de Mikrotik router.

Mikrotik nat masquerading configuratie met IP-range 

mikrotik nat settings
  1. Bij "Chain" selecteer je "srcnat".
  2. Vervolgens geef de IP-range in die je wil gaan natten 192.168.88.0/24.
  3. Als "out interface" selecteer je terug "ether1-wan".
  4. Klik verder door op "action".
mikrotik nat settings
  1. Bij "Action" selecteer "masquerade".

mikrotik destination nat configuratie 

Doch mikrotik nat settings bestaat echter niet alleen uit masquerading technieken. Er komt namelijk meer bij kijken en dit ga ik hier zoveel als mogelijk bespreken.
Een andere vorm van de mikrotik nat settings is de destination nat. Destination NAT wordt uitgevoerd op de inkomende data pakketten.

Met destination nat worden de inkomende pakketten omgeleid naar bijvoorbeeld andere poorten en/of IP-adressen.
  Dit wanneer de firewall een openbaar bestemmingsadres omzet in een privé-adres.

Destination NAT biedt ook de optie om port forwarding of port translation uit te voeren. Destination NAT is een statische translation die je in verschillende indelingen kunt configureren.

Je  kan opgeven dat het oorspronkelijke pakket één IP-adres voor de bestemming, een bereik van IP-adressen of een lijst met enkele IP-adressen heeft.
En dit zolang het vertaalde pakket hetzelfde aantal mogelijke IP-adressen bestrijkt als het originele pakket.

De firewall vertaalt telkens een origineel destination adres naar hetzelfde vertaalde bestemmings adres.

De firewall vertaalt telkens een origineel destination adres naar hetzelfde vertaalde bestemmings adres.

Anders gezegd, als er meer dan één destination adres is, vertaalt de firewall het eerste destination adres geconfigureerd voor het originele pakket naar het eerste bestemmingsadres geconfigureerd voor het vertaalde pakket.

Vervolgens vertaalt het tweede oorspronkelijke destination adres geconfigureerd naar het tweede vertaalde bestemmingsadres en ga zo maar verder.

Dit gebeurd altijd met dezelfde vertaling.
De firewall biedt bijvoorbeeld de volgende destination NAT technieken:


Hou er rekening mee dat je één of meerdere IP-adressen of poorten open zet en zodoende toestellen bereikbaar maakt vanaf het internet.

De verschillende vormen van destination NAT

Een veel gebruikte vorm van destination-NAT is het configureren van verschillende NAT-regels die één enkel openbaar bestemmingsadres toewijzen aan verschillende host-adressen.

Bijvoorbeeld van een particuliere bestemming die zijn toegewezen aan een server, NAS of andere services.

In dit geval worden de poortnummers van de bestemming gebruikt om de destination hosts te identificeren.
Bijvoorbeeld:

mikrotik nat Port Forwarding

Vertaalt een openbaar destination adres en poortnummer naar een privébestemmingsadres, maar behoudt hetzelfde poortnummer.
Deze configuratie NAT port forwarding wordt namelijk het meest gebruikt.

Port Translation

Kan een openbaar destination adres en poortnummer naar een privé bestemmingsadres en een ander poortnummer vertalen.

Door middel van deze techniek blijft de privé poort beschermd wat de veiligheid van je netwerk ten goede komt.

OPGELET!
Mikrotik nat settings bied op geen enkel vlak een volledige veiligheid op je netwerk.
De nat settings vervangt namelijk geen firewall rules.
Lees hieronder verder wat NAT kan doen op je netwerk.  

Destination-NAT wordt vaak gebruikt om de volgende acties uit te voeren

IP-adres forwarding
Omzetten van één IP-adres naar een ander IP-adres.

Bijvoorbeeld om een computer op internet verbinding te laten maken met een host op een particulier netwerk.

port forwarding
Dit om vervolgens toegang te verlenen aan meerdere services met hetzelfde IP-adres maar met verschillende poorten.
Dit is wat er meestal bij particuliere routers gebeurd.

Hier zie je een voorbeeld van een port forwarding voor een IP-camera

IP-adres forwarding voor meerdere servers
Het omzetten van meerdere IP-adressen naar andere IP-adressen met hetzelfde aantal IP's. 

Om zodoende toegang tot een groep servers mogelijk te maken.

mikrotik nat Port mapping
Het omzetten van een IP-adres of IP-range en poort van een bestemming naar een ander IP-adres of IP-range en andere poort.
Port/address forwarding wordt ook weleens port/address mapping genaamd.

Een voorbeeld van een Mikrotik port forwarding voor een webserver

Voor deze configuraties moet je het door de ISP-router gekregen IP-adres van je Mikrotik router
in DMZ modus zetten.

mikrotik nat settings
  1. Klik in het hoofd venster op "IP".
  2. Klik vervolgens op "Firewall".
mikrotik nat settings
  1. Klik op het tabblad "NAT".
mikrotik nat settings
  1. Als "Chain" selecteer "dstnat".
  2. Als "Dst.address vul het publieke IP-adres in van je router of modem van je ISP.
  3. Als protocol selecteer je "TCP".
  4. Als "Dst.port vul poort 80 in en/of 443 naargelang je configuratie.
  5. Geef de in interface in, dit is de interface dat verbonden is met je router van je ISP.
  6. Klik verder op het tabblad "Action".
mikrotik nat settings
  1. Als "Action" selecteer "dst-nat".
  2. Bij "To addresses" vul het IP-adres van de webserver in.
  3. Vul de gewenste poort of poorten in zoals in dit voorbeeld poort 80 en 443.
  4. Klik vervolgens op "Ok".

Video tutorial port forwarding.


Mikrotik port forwarding voor een IP-camera

Bij een ip camera port forwarding moet je één ding goed onthouden. Namelijk dat je twee poorten hoeft forwarden.

Veel mensen kopen vervolgens een IP-camera en krijgen een app erbij geleverd. Die regelt vervolgens alles voor hun.

Doch als ze dan de nodige poorten zelf moet forwarden zitten mensen in de knoei. 
De poort waardoor je de camera kan gaan configureren en bekijken is poort 80 en/off 443

De tweede poort, namelijk de RTSP poort heeft als poort nummer 554. RTSP staat voor "real time streaming protocol".
Door middel van deze poort kunnen de camera beelden worden gestreamd op het internet of je netwerk.

Om een IP-camera werkend te krijgen op het internet heb je dus poort 80 of 443 nodig. Die instaat voor de web interface waarmee je de camera kunt configureren.

En de RTSP poort 554 die instaat dat de beelden op het netwerk worden gestreamd.

Configuratie van de IP-camera port forwarding

mikrotik nat settings

Aangenomen dat de Mikrotik Router als tweede router achter uw ISP router fungeert ga ik er vervolgens van uit dat de Mikrotik router zich in de DMZ zone bevind van uw ISP router.

De ip camera port forwarden wordt dus getoond op de Mikrotik router.
En dit met de Grandstream ip camera GXV3674-FHD_Vf vr   De camera heeft het IP-adres 10.90.10.201 en het externe IP-adres is 

Port instellingen bij een Grandstream camera

IP-adres HTTP-poort RTSP-poort
10.90.10.201 81 2081
10.90.10.202 82 2082
10.90.10.203 83 2083
10.90.10.204 84 2084

De RTSP poort van de Grandstream camera's ontrafeld.

De RTSP poort wordt bij de Grandstream camera's automatisch gekozen. Dit afhankelijk van de http poort dat je instelt.

Hoe wordt de RTSP poort door middel van poort 80 beïnvloed?
Het zou onverstandig zijn om bijvoorbeeld de poort 80 te blijven gebruiken om je IP-camera te gebruiken, dit is namelijk de poort die open staat voor internet toegang.


Concluderend dat de IP-camera het IP-adres 10.90.10.201 heeft en je hebt de poort 80 veranderd in 81 wordt de RTSP poort veranderd naar de http poort + 2000.


De RTSP poort wordt namelijk 208. Wil je de IP-camera verder configureren gebruik dan http://10.90.10.201:81 anders werkt het niet.

Om je nog een duidelijker beeld te scheppen zie de tabel hierboven.

Andere merken van IP-camera's kunnen andere technieken gebruiken.

OPGELET!
Ieder merk IP-camera's gebruiken hun eigen techniek om de RTSP poort te bepalen.
Lees daarom goed de handleiding van de aangekochte camera.

mikrotik nat settings
  1. Klik in het hoofd venster op "IP".
  2. Klik vervolgens op "Firewall".
mikrotik nat settings
  1. klik bovenaan op het tabblad "NAT".
  2. Klik op het blauwe kruisje om een NAT rule aan te maken.
mikrotik nat settings
  1. Als "Chain" selecteer je "dstnat"
  2. Als "Dst.address" geef het externe IP-adres in van je modem of router van je ISP.
  3. Selecteer bij "Protocol" "Tcp".
  4. Bij "Dst.port" geef de poort in, bijvoorbeeld 81.
  5. Klik vervolgens op "Action".
mikrotik nat settings
  1. Bij "Action" selecteer "dstnat".
  2. Vul het IP-adres in van je IP-camera zoals hier in dit voorbeeld 10.90.10 .201.
  3. Vul de poort in die je hebt ingegeven in je IP-camera. Hier is dat poort 81.
  4. Klik op nhet tabblad "Comment".
mikrotik nat settings
  1. Geef een herkenbare commentaar in zodat je weet over welke port-forwarding het gaat.
  2. Klik bij het commentaar venster op "Ok".
  3. Sluit het tweede vester door nogmaals op "Ok" te klikken.
mikrotik nat settings
  1. Klik op het blauwe kruisje om nog een NAT-rule aan te maken.
mikrotik nat settings
  1. Als "Chain" selecteer je "dstnat"
  2. Als "Dst.address" geef het externe IP-adres in van je modem of router van je ISP.
  3. Selecteer bij "Protocol" "Tcp".
  4. Bij "Dst.port" geef de poort in, bijvoorbeeld 2081.
  5. Klik vervolgens op "Action".
mikrotik nat settings
  1. Bij "Action" selecteer "dstnat".
  2. Vul het IP-adres in van je IP-camera zoals hier in dit voorbeeld 10.90.10 .201.
  3. Vul de poort in die je hebt ingegeven in je IP-camera. Hier is dat poort 2081.
  4. Klik op het tabblad "Comment".
mikrotik nat settings
  1. Geef een herkenbare commentaar in zodat je weet over welke port-forwarding het gaat.
  2. Klik bij het commentaar venster op "Ok".
  3. Sluit het tweede vester door nogmaals op "Ok" te klikken.
mikrotik nat settings
  1. Dit is het resultaat van de juiste port forwarding van de IP-camera

Voorkom dat gebruikers hun DNS-servers kunnen veranderen door middel van een NAT configuratie

Door middel van gebruik te maken van destination nat kan er voorkomen worden dat gebruikers de DNS-server kunnen veranderen.

Dit kan je gemakkelijk instellen door middel van een Mikrotik nat configuratie. Koppel daarvoor poort 53 aan je voorkeur DNS-server op je router.
 
Ik toon je namelijk hoe je kan voorkomen dat gebruikers het DNS veranderen via hun computer. Ik ga ervan uit dat de Mikrotik router zijn eigen IP-adres als DNS-server gebruikt.

Zodoende gaan we deze instellen dat deze DNS-server wordt gebruikt en geen enkele andere.

mikrotik nat settings
  1. Klik in het hoofd venster op "IP".
  2. Klik vervolgens op "Firewall".
mikrotik nat settings
  1. klik bovenaan op het tabblad "NAT".
  2. Klik op het blauwe kruisje om een NAT rule aan te maken.
mikrotik nat settings
  1. Bij "Chain" selecteer "dstnat".
  2. Als protocol selecteer "udp".
  3. Als poort vul de DNS poort 53 in.
  4. Klik verder door op het tabblad "Action".
mikrotik nat settings
  1. Als "Action" selecteer "dstnat".
  2. Bij "To address" geef het IP-adres van je Mikrotik router in 192.168.88.1.
  3. Als poort vul eveneens poort 53 in.
  4. Klik op "Apply"
  5. Klik daarna op "Copy".
mikrotik nat settings
  1. Bij de copy verander in het "General" tabblad udp in "tcp".
  2. Klik op "Ok".
mikrotik nat settings
  1. Om het eerste venster te sluiten klik eveneens op "Ok".

Dit was wat betreft voorkom dat gebruikers de DNS-server kunnen veranderen. Met deze forwarding rule wordt namelijk al het DNS verkeer op poort 53 omgeleid.
En dit naar de ingegeven DNS-server, in dit voorbeeld de eigen DNS-server van je Mikrotik router.

Mikrotik video tutorial hoe voorkom je dat de gebruikers hun eigen DNS-server gaan gebruiken op je netwerk.  


mikrotik nat settings netmap configuratie onder de loep genomen

Als u een openbaar IP-adres bijvoorbeeld 73.222.20.53/32 wilt koppelen aan een lokaal IP-adres 192.168.88.1.

Je moet dan de vertaalfuncties voor destination adres en source adres gebruiken met action = netmap.

Voor netmap heb je twee NAT-rules nodig, namelijk een Destination en een Source NAT-rule. Dit omdat wederzijdse communicatie nodig is.
Je kan zodoende ook een volledig subnet koppelen. 

mikrotik nat settings
  1. Klik in het hoofd venster op "IP".
  2. Klik vervolgens op "Firewall".
mikrotik nat settings
  1. Klik op het tabblad "NAT".
mikrotik nat settings
  1. Als "Action" selecteer "dst-nat".
  2. Bij "DST.address" vul het publiek IP-adres in.
  3. Als protocol vul je niets in.
  4. Als "In-interface" selecteer de WAN interface.
  5. Klik op het tabblad "Action".
mikrotik nat settings
  1. Als "Action" selecteer "Netmap".
  2. Bij "To-address geef het private IP-adres in van de gewenste bereikbare host.
  3. Klik vervolgens op "Ok".
mikrotik nat settings
  1. Als "Action" selecteer "srcnat".
  2. Bij "src.address" vul nu het prive IP-adres in van de bereikbare te maken host.
  3. Als "Out.interface" selecteer de WAN interface.
  4. Klik op het tabblad "Action".
mikrotik nat settings
  1. Als "Action" selecteer "Netmap".
  2. Bij "To-address geef het publiek IP-adres in zoals hier als voorbeeld 73.222.20.53
  3. Klik vervolgens op "Ok".

De Mikrotik netmap configuratie op video gedemonstreerd.


Vond je deze tutorial interessant? 

Deel deze tutorial zoveel mogelijk op Facebook en Google+ alstublieft.


Vond je dit artikel interessant? Deel deze met je vrienden en anderen alstublieft