En MikroTik RouterOS, la acción “same” dentro de una regla NAT se utiliza para traducir la dirección IP de origen de un paquete a la dirección IP pública configurada en la regla.
Básicamente, funciona como un puente para que dispositivos en su red local puedan acceder a internet utilizando la dirección IP pública del router MikroTik.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Piensa en “same” como un reemplazo:
- Un paquete que sale de su red local tiene la dirección IP privada del dispositivo que lo envía.
- La regla NAT con “same” toma ese paquete y reemplaza la dirección IP de origen privada por la dirección IP pública del router.
- Ahora, el paquete parece provenir del propio router, lo que permite que fluya a través de internet.
¿Cuándo usar “same” en NAT?
“Same” es ideal para situaciones donde tiene dispositivos que necesitan una IP pública fija para ser accesibles desde internet. Ejemplos comunes incluyen:
- Servidores: Servidores web, VPN, correo electrónico, etc., que requieren acceso externo con una IP fija.
- Dispositivos específicos: Impresoras de red, cámaras IP o dispositivos de internet de las cosas (IoT) que necesitan conectarse a servicios externos para funcionar.
Ventajas de usar “same”:
- Sencillo de configurar: Solo necesita especificar la red local o el dispositivo al que se aplica la regla y la interfaz de internet.
- Adecuado para configuraciones básicas: Funciona bien para exponer un único servidor o un grupo pequeño de dispositivos a internet.
Limitaciones a tener en cuenta:
- No ideal para múltiples dispositivos con acceso dinámico: Si tiene muchos dispositivos que necesitan acceso a internet, “same” no es la opción más adecuada, ya que todos compartirían la misma IP pública.
- Menos control: No ofrece la granularidad de otras acciones NAT como “src-nat” que permite mapear rangos de IPs privadas a públicas.
“same” en MikroTik NAT no se utiliza para balancear conexiones entre las IPs públicas que tengas configuradas. La función principal de “same” es traducir la dirección IP de origen de un paquete a la dirección IP pública configurada en la regla.
Esto permite que dispositivos en la red local accedan a internet utilizando la IP pública del router, ideal para servidores o dispositivos específicos que necesitan una IP fija.
El balanceo de conexiones con “same” no es posible porque:
- “Same” solo reemplaza la IP de origen por una única IP pública: No hay posibilidad de distribuir el tráfico entre diferentes IPs.
- No ofrece opciones de configuración: No se puede elegir un método de balanceo ni definir reglas específicas para diferentes grupos de dispositivos.
Si necesitas balancear conexiones entre IPs públicas en MikroTik, debes usar la acción “src-nat”:
- “Src-nat” permite traducir la IP de origen a un rango de IPs públicas: Puedes distribuir el tráfico entre diferentes IPs y mejorar la disponibilidad del servicio.
- Ofrece opciones de configuración: Puedes elegir un método de balanceo (round-robin, aleatorio, etc.) y definir reglas específicas para diferentes grupos de dispositivos o servicios.
En resumen:
- “Same” en MikroTik NAT es una opción simple y efectiva para exponer servidores o dispositivos específicos a internet utilizando la dirección IP pública del router. Si su red local no tiene muchas necesidades de acceso externo, “same” puede ser una buena opción para comenzar.
- “Same” no es una opción para balanceo de conexiones.
- Utiliza “src-nat” para balancear conexiones entre IPs públicas.
“Src-nat” ofrece flexibilidad y seguridad, pero requiere configuración y puede afectar el rendimiento.
NOT BY DST en NAT con SAME
La opción NOT BY DST en la regla de NAT con acción same en Mikrotik se utiliza para excluir las conexiones originadas desde el mismo dispositivo (es decir, el router Mikrotik) de la traducción de direcciones de red (NAT).
En otras palabras, si esta opción está activada, las conexiones que se inician desde el router Mikrotik no se traducirán a la dirección IP pública configurada en la regla NAT.
Esto puede ser útil en algunas situaciones, como por ejemplo:
a. Permitir el acceso directo a servicios locales
Si tiene servicios como SSH o VPN ejecutándose en el router Mikrotik, es posible que desee que sean accesibles desde Internet sin pasar por la traducción NAT. Al activar la opción NOT BY DST, las conexiones a estos servicios se originarán desde el router Mikrotik y no se traducrán, lo que permitirá el acceso directo.
b. Evitar bucles de NAT
Si tiene configuradas varias reglas NAT que se superponen, es posible que se produzca un bucle de NAT. Esto puede ocurrir si una regla NAT traduce una dirección IP a otra, y la otra regla NAT traduce la misma dirección IP de vuelta a la original. Al activar la opción NOT BY DST, puede evitar que las conexiones que se originan desde el router Mikrotik se traduzcan, lo que puede ayudar a prevenir bucles de NAT.
Ejemplo:
Supongamos que tiene la siguiente regla NAT configurada en su Mikrotik:
/ip firewall nat
add chain=dstnat action=same dst-address=192.168.1.0/24 out-interface=eth1
Esta regla traducirá todas las conexiones a la red 192.168.1.0/24 a la dirección IP pública 1.2.3.4. Si activa la opción NOT BY DST en esta regla, las conexiones que se inician desde el router Mikrotik no se traducirán.
Esto significa que si un dispositivo en la red 192.168.1.0 intenta conectarse a un servicio en Internet, la conexión se originará desde el router Mikrotik y no se traducirá.
El dispositivo en la red 192.168.1.0 podrá acceder al servicio en Internet utilizando la dirección IP pública 1.2.3.4.
Importante:
- La opción NOT BY DST solo se aplica a las reglas NAT con acción same. No se aplica a las reglas NAT con otras acciones, como masquerade o dnat.
- Si activa la opción NOT BY DST, asegúrese de que las conexiones que se originan desde el router Mikrotik no se traduzcan a una dirección IP que no sea accesible desde Internet.
Tabla comparativa entre SAME, SRC-NAT, NETMAP
Acción | Función | Uso | Ejemplo | Consideraciones |
same | Traduce la dirección IP de origen a la IP pública configurada. | Servidores con IP pública fija. | Servidor web (192.168.1.10) accesible como 1.2.3.4. | IP pública fija por dispositivo. No ideal para múltiples dispositivos. |
src-nat | Traduce la dirección IP de origen a una IP pública o rango de IPs. | Traducción de varios dispositivos a IPs públicas. | Todos los dispositivos en 192.168.1.0/24 usan 1.2.3.4-1.2.3.7. | Comparte IPs públicas. Puede generar conflictos de IP. |
netmap | Traduce la dirección IP de origen a una IP pública específica según una tabla. | Traducción 1:1 entre IPs privadas y públicas. | Dispositivo 192.168.1.10 siempre se traduce a 1.2.3.4. | Requiere configuración manual de la tabla. Menos flexible que src-nat. |
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7










