Network Address Translation (NAT) is in wezen een essentieel mechanisme in de wereld van netwerken. Ten eerste kunnen meerdere apparaten één openbaar IP-adres delen. Bovendien verbetert het de beveiliging en beheert het effectief tekorten aan IPv4-adressen.
Aan het einde van het artikel vindt u een kleine proef dat zal je toestaan schatten de kennis die tijdens deze lezing is verworven
podium
Stel je een kantoor voor met meerdere werknemers die apparaten met internetverbinding gebruiken. Zonder NAT zou elk apparaat zijn eigen openbare IP-adres nodig hebben. Integendeel: dankzij NAT kunnen alle apparaten één openbaar IP-adres delen, waardoor IP-adressen worden opgeslagen en het netwerkbeheer wordt vereenvoudigd.
Typen IP-adressen
Om te begrijpen hoe het werkt, is het belangrijk om te weten welke typen IP-adressen bij het proces betrokken zijn.
- Ten eerste zijn er de privé-IP-adressen die aan elk apparaat binnen het interne netwerk worden toegewezen.
- Ten tweede zijn er openbare IP-adressen die worden gebruikt om via internet met externe apparaten te communiceren.
NAT fungeert als tussenpersoon en vertaalt privé-IP-adressen naar openbare IP-adressen en omgekeerd.
Voorbeeld om het proces te illustreren
Stel dat een medewerker vanaf zijn of haar computer toegang wil krijgen tot een webpagina.
- De computer verzendt een verzoek met zijn privé-IP-adres als bron.
- De NAT vertaalt het verzoek bij ontvangst en vervangt het privé-IP-adres door het openbare IP-adres dat aan de router is toegewezen.
- Op deze manier bereikt het verzoek de webserver met het openbare IP-adres als afzender.
- Wanneer de server reageert, wordt het antwoord naar het openbare IP-adres verzonden.
- NAT treedt opnieuw in werking en vertaalt het openbare IP-adres naar het overeenkomstige privé-IP-adres, waardoor de computer het antwoord kan ontvangen.
Het is essentieel op te merken dat er verschillende soorten NAT zijn:
- statisch NAT
- dynamische NAT
- Poortadresvertaling (PAT).
Elk van hen heeft zijn eigen kenmerken en specifieke toepassingen.
Bijvoorbeeld, de statisch NAT wijst een uniek openbaar IP-adres toe aan elk privé-IP-adres, terwijl de dynamische NAT maakt gebruik van een pool van openbare IP-adressen die op roterende basis worden toegewezen.
Weer de PAT maakt het mogelijk dat meerdere apparaten één openbaar IP-adres delen door poortnummers te vertalen in plaats van IP-adressen.
Samengevat
Door meerdere apparaten één openbaar IP-adres te laten delen, optimaliseert u het gebruik van IPv4-adressen en verbetert u de beveiliging van interne netwerken.
Bovendien vergemakkelijkt de mogelijkheid om privé-IP-adressen te vertalen naar openbare IP-adressen en vice versa de communicatie tussen interne en externe apparaten, waardoor een soepele en efficiënte gebruikerservaring wordt gegarandeerd.
Hoe NAT te implementeren met MikroTik RouterOS
Vervolgens zullen we in detail uitleggen hoe u NAT op een MikroTik-apparaat kunt implementeren met behulp van RouterOS.
1.- Toegang tot de RouterOS-interface
Eerst moet u toegang krijgen tot de beheerinterface van uw MikroTik-apparaat. U kunt dit doen met behulp van de grafische tool “Winbox” in Windows of via de webinterface.
2.- Navigeer naar de NAT-configuratie
Eenmaal in de RouterOS-interface gaat u naar het gedeelte “IP” in het hoofdmenu en selecteert u “Firewall”. Hier vindt u verschillende tabbladen, waaronder “NAT”.
3.- Voeg een nieuwe NAT-regel toe
Klik op de knop “Toevoegen” (gesymboliseerd door een “+” teken) om een nieuwe NAT-regel te maken. Er wordt een configuratievenster geopend waarin u de regeleigenschappen kunt definiëren.
4.- Definieer de keten en de actie
Selecteer in het regelconfiguratievenster de juiste keten, namelijk “srcnat” voor bron-NAT of “dstnat” voor doel-NAT. Kies vervolgens de actie die u wilt uitvoeren, zoals “masquerade” voor bron-NAT of “dst-nat” (vertaling van bestemmingsadres) voor doel-NAT.
5.- Stel de voorwaarden van de regel vast
In dit stadium moet u de voorwaarden opgeven waaronder de NAT-regel wordt toegepast. Als u bijvoorbeeld bron-NAT wilt toepassen op verkeer dat uw interne netwerk naar internet verlaat, kunt u de optie 'Out. Interface” als de WAN-interface en het “Adres” in het bestand “Src. Adres” als het bereik van privé-IP-adressen op uw interne netwerk.
6.- Configureer adres- en poortvertaling
Als u doel-NAT configureert, moet u opgeven hoe IP-adressen en poortnummers moeten worden vertaald. Op het tabblad “Actie” selecteert u “dst-nat” als actie en stelt u vervolgens indien nodig de “Naar Adressen” en “Naar Poorten” in.
7.- Bewaar de regel en pas deze toe
Nadat u alle benodigde parameters heeft geconfigureerd, klikt u op “OK” om de regel op te slaan. De nieuwe NAT-regel verschijnt in de lijst met regels op het tabblad “NAT” van de firewall.
8.- Controleer en monitor de regel
Om er zeker van te zijn dat de NAT-regel correct werkt, controleert u het verkeer dat door de regel gaat en bekijkt u de statistieken van RouterOS. Pas indien nodig de regelinstellingen aan om de prestaties te verbeteren of problemen op te lossen.
Configuratie op een MikroTik-router met de opdrachtregel
Hier is een voorbeeld van hoe u bron-NAT (maskerade) op een MikroTik-apparaat kunt configureren met behulp van de opdrachtregel. Met deze configuratie kunnen apparaten op het interne netwerk toegang krijgen tot internet via het openbare IP-adres dat is toegewezen aan de MikroTik-router.
Stel dat de WAN-interface (internetverbinding) “ether1” is en het privé-IP-adresbereik van het interne netwerk “192.168.1.0/24” is. De bron-NAT-configuratie (maskerade) zou er als volgt uitzien:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP dinámica)
[admin@MikroTik] > ip dhcp-client add interface=WAN disabled=no
# Configura la dirección IP en la interfaz LAN (la interfaz que se conecta a la red interna)
[admin@MikroTik] > ip address add address=192.168.1.1/24 interface=LAN
# Agrega la regla de NAT de origen (masquerade) para el tráfico que sale de la red interna hacia Internet
[admin@MikroTik] > ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
In dit voorbeeld wordt doel-NAT (dst-nat) op een MikroTik-apparaat geconfigureerd met behulp van de opdrachtregel. Met deze configuratie kunnen internetgebruikers toegang krijgen tot een interne webserver (bijvoorbeeld 192.168.1.100) op poort 80 via het openbare IP-adres van de MikroTik-router.
Stel dat de WAN-interface “ether1” is en het openbare IP-adres dat aan de MikroTik-router is toegewezen, “203.0.113.2” is. De doel-NAT-configuratie zou er als volgt uitzien:
# Ingresa al terminal del router MikroTik
[admin@MikroTik] >
# Configura la interfaz WAN
[admin@MikroTik] > interface set ether1 name=WAN
# Configura la dirección IP en la interfaz WAN (asumiendo que tu ISP te proporciona una dirección IP estática)
[admin@MikroTik] > ip address add address=203.0.113.2/24 interface=WAN
# Agrega la regla de NAT de destino (dst-nat) para el tráfico que ingresa desde Internet hacia el servidor web interno
[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=203.0.113.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.100 to-ports=80
Deze configuratievoorbeelden zijn van toepassing als u de opdrachtregel in RouterOS gebruikt. U kunt deze instellingen echter ook toepassen met behulp van de grafische tool “Winbox” of de webinterface, door de hierboven genoemde stappen te volgen.