Thiết bị router Mikrotik với hệ điều hành RouterOS với nhiều tính năng, hoạt động ổn định, chi phí đầu tư hợp lý khi so sánh với các thiết bị router cùng loại như CISCO, Vigor.

Khi triển khai tích hợp thiết bị router Mikrotik và hệ thống của khách hàng, ngoài việc cấu hình cơ bản để làm thiết bị router truy cập Internet (cấu hình PPPoE trên router Mikrotik), thông thường, khách hàng cần cấu hình NAT để publishing các dịch vụ ra ngoài Internet như: cấu hình NAT publishing dịch vụ WEB, cấu hình NAT publishing dịch vụ email, cấu hình NAT cho hệ thống camera (CCTV), ....

Khi cấu hình NAT để publishing dịch vụ ra ngoài Internet trên thiết bị router nói chung và thiết bị router Mikrotik nói riêng, sẽ gặp trường hợp người dùng ngoài Internet có thể truy cập các dịch vụ được NAT publishing bình thương, tuy nhiên, người dùng trong mạng LAN không thể truy cập được các dịch vụ này.

Ở đây sẽ tìm hiểu nguyên nhân và sau đó là cách cấu hình NAT trên router Mikrotik để ngoài Internet và trong mạng LAN điều truy cập được dịch vụ đã NAT publishing.

Bên dưới là mô hình mạng mà tôi sử dụng để viết bài hướng dẫn này.

Máy chủ WEB nằm phía sau router Internet Mikrotik, router Mikrotik cấu hình NAT để publishing dịch vụ WEB, cổng 80 ra Internet.

Cấu hình NAT thông thường sẽ như sau:
/ip firewall nat
add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2
add chain=srcnat out-interface=WAN action=masquerade

Với cấu hình NAT ở trên, khi thiết bị người dùng từ Internet (gọi là Client) với địa chỉ IP 2.2.2.2 thiết lập kết nối đến máy chủ web, thiết bị router Internet Mikrotik thực thi cấu hình NAT như sau:

Bước 1: Client gởi gói tin với địa chỉ IP nguồn là 2.2.2.2 đến địa chỉ IP đích là 1.1.1.1 trên cổng tcp/80 để yêu cầu truy cập dịch vụ WEB.
Bước 2: Thiết bị router Internet Mikrotik thực hiện NAT gói tín đến IP 192.168.1.2, ở đây, địa chỉ IP đích bị router Mikrotik thay đổi thay 192.168.1.2. Địa chỉ IP nguồn 2.2.2.2 vẫn giữ nguyên. Thông tin địa chỉ nguồn nguyên thủy trước NAT ở đây được đặt vào bản NAT để phục vụ cho việc phục hồi lại địa chỉ đích khi gói tin được trả về từ máy chủ WEB.
Bước 3: Máy chủ WEB trả lời gói yêu cầu của Client với gói tin có IP địa chỉ nguồn là 192.168.1.2 và IP đích là 2.2.2.2.
Bước 4: Thiết bị router Internet Mikrotik nhận gói tin từ máy chủ WEB, căn cứ vào bản NAT, sẽ thay đổi địa chỉ IP đích của gói tin bằng địa chỉ nguồn nguyên thủy trong bản NAT. Lúc này, gói tin có địa chỉ đích là 2.2.2.2 và địa chỉ nguồn là 1.1.1.1.

Thiết bị client nhận được gói tin phản hồi từ máy chủ WEB và kết nối được thiếp lập.

Tiếp theo, chúng ta sẽ xem xét trường hợp thiết bị Client từ mạng LAN đến máy chủ WEB trong mô hình ở trên với địa chỉ IP publish là 1.1.1.1.

Xem qua hình mô tả qua trình NAT ở router Internet Mikrotik ở trên, ta thấy kết nối từ client đến máy chủ WEB trên địa chỉ 1.1.1.1 sẽ không thay công, hay không thể kết nối dược.

Vấn đề ở đây là, sau khi thực hiện NAT ở Step 2 ở trên, địa chỉ nguồn và đích của IP cùng nằm trên LAN, do đó, gói tin trả về trực tiếp từ máy chủ web đến máy chủ client mà không đi qua router. Máy client không chấp nhận gói tin này, do đó, kết nối không thể thực hiện được.

Như vậy, để giải quyết vấn đề trên, ta bổ sung thêm cấu hình NAT trên router Internet Mikrotik như sau:

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.2 protocol=tcp dst-port=80 out-interface=LAN action=masquerade

Sau khi bổ sung thêm cấu hình NAT source ở trên, khi client từ LAN kết nối đến địa chỉ IP 1.1.1.1 để truy cập dịch vụ trên máy chủ WEB, các bước say ra theo bốn bước như hình trên. Như vậy, trong trường hợp này, lệnh NAT ép buộc tất cả các yêu cầu dịch vụ WEB phải đi qua router, mặc dù máy chủ WEB và client nằm trên cùng 1 mạng LAN.

Trong các trường hợp, địa chỉ IP public của router Internet Mikrotik là địa chỉ IP động, thì các lệnh cấu hình NAT sẽ như sau:
/ip firewall nat
add chain=dstnat dst-address-type=local protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.10 to-port=80
add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.1.10 protocol=tcp dst-port=80 out-interface=LAN action=masquerade


Sao Thiên Vương:
- Phân phối thiết bị Mikrotik.
- Tư vấn, triển khai, cung cấp thiết bị mạng LAN, WAN, Wireless LAN, WiFi cho doanh nghiệp.