HƯỚNG DẪN NAT PORT FORWARD & HAIRPIN NAT TRÊN ROUTER MIKROTIK

HƯỚNG DẪN NAT PORT FORWARD + HAIRPIN NAT TRÊN ROUTER MIKROTIK

1. Tổng quan

Port Forward - Cho phép truy cập từ Internet vào server nội bộ

➪ Ví dụ:

• Public IP: 1.1.1.1
• Server nội bộ: 192.168.10.10
• Truy cập: 1.1.1.1:80 → web server

Hairpin NAT:

➪ Khi client trong LAN dùng Public IP để truy cập server nội bộ

➪ Ví dụ luồng truy cập:

Client (192.168.10.100)

↓

Truy cập: 1.1.1.1

↓

MikroTik

↓

Server (192.168.10.10)

❌ Nếu không có Hairpin NAT → Không truy cập được từ nội bộ

2. Cấu hình bằng Winbox

🔹 Bước 1: Port Forward (chain DST-NAT)

Vào:

IP → Firewall → NAT

➕ New

Tab General:

• Chain: dstnat
• Protocol: tcp
• Dst. Port: 80
• In Interface List: WAN

Tab Action:

• Action: dst-nat
• To Addresses: 192.168.10.10
• To Ports: 80

➪ Đây là rule mở port web server

🔹 Bước 2: Hairpin NAT (SRC-NAT)

➕ New

Tab General:

• Chain: srcnat
• Src Address: 192.168.10.0/24
• Dst Address: 192.168.10.10

Tab Action:

• Action: masquerade

➪ Cho phép client LAN truy cập server bằng IP public

3. Cấu hình CLI

/ip firewall nat

# PORT FORWARD

add chain=dstnat protocol=tcp dst-port=80 in-interface-list=WAN action=dst-nat to-addresses=192.168.20.10 to-ports=80 comment="Port Forward Web"

# HAIRPIN NAT

add chain=srcnat src-address=192.168.0.0/16 dst-address=192.168.20.10 action=masquerade comment="Hairpin NAT"

►NÂNG CAO: HAIRPIN NAT sử dụng ADDRESS-LIST + MANGLE

1. Khi nào cần cách này?

• Hệ thống lớn, nhiều VLAN
• Khi cần quản lý nhiều server, dịch vụ
• Phân chia traffic rõ ràng
• Dùng address-list để quản lý server
• Dùng mangle để đánh dấu kết nối
• NAT chỉ apply đúng traffic cần

Triển khai

➪ Đây là cách thường áp dụng dùng trong hệ thống enterprise, cần độ linh hoạt trong cấu hình.

2. Ý tưởng hoạt động

Traffic:

LAN Client → Public IP → Router

↓

Mangle mark

↓

SRC-NAT (hairpin)

↓

Server

Nguyên tắc:

• Chỉ hairpin khi:Traffic đi tới “public IP của chính mình”
• Đánh dấu connection trước
• NAT dựa trên mark connection

3. Cấu hình bằng Winbox - GUI

🔹 Bước 1: Tạo Address List

Scale hệ thống – dễ quản lý về sau

Vào:

IP → Firewall → Address Lists

➕ New:

• LAN_SUBNETS
  •    168.10.0/24
  •    168.20.0/24
• LOCAL_SERVERS
  •    168.20.10
• WAN_IP
  •    1.1.1.1 (ví dụ đây là public IP router)

➪ Sau này cần thêm server chỉ cần add vào list

🔹 Bước 2: Mangle (đánh dấu connection)

Vào:

IP → Firewall → Mangle

➕New:

General:

• Chain: prerouting
• Src Address List: LAN_SUBNETS
• Dst Address List: WAN_IP

Action:

• Action: mark-connection
• New Connection Mark: hairpin_conn
• Passthrough: yes

➪ Đánh dấu traffic LAN → public IP

🔹 Bước 3: SRC-NAT Hairpin

Vào:

IP → Firewall → NAT

➕New:

General:

• Chain: srcnat
• Connection Mark: hairpin_conn
• Dst Address List: LOCAL_SERVERS

Action:

• Action: masquerade

➪ Chỉ NAT đúng traffic đã mark trước đó

4. CLI

# ADDRESS LIST

/ip firewall address-list

add list=LAN_SUBNETS address=192.168.10.0/24

add list=LAN_SUBNETS address=192.168.20.0/24

add list=LOCAL_SERVERS address=192.168.20.10

add list=WAN_IP address=1.1.1.1

# MANGLE - mark connection

/ip firewall mangle

add chain=prerouting src-address-list=LAN_SUBNETS dst-address-list=WAN_IP \

    action=mark-connection new-connection-mark=hairpin_conn passthrough=yes \

    comment="Mark Hairpin Connection"

# HAIRPIN SRC-NAT

add chain=srcnat connection-mark=hairpin_conn dst-address-list=LOCAL_SERVERS \

    action=masquerade comment="Hairpin NAT Advanced"