Hướng dẫn cấu hình NAT router Mikrotik

NAT (Network Address Translation) là kỹ thuật cho phép một hay nhiều địa chỉ IP nội bộ được ánh xạ với một hay nhiều địa chỉ IP mạng ngoài. Các địa chỉ IP nội bộ có thể chạy các dịch vụ như web, mail hay đầu ghi lưu trữ camera,… hoặc chỉ đơn giản sử dụng Internet bình thường. NAT được thực hiện ở router biên, nơi kết nối giữa mạng LAN nội bộ và mạng Internet. Viettelco sau đây giới thiệu cách cấu hình NAT router Mikrotik.

NAT router Mikrotik

NAT giúp tiết kiệm được địa chỉ IP public IPv4 (với tổng địa chỉ khả dụng là hơn 4 tỉ) nhờ cơ chế xử lý của mình. Với NAT, hàng chục đến hàng trăm người dùng trong mạng có thể dùng “chung” một địa chỉ IP public.

 

Với router Mikrotik, ta cần quan tâm đến các hình thức NAT đó là NAT port, Hairpin NAT và NAT ra Internet.

NAT để truy cập Internet

Hay còn gọi là Source NAT, có nghĩa là đổi địa chỉ nguồn từ local thành địa chỉ trên cổng WAN để đi ra ngoài Internet. Hình thức NAT phổ biến và đơn giản nhất là NAT động masquerade. Gói tin sẽ được đổi địa chỉ nguồn và router sẽ đánh port nguồn ra ngoài theo một cổng “mặt nạ” nào đó mà router chưa được dùng đến. Khi gói tin đi vào thì router cũng sẽ theo cổng này để đưa đúng gói tin trở lại IP local như cũ.

 

Ta truy cập vào IP → Firewall → NAT, ở tab General Nhập Chain là srcnat, Out. Interface là cổng muốn NAT đi ra ngoài Internet (cổng WAN). Nếu cổng WAN quay số PPPoE thì ta chọn tên interface PPPoE tương ứng (ví dụ: pppoe-out1), nếu không chọn luôn tên interface (ví dụ: eth1):

 

Thêm rule NAT.

 

Chuyển sang tab Action chọn masquerade và nhấn OK để kết thúc:

 

Chọn Action masquerade.

 

NAT port

NAT port là hình thức phổ biến để truy cập dịch vụ nội bộ từ bên ngoài Internet qua địa chỉ IP Public. Ta cần xác định địa chỉ IP public cần NAT trên cổng WAN, Địa chỉ IP local và port/protocol cần để NAT.

 

Giả sử cần NAT camera IP có địa chỉ là 192.168.68.22, port là 8022 để có thể xem được từ bên ngoài Internet. Ta vào IP → Firewall → NAT và thêm một rule NAT. Với Dst. Address là địa chỉ IP tĩnh của đường WAN, Protocol chọn 6 (tcp), Dst. Port điền port cần NAT. Trong trường hợp không có IP tĩnh có thể tham khảo cấu hình DDNS trong phần IP → Cloud.

 

NAT port cho camera IP.

 

Sau đó trong tab Action, phần Action chọn dst-nat, To Addresses chọn IP local cần NAT. Điền port cần NAT vào ô To Ports và nhấn OK để kết thúc:

 

Điền IP local cần NAT.

 

Kiểm tra từ tool trên Internet thấy port 8022 đã được mở:

 

Port 8022 đã được mở.

 

Hairpin NAT

Hairpin NAT là hình thức NAT từ bên trong local đến IP public trên WAN. Thường thì trong local ta có thể truy cập trực tiếp tới local luôn, hoặc từ ngoài vào mới phải NAT. Nhưng có trường hợp do firewall chặn local hoặc thiết bị đã NAT từ ngoài vào mà đang ở gần router hoặc người dùng đi đến nơi làm việc có cùng mạng.

 

Ví dụ, trong LAN có nhiều camera IP cần NAT ra ngoài Internet để xem trực tiếp. Nhưng một vài camera không thể xem được dù đã NAT đúng các bước. Khi đó ta cần nghĩ đến phương án Hairpin NAT.

 

Ngoài phần cấu hình NAT port router Mikrotik thông thường ra, ta cần thêm vào rule Hairpin NAT để có thể sử dụng được dịch vụ như bình thường. Truy cập IP → Firewall → NAT, thêm rule NAT như sau:

 

Hairpin NAT.

 

Với Src. Address là dải IP local cần truy cập dịch vụ, Dst. Address và Dst. Port là địa chỉ IP và port cần NAT, Out. Interface chọn bridge tương ứng. Chuyển sang tab Action chọn masquerade, nhấn OK để kết thúc.

 

 

Hướng dẫn cấu hình Dynamic DNS cho router Mikrotik

DNS và DDNS

DNS (Domain Name System), hệ thống phân giải tên miền là một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP public và tên miền trên Internet. DNS giúp cho việc chuyển đổi giữa tên miền mà chúng ta dễ ghi nhớ (Ví dụ www.viettelco.net) sang địa chỉ IP (Ví dụ 123.31.38.154). Nhờ có DNS, chúng ta khi truy cập các website không cần phải nhớ địa chỉ IP mà chỉ cần nhớ tên miền là đủ, hôm nay Viettelco hướng dẫn cách cấu hình Dynamic DNS cho Router Mikrotik.

Một số máy chủ DNS nổi tiếng như máy chủ DNS của Google 8.8.8.8, 8.8.4.4 hay Cloudflare 1.1.1.1, 1.0.0.1.

DNS

DNS

DDNS hay Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao (do không phải mọi khách hàng dùng mạng Internet đều có IP tĩnh). Dịch vụ DNS động cung cấp một chương trình đặc biệt chạy trên thiết bị của người sử dụng một dịch vụ gọi là Dynamic DNS Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại máy chủ cần cài đặt dịch vụ web, mail,… và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của nó (vốn được cung cấp bởi các nhà cung cấp dịch vụ mạng bằng phương pháp động) thay đổi và sau đó cập nhật thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó. Bằng cách này, cho dù máy chủ có thường xuyên bị thay đổi địa chỉ thì tên miền vẫn được hệ thống máy chủ DNS trỏ về đúng địa chỉ được cấp IP mới đó.

DDNS thường được ứng dụng cho một số dịch vụ không cần thiết phải có IP tĩnh (vì chi phí để có IP tĩnh khá đắt đỏ) như xem Camera, VPN,…

Cũng giống như nhiều router khác, Mikrotik cung cấp tính năng cấu hình DDNS và việc thiết lập cũng không quá khó.

Cấu hình DDNS trên router Mikrotik

Đầu tiên ta cần đăng ký tài khoản, tạo tên miền động miễn phí trên một số trang web như noip.com, duckdns.org,…

DDNS

Đăng ký dịch vụ DDNS miễn phí trên noip.com.

Sau đó vào System à Scripts và tạo một Script mới với phần Source như sau, với phần user name, pass, domain và interface điền phù hợp:

# No-IP automatic Dynamic DNS update

 

#————— Change Values in this section to match your setup ——————

 

# No-IP User account info

:local noipuser “your_no-ip_user”

:local noippass “your_no-ip_pass”

 

# Set the hostname or label of network to be updated.

# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.

# To specify multiple hosts, separate them with commas.

:local noiphost “hostname.no-ip.net”

 

# Change to the name of interface that gets the dynamic IP address

:local inetinterface “your_external_interface”

 

#————————————————————————————

# No more changes need

 

:global previousIP

 

:if ([/interface get $inetinterface value-name=running]) do={

# Get the current IP on the interface

:local currentIP [/ip address get [find interface=”$inetinterface” disabled=no] address]

 

# Strip the net mask off the IP address

:for i from=( [:len $currentIP] – 1) to=0 do={

:if ( [:pick $currentIP $i] = “/”) do={

:set currentIP [:pick $currentIP 0 $i]

}

}

 

:if ($currentIP != $previousIP) do={

:log info “No-IP: Current IP $currentIP is not equal to previous IP, update needed”

:set previousIP $currentIP

 

# The update URL. Note the “\3F” is hex for question mark (?). Required since ? is a special character in commands.

:local url “http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP”

:local noiphostarray

:set noiphostarray [:toarray $noiphost]

:foreach host in=$noiphostarray do={

:log info “No-IP: Sending update for $host”

/tool fetch url=($url . “&hostname=$host”) user=$noipuser password=$noippass mode=http dst-path=(“no-ip_ddns_update-” . $host . “.txt”)

:log info “No-IP: Host $host updated on No-IP with IP $currentIP”

}

}  else={

:log info “No-IP: Previous IP $previousIP is equal to current IP, no update needed”

}

} else={

:log info “No-IP: $inetinterface is not currently running, so therefore will not update.”

}

Script

Thêm Script trên Mikrotik.

Tiếp theo vào Terminal tạo Schedule sau để luôn làm mới DDNS:

/system scheduler add comment=”Update No-IP DDNS” disabled=no interval=5m \

name=no-ip_ddns_update on-event=no-ip_ddns_update policy=read,write,test

Thêm lịch tự động chạy mỗi 5 phút.

Hướng dẫn cải đặt, quản lý và cấu hình Router OS

HƯỚNG DẪN CÀI ĐẶT, QUẢN LÝ & CẤU HÌNH MIKROTIK ROUTER OS

Hướng dẫn cài đặt

Mikrotik Router OS là hệ điều hành dùng cho phần cứng RouterBoard của Mikrotik.

MikroTik Router OS có thể được cài đặt trên một máy tính bình thường để biến máy tính thành một router tích hợp nhiều chức năng như: Routing, Firewall, Bandwidth management, wireless access point, backhaul link, hostpot gateway, VPN server,…

Hướng dẫn cài đặt Mikrotik Router OS trên PC:

Cài đặt cơ bản:

Mikrotik Router OS rất nhẹ nên không cần máy tính có cấu hình cao để cài đặt, mà những máy có cấu hình thấp vẫn có thể cài đặt và sử dụng được.

Trước hết cần truy cập https://www.mikrotik.com/download để tải phiên bản muốn cài đặt, sau đó tải phiên bản file đuôi “ISO”

Sau đó dung chương trình Burn disk như “UltraISO” burn file iso ra đĩa CD  hoặc USB và tiến hành cài đặt:

Sau khi boot vào đĩa CD  hoặc USB đã cài đặt, ta được giao diện như sau:

Trên màn hình sẽ hiện một số tùy chọn các gói chức năng, tùy theo nhu cầu sử dụng. ở đây mình bấm phím “a” để chọn hết.

Sau đó nhấn “i” để tiến hành cài đặt.

Nó sẽ hỏi bạn có muốn giữ lại cấu hình cũ không? Chọn N (No)

Và cảnh báo: tất cả dữ liệu sẽ bị xóa! Có tiếp tục không? Chọn Y (Yes)

Quá trình cài đặt hoàn tất, khởi động lại.

Sau khi khởi động lại chương trình, sẽ hiện ra màn hình đăng nhập:

Usernam: admin / Password: mặc định là trống

Màn hình sau khi đăng nhập:

Hướng dẫn quản lý và cấu hình

Sử dụng phần mềm Winbox để quản lý & cấu hình Mikrotik Rouster OS:

Để tải Winbox truy cập link https://mikrotik.com/download

Winbox là phần mềm tiện ích dùng để cấu hình Mikrotik Router OS bằng giao diện đồ họa nhanh chóng và đơn giản.

Trước tiên cần đặt IP cho Mikrotik Router OS:

Sau đó mở Winbox và nhập địa chỉ IP vào:

Và đây là giao diện của cấu hình của Mikrotik

Một số hướng dẫn cấu hình cơ bản của Mikrotik Router OS

Cấu hình LAN-DHCP server trên Mikrotik Router OS

Trước tiên đổi tên Port để phân biệt cổng cho dể sử dụng

Vào Interface, nhấp đôi vào port cần sửa đổi

Thay đổi ở phần Name là xong

Cấu hình LAN cho Mikrotik

Vào IP-Address chọn Add

Address: IP Address GateWay và Network Mask

Network: Lớp mạng

Interface: Port Ethernet cấu hình LAN

Tương tự cho các cổng LAN còn lại

Cấu hình DHCP cho Mikrotik

Vào IP-DHCP Server-DHCP chọn DHCP Setup

Chọn Port Ethernet cần cấu hình

Địa chỉ lớp mạng và Netmask

Địa chỉ gateway

Dãy địa chỉ IP Pool

DNS

Làm tương tự với những cổng còn lại

Cấu hình Load Balancing nhiều WAN

Cấu hình nhiều tài khoảng đường truyền
– Cấu hình địa chỉ IP cho WAN tùy thuộc loại hình là PPPoE hoặc Static IP
– Cấu hình PPPoE client
Vào Interface- interface chọn Add new-PPPoE Client

Name: đặt tên cho cổng WAN1

Interfaces: Chọn cổng WAN tương ứng

User + Password: tài khoản đường truyền ISP Wan 1
Tương tự cấu hình với các cổng WAN tiếp theo

Cấu hình DNS

Vào IP-DNS và cấu hình DNS như sau:

Cấu hình NAT PORT

Vào IP-Firewall-Nat chọn Add

Chain: dstnat

Protocol: chọn giao thức

Dst. Port: 456

In. Interface: cổng WAN mạng Internet

New Nat rule

Action: chọn dst-nat tương ứng trong Chain

To Addresses: Chon IP

To port: 465

Đây là một số hướng dẫn cấu hình cơ bản của Mikrotik Router OS, các bạn có thể tham khảo và tự tìm hiểu thêm về các cách cấu hình khác cho Micotik Router OS. Hoặc tham khảo các cách cấu hình ở bài viết khác.

Hướng dẫn mở port truy cập remote access router Mikrotik

Hướng dẫn truy cập từ xa (Remote Access Service) cho phép người dùng từ xa có thể truy cập từ một máy tính qua một môi trường mạng truyền dẫn (ví dụ mạng Internet) đến một mạng dùng riêng như thể máy tính đó được kết nối trực tiếp trong nội bộ. Do vậy người dùng có thể sử dụng các tài nguyên nội bộ hoặc thực hiện một số cài đặt, cấu hình từ xa một cách dễ dàng.

Remote access

Có nhiều phương thức khác nhau để sử dụng Remote Access. Đó có thể là VPN (Virtual Private Network); truy cập máy tính, máy chủ, thiết bị mạng qua dịch vụ Remote Access, ssh, telnet bằng việc cấu hình mở các cổng (port) nhất định trên IP WAN; cho phép cấu hình router, firewall, máy chủ qua IP public,…

Đối với router Mikrotik, việc cài đặt để truy cập từ xa là cần thiết, giúp cho các quản trị viên có thể quản lý cấu hình mọi lúc mọi nơi.

Truy cập từ xa router Mikrotik bằng IP WAN.

Cài đặt truy cập từ xa router Mikrotik

Ta có thể truy cập từ xa để cấu hình, cài đặt router Mikrotik bằng việc mở các cổng (port) nhất định để các dịch vụ tương ứng có thể được truy cập từ ngoài Internet qua IP WAN (với điều kiện có IP WAN tĩnh). Ngoài phần cấu hình VPN khá phức tạp ra thì ta cũng có thể điều chỉnh mở một số dịch vụ để có thể truy cập từ xa. Tuy nhiên việc này cũng cần cẩn trọng với các tool auto quét & tấn công cổng, dịch vụ trên mạng. Chúng ta chỉ mở các dịch vụ nhất định và điều chỉnh port (cổng) khác với cổng mặc định của chúng.

Từ phần mềm winbox, ta vào IP à Services sẽ hiện ra một danh sách các dịch vụ với cột đầu tiên là tên dịch vụ như ftp, ssh, telnet,.. Cột thứ hai là số cổng mà ta gán cho dịch vụ đó.

IP Service List

Giả sử ngoài truy cập từ xa bằng winbox ra, ta cần truy cập bằng trình duyệt để cấu hình router Mikrotik. Ta chỉ cần enable dòng www, nếu muốn đổi cổng, ta nhấn chuột trái và chỉnh cổng theo ý muốn.

Đổi cổng truy cập www từ 80 thành 81.

Ta mở trình duyệt và nhập vào IP WAN:<số cổng>, ví dụ 222.252.x.x:81 là có thể truy cập từ xa để cấu hình, quản lý như trong mạng nội bộ.

Truy cập từ xa thành công.

Trên đây là hướng dẫn cấu hình mở port truy cập Remote Access của Router Mikrotik chúc các bạn thành công.

Hướng dẫn cấu hình Wifi Hotspot Mikrotik

Wifi hotspot là điểm truy cập mạng không dây công cộng, được thiết lập ở các nơi cần cung cấp dịch vụ truy cập wifi miễn phí cho người dùng như sân bay, trường học, bến tàu xe, nhà hàng, các khu vực công cộng,…

Wifi hotspot

Với dịch vụ wifi hotspot, người dùng được truy cập wifi miễn phí nhưng trước tiên họ được chuyển hướng tới nội dung của một trang web mà chúng ta đã chuẩn bị sẵn. Ở đây chúng ta sẽ có cơ hội hiển thị cho họ các banner quảng cáo, các sản phẩm, dịch vụ đã và đang cung cấp, khuyến mãi hoặc đơn giản là thông tin liên quan đến doanh nghiệp của mình.

Mô hình Wifi hotspot

Router Mikrotik cung cấp tính năng wifi hotspot với nhiều tùy chỉnh và việc cấu hình cũng không quá khó nên việc ứng dụng sản phẩm Mikrotik để tạo điểm truy cập được sử dụng khá nhiều, tiêu biểu là các điểm wifi miễn phí tại Bờ Hồ, sân bay Nội Bài,…

Cấu hình wifi hotspot Mikrotik

Để cấu hình wifi hotspot trên Mikrotik, ta truy cập vào IP à Hotspot và nhấn vào Hotspot Setup để tạo Server Hotspot và thực hiện các bước tuần tự như sau:

Cấu hình wifi hotspot Mikrotik.

Chọn cổng chạy tính năng hotspot.

Đặt địa chỉ IP cho cổng đã chọn trước đó.

Chọn dải IP cấp cho thiết bị.

Chọn Certificate, thông thường hay để mặc định là none.

Chọn SMTP Server, thường để trống.

Đặt DNS Servers.

Đặt DNS Name, thường để trống.

Tạo tài khoản đăng nhập hotspot ban đầu.

Bỏ Cookie trong profile hotspot đã tạo ở tab Server Profiles.

Chúng ta có thể tùy chỉnh trang đăng nhập login.html ở Files à Thư mục hotspot:

Thư mục hotspot trong Mikrotik.

Để tùy chỉnh các file này một cách dễ dàng, ta vào IP à Services bật dịch vụ ftp:

Bật dịch vụ ftp.

Sau đó ta vào Explorer trên máy tính, nhập ftp://<địa chỉ IP hotspot interface>, ví dụ ftp://10.10.0.1, sau đó một cửa sổ sẽ hiện ra và yêu cầu nhập tên đăng nhập, mật khẩu truy cập winbox (thường là admin). Khi đăng nhập thành công, ta có thể copy, paste và tùy chỉnh các file trong thư mục hotspot theo nhu cầu. Thông thường trang đăng nhập mặc định Mikrotik sẽ như sau:

Trang đăng nhập mặc định của Mikrotik.

Trang đăng nhập wifi hotspot Mikrotik sau khi đã tùy chỉnh đơn giản.

Chỉ cần biết chút ít về html, css,… là chúng ta có thể tùy chỉnh trang đăng nhập wifi hotspot Mikrotik với các tùy chọn như đăng nhập, dùng voucher, click to login,…

Tùy chỉnh file login.html trong thư mục hotspot của Mikrotik.