Cấu hình NAT Port trên Mikrotik với IP WAN Động hoặc Tĩnh
Trong bài viết này, mình sẽ hướng dẫn các bạn NAT port, hay còn gọi là mở port hoặc Port Forwarding trên Router cân bằng tải Mikrotik.
Mô hình
Trong thực tế thì khi chúng ta cần public 1 dịch vụ nào đó như 1 website, camera, SQL... thì chúng ta sẽ cần phải mở port để người dùng có thể truy cập được từ internet thông qua IP WAN. Đối với các dịch vụ khác nhau thì cách cấu hình vẫn sẽ giống nhau, các bạn chỉ cần thay đổi port cho dịch vụ đó là được. Trong bài viết này mình sẽ mở port 3389 cho dịch vụ remote desktop.
Mô hình của mình sẽ bao gồm 1 Máy tính ở bên dưới router Mikrotik. Máy tính có IP là 192.168.1.254 và đang bật dịch vụ Remote Desktop với port 3389. Trên router Mikrotik mình sẽ mở port để các máy tính ngoài Internet có thể remote được vào máy của mình. Với các dịch vụ như camera, SQL… thì các bạn chỉ cần thay đổi port tương ứng là được.
Kiểm tra Port nội bộ
Điều đầu tiên các bạn cần phải đảm bảo trước khi thực hiện NAT port là dịch vụ trong LAN phải được bật trước. Ví dụ các bạn có đầu ghi camera của hãng Hikvision có IP LAN là 192.168.1.254 đang dùng port 8080, thì khi đó các bạn phải truy cập được vào camera thông qua port này trong nội bộ trước. Mỗi ứng dụng sẽ có 1 cách kiểm tra khác nhau, với camera Hikvision, các bạn có thể add đầu ghi này vào phần mềm Hik-connect bằng IP LAN là 192.168.1.254, port 8080 và test thử. Với các ứng dụng khác thì các bạn có thể nhờ bên ứng dụng để kiểm tra. Có nhiều cách để kiểm tra, mình hay dùng TELNET. Mình sẽ hướng dẫn các bạn dùng telnet để check xem 1 port đã hoạt động hay chưa.
Đầu tiên trên máy tính, các bạn vào Controll Panel, vào menu Programs and Features, vào Turn Windows features on or off.
Tích chọn Telnet Client và nhấn OK. Windows sẽ cài đặt, các bạn chờ 1 lát là được.
Sau đó các bạn mở CMD lên. Để kiểm tra xem dịch vụ có đang được mở trên IP đó hay không các bạn chỉ cần TELNET đến IP đó với port là port dịch vụ mà chúng ta đang NAT, chứ không phải port 23 của TELNET.
Ví dụ với dịch vụ Remote Desktop port 3389. Khi Remote Desktop chưa được bật thì các bạn sẽ thấy thông báo lỗi không thể kết nối đến host này bằng port 3389.
Khi mà port 3389 được bật thì mình đã có thể telnet được. Tuy nhiên nó chỉ ra màn hình đen thôi, chúng ta chỉ sử dụng để xem port đã hoạt động hay chưa.
Sau khi đảm bảo dịch vụ đã hoạt động trong LAN, các bạn có thể cấu hình trên Mikrotik để mở port này. Có 2 trường hợp là IP WAN động và IP WAN tĩnh. Mình sẽ bắt đầu với trường hợp IP WAN là IP tĩnh
NAT Port với IP WAN là IP tĩnh
Với trường hợp đường mạng của các bạn đã đăng ký gói IP tĩnh thì khá đơn giản.
Trên Winbox, các bạn vào menu IP > Firewall, chuyển sang tab NAT. Nhấn dấu + để thêm 1 rule mới.
Nhập các thông số cho NAT rule:
- Chain: chọn dstnat.
- Dst. Address: nhập IP WAN của các bạn.
- Protocol: các bạn chọn theo dịch vụ mình muốn NAT, với remote destop thì nó là TCP.
- Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
- Chuyển sang tab Action.
- Action: chọn dst-nat.
- To Addresses: sẽ là IP nội bộ của chúng ta, trong mô hình của mình là 192.168.1.254.
- To Ports: nhập port nội bộ là 3389.
- Nhấn Apply > OK.
Như vậy là xong.
Để kiểm tra xem các bạn đã mở thành công chưa, các bạn có thể vào web ping.eu. Chọn Port check. Các bạn kiểm tra trạng thái port open là chúng ta đã cấu hình thành công.
NAT Port với IP WAN là IP động
Trường hợp thứ 2 là các bạn sử dụng IP WAN là IP động. IP WAN động sẽ thay đổi liên tục, thường thì mỗi khi router khởi động, hoặc sau 1 khoảng thời gian nhất định, nên chúng ta sẽ không chỉ định được IP WAN trong phần Dst Address như với trường hợp IP Tĩnh. Do vậy chúng ta sẽ cần phải sử dụng tính năng Cloud trên Mikrotik. Nó chính là dịch vụ DDNS nhưng trên Mikrotik thì menu của nó tên là Cloud.
Tuy nhiên tính năng này chỉ có trên các phiên bản từ 6.14 trở lên, với các phiên bản thấp hơn thì các bạn upgrade lên nhé.
Các bạn vào menu IP > Cloud. Sau đó tích chọn DDNS Enable và tích vào Update time. Nhấn Apply.
Mikrotik sẽ cho chúng ta 1 tên miền tương ứng với IP WAN, IP WAN của các bạn sẽ tự động được update theo thời gian phía trên. Các bạn để khoảng 10 phút là ok. Nghĩa là cứ sau 10 phút router sẽ update IP wan 1 lần, các bạn có thể để giá trị thấp, đang test lên mình sẽ để 1 phút cho nhanh. Các bạn copy lại URL trong mục DNS Name.
Truy cập vào menu IP > Firewall, chuyển sang tab Address Lists. Nhấn dấu + để tạo mới.
Name các bạn đặt sao cũng được, mình sẽ đặt là DDNS. Phần Address dán URL mà các bạn vừa copy trong trong menu Cloud.
Mikrotik sẽ tạo thêm 1 address bên dưới là IP wan đã được phân giải, IP này sẽ tự động thay đổi khi Cloud cập nhật lại IP mới.
Vẫn trong menu Firewall, chuyển sang tab NAT, nhấn dấu + để tạo rule mới.
Nhập các thông tin NAT với IP động.
- Chain: chọn dstnat.
- Phần Dst Address các bạn sẽ không nhập.
- Protocol: chọn theo dịch vụ của các bạn, Remote desktop là TCP.
- Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
- Chuyển sang tab Advanced.
- Dst Address List: các bạn chọn address mà các bạn đã tạo với tên miền của Mikrotik.
- Chuyển sang tab Action.
- Action: là dst-nat.
- To Addresses: là IP nội bộ.
- To Ports: nhập port nội bộ vào.
Khi đó mỗi khi IP WAN thay đổi thì Mikrotik sẽ cập nhật lại và port sẽ tự động được NAT qua IP mới do chúng ta đang NAT qua tên miền DDNS của Mikrotik chứ ko phải IP cố định.
Khi IP WAN thay đổi, các bạn cần chờ 1 lúc để router cập nhật IP mới nhé. Nó sẽ mất 1 lúc. Khi nào cloud cập nhật xong thì nó sẽ tự đổi, lúc đó thì các bạn check port mới open. Khi IP WAN vừa thay đổi thì các bạn check dịch vụ sẽ là close.
Và khi các bạn truy cập dịch vụ từ xa, thì các bạn cũng truy cập theo tên miền này chứ không phải IP nhé.
Ok như vậy là mình đã hướng dẫn bạn NAT port trên router Mikrotik với cả 2 trường hợp IP WAN động và tĩnh. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.
Chúc các bạn thành công!
Bình luận bài viết!
Để NAT được thì trước tiên bạn cần phải kiểm tra Port trong mạng LAN đã Open thì mới được. Bạn kiểm tra lại dịch vụ trong LAN trước nhé.