راه اندازی NAT در میکروتیک

راه اندازی و یا پیاده سازی NAT در میکروتیک، NAT یکی از زیر مجموعه های ماژول Firewall در میکروتیک می باشد. هر زمان که ما دو شبکه مجزا داشته باشیم، اگر قصد داشته باشیم این دو شبکه با یکدیگر ارتباط داشته باشند می بایست بین آن ها Route یا به عبارتی مسیر داشته باشیم. چنانچه این Route به صورت دستی ( Static Route ) باشد اگر یک نقطه A و یک نقطه B را فرض نماییم، می بایست یک Route از سمت نقطه A به سمت نقطه B و همچنین یک Route از سمت B به A ایجاد کنیم. با انجام این کار ارتباط دو شبکه بر قرار خواهد گردید.

راه اندازی NAT در میکروتیک

فهرست مطالب

1. راه اندازی و یا پیاده سازی NAT در میکروتیک
2. مکانیزم NAT
3. انواع آدرس IP
4. NAT چگونه کار می کند
5. سناریو

مکانیزم NAT

حال فرض کنیم شبکه A به سمت شبکه B یک Route داشته باشد اما شبکه B به سمت A هیچ Route ای نداشته باشد، این دو شبکه نمی توانند با یکدیگر ارتباط بر قرار نمایند. چون B از آدرس A بی اطلاع است. در چنین شرایطی برای اینکه شبکه A بتواند با شبکه B ارتباط برقرار نماید از NAT استفاده می نماییم. بهترین مثال برای چنین سناریویی شبکه داخلی خانگی ما می باشد. ما در منزل های خود برای اتصال به اینترنت از یک مودم استفاده می کنیم که این مودم نقش روتر را ایفا می نماید. در مودم ها یک IP Public و یک IP Private وجود دارد که IP Public در سمت اینترنت و Private در سمت شبکه داخلی ( LAN ) می باشد. شبکه LAN به واسطه روتر به اینترنت دسترسی دارد اما شبکه اینترنت به سمت شبکه LAN هیچ مسیری ندارد . شاید این سوال برای شما پیش بیاید که اگر در هر دو طرف مسیر وجود ندارد چگونه ارتباط برقرار می شود و دسترسی به اینترنت امکان پذیر می گردد؟! این کار به واسطه NAT در شبکه صورت می پذیرد.

سناریو بالا را در نظر می گیریم. فرض کنیم PC1 به عنوان یک کامپیوتر در یک شبکه خانگی به وسیله یک سوئیچ به روتر ( مودم ) متصل شده است. پس اینترفیس Ether1 روتر به شبکه LAN متصل می باشد. اینترفیس Ether2 روتر به اینترنت متصل می باشد و در شبکه اینترنت قرار دارد. همانطور که مشاهده می کنیم روی اینترفیس شبکه داخلی یک Private IP تنظیم گردیده ( 192.168.1.1/24 ) همچنین روی همین اینترفیس یک DHCP سرور نیز پیاده سازی شده تا به کاربران در شبکه داخلی آدرس IP تخصیص دهد. و کامپیوتر ما با استفاده از DHCP آدرس IP ( 192.168.1.10 ) را دریافت نموده. روی اینترفیس دیگر روتر نیز یک آدرس Public IP تنظیم شده است و این اینترفیس به دلیل اینکه به اینترنت متصل شده باید حتما آدرس Public داشته باشد. در اینجا برای مثال آدرس 100.205.10.66 نیز برای اینترفیسی که به اینترنت متصل شده تخصیص یافته است. همانطور که می دانیم ما دو نوع آدرس IP داریم :

انواع آدرس IP

• آدرس های Public : این آدرس ها متعلق به دنیای اینترنت می باشند و این آدرس ها منحصر به فرد هستند و فقط از هر آدرس یک عدد در شبکه اینترنت وجود دارد.
• آدرس های Private : این آدرس ها در شبکه های داخلی LAN مورد استفاده قرار می گیرند. این آدرس ها در رنج های 10.0.0.0 – 10.255.255.255 و 172.16.0.0 – 172.16.31.255 و 192.168.0.0 – 192.168.255.255 می باشند. به غیر از این رنج ها تمامی آدرس ها Public خواهند بود. این آدرس ها برای استفاده در اینترنت غیر معتبر می باشند.

این آدرس ها از هم مجزا هستند و اجازه ورود به حیطه یکدیگر را ندارند. برای مثال آدرس های Private را نمی توان در اینترنت استفاده نمود و بالعکس.

حالا بررسی می کنیم که در شبکه چه اتفاقی در پس زمینه در حال انجام است:

NAT چگونه کار می کند

ما در Browser کامپیوتر www.msp-ict.com را وارد می کنیم. این آدرس در اینترنت قرار دارد و یک آدرس Public IP به این سایت در اینترنت اختصاص یافته و به همین دلیل ما می توانیم به این وب سایت دسترسی داشته باشیم. اما ما در شبکه داخلی خانه خود قرار داریم و با آدرس Private نمی توانیم به صورت پیش فرض با اینترنت ارتباط برقرار کنیم. برای انجام این کار در اولین مرحله، اسم www.msp-ict.com به واسطه پروتکل DNS ترجمه می شود و به IP تبدیل می گردد. برای مثال طبق سناریو بالا به واسطه پروتکل DNS اسم www.msp-ict.com تبدیل به آدرس IP ( 76.39.100.93 ) می شود. در مرحله بعدی کامپیوتر یک بسته با آدرس مبدا 192.168.1.10 و مقصد 76.39.100.93 خواهد داشت و متوجه می شود که آدرس شبکه مقصد با آدرس شبکه خودش یکسان نیست و اصطلاحا با هم در یک شبکه قرار ندارند.

در چنین شرایطی کامپیوتر بسته را به سمت Gateway خودش ارسال می نماید که همان روتر در شبکه است. روتر بسته را با مبدا 192.168.1.10 و مقصد 76.39.100.93 دریافت می نماید. در حالت پیش فرض چون مبدا بسته آدرس Private IP می باشد روتر این بسته را Drop خواهد نمود مگر اینکه ما روی روتر خود Source NAT تنظیم کرده باشیم. Source NAT یکی از حالت های استفاده از NAT در شبکه می باشد. با استفاده از Source NAT بسته مجدد ایجاد می شود ( Regenerate ) به این صورت که وقتی روتر قصد دارد بسته را به سمت www.msp-ict.com ارسال نماید از مبدا روتر به مقصد 76.39.100.93 آن را ارسال می کند. یعنی روتر آدرس Pubic خودش ( 100.205.10.66 ) را به جای آدرس اصلی بسته که 192.168.1.10 است قرار می دهد. ولی روتر می داند که چه دستگاهی در شبکه LAN این درخواست را به سمتش ارسال نموده.

پس از طی شدن مراحل قبلی بسته توسط روتر به سرور www.msp-ict.com ارسال می گردد. در مرحله بعدی هنگامی که وب سایت www.msp-ict.com قصد دارد به بسته پاسخ دهد و با قرار دادن آدرس خودش ( 76.39.100.93 ) به عنوان مبدا و قرار دادن آدرس Public IP روتر ( 100.205.10.66 ) به عنوان آدرس مقصد به درخواست پاسخ می دهد. با این شرایط بسته به روتر خواهد رسید و روتر با بررسی بسته همانطور که اشاره نمودیم از دستگاه اصلی ارسال کننده بسته در شبکه داخلی باخبر است و برای اینکه پاسخ بسته را به دست این دستگاه برساند بسته را مجددا Regenerate می نماید و مبدا بسته را 76.39.100.93 یعنی آدرس IP وب سایت www.msp-ict.com و مقصد را 192.168.1.10 قرار می دهد و پاسخ بسته به دستگاه مورد نظر خواهد رسید. این فرایند مفهوم Source NAT در شبکه می باشد و به واسطه NAT شبکه داخلی می تواند با اینترنت ارتباط برقرار نماید.

سناریو

با توجه به مطالب ذکر شده برای پیاده سازی NAT در میکروتیک سناریوی زیر را در نظر می گیریم :

در این سناریو پیش از انجام تنظیمات مربوط به NAT می بایست ابتدا به Ether1 میکروتیک آدرس 192.168.1.1/24 را اعمال نماییم و یک DHCP Server در اینترفیس Ether1 راه اندازی نماییم تا دستگاه ها در شبکه داخلی آدرس IP دریافت نمایند. همچنین در Ether2 می بایست آدرس Public IP خود را وارد کنیم. این تنظیمات را ما قبلا انجام داده ایم و در این مقاله صرفا تنظیمات مربوط به NAT را قرار می دهیم. جهت اعمال تنظیمات NAT می بایست نرم افزار Winbox را اجرا نماییم و از منوی IP زیر منوی Firewall را انتخاب می کنیم.

در پنجره باز شده روی NAT کلیک می نماییم  و همه تنظیمات مربوط به NAT در این قسمت انجام خواهد گرفت. برای اضافه نمودن NAT روی ( + ) کلیک می کنیم.

در پنجره بعدی چندین گزینه وجود دارد که اولین گزینه Chain می باشد. در این قسمت 2 انتخاب وجود دارد:

• srcnat : اگر قصد داشته باشیم شبکه داخلی ( LAN ) بتواند با اینترنت ارتباط برقرار نماید از srcnat استفاده می نماییم.
• dstnat : اگر شبکه اینترنت قصد برقراری ارتباط با شبکه داخلی را داشته باشد باید از dstnat استفاده کنیم. برای مثال قصد داریم وب سرور موجود در شبکه داخلی از اینترنت قابل دسترسی باشد.

در این سناریو ما قصد داریم شبکه داخلی بتواند به شبکه اینترنت دسترسی پیدا نماید پس باید از srcnat استفاده نماییم.

گزینه بعدی Src. Address می باشد. در این قسمت باید مشخص کنیم چه دستگاه هایی قرار است به اینترنت دسترسی داشته باشند. در این جا ما قصد داریم شبکه داخلی یعنی 192.168.1.0/24 به اینترنت دسترسی داشته باشد.

گزینه بعدی که باید تنظیمات روی آن اعمال شود گزینه Out Interface می باشد. این گزینه مشخص می نماید که پورت خروجی که قرار است به واسطه آن به اینترنت متصل شویم کدام پورت در روتر می باشد. در سناریو ما این پورت Ether2 می باشد.

در مرحله بعدی باید برای NAT Rule یک Action تنظیم کنیم. در این قسمت باید گزینه masquerade را انتخاب کنیم. هر زمان که قصد داشته باشیم شبکه داخلی را به اینترنت متصل کنیم باید از این Action استفاده نماییم.

اکنون با کلیک بر روی OK تنظیمات انجام شده را اعمال می نماییم. اکنون باید قادر باشیم با اینترنت ارتباط برقرار نماییم. همچنین برای اینکه از شبکه اینترنت بتوان به شبکه داخلی دسترسی پیدا نمود، تنظیمات مشابه اما برعکس تنظیمات صورت گرفته در بالا می باشد. به این صورت که باید گزینه های dstnat، Dst. Address و In Interface مقداردهی گردند.