Trong thực tế, khi chúng ta cần public một dịch vụ nội bộ như website, camera, SQL Server, hay Remote Desktop để truy cập từ bên ngoài (Internet), thì bắt buộc phải mở port tương ứng trên router. Đây là thao tác quan trọng trong quản trị mạng, giúp kết nối giữa mạng LAN và Internet thông qua IP WAN. Trong bài viết này, mình sẽ chia sẻ mô hình NAT port trên MikroTik, với ví dụ cụ thể là mở port 3389 cho Remote Desktop (RDP).
1. Mô hình NAT port trên MikroTik
Sơ đồ mô hình:
-
Thiết bị:
-
Router MikroTik (ví dụ: hEX, CCR…) kết nối Internet.
-
Máy tính nội bộ (PC) nối với MikroTik qua LAN.
-
IP tĩnh:
192.168.1.254 -
Dịch vụ đang chạy: Remote Desktop
-
Cổng dịch vụ: TCP 3389
-
-
Mục tiêu
-
Cho phép truy cập từ xa từ Internet vào máy tính qua Remote Desktop (RDP).
-
Với các dịch vụ khác như camera, SQL Server, chỉ cần thay đổi port tương ứng trong cấu hình NAT.
NAT Port với IP WAN là IP tĩnh
-
Truy cập Winbox vào MikroTik
-
Vào IP → Firewall → NAT
-
Nhấn Add (+) để thêm rule mới
Nhập các thông số cho NAT rule:
- Chain: chọn dstnat.
- Dst. Address: nhập IP WAN của các bạn.
- Protocol: các bạn chọn theo dịch vụ mình muốn NAT, với remote destop thì nó là TCP.
- Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
- Chuyển sang tab Action.
- Action: chọn dst-nat.
- To Addresses: sẽ là IP nội bộ của chúng ta, trong mô hình của mình là 192.168.1.254.
- To Ports: nhập port nội bộ là 3389.
- Nhấn Apply > OK.
Như vậy là xong.
Để kiểm tra xem các bạn đã mở thành công chưa, các bạn có thể vào web ping.eu. Chọn Port check. Các bạn kiểm tra trạng thái port open là chúng ta đã cấu hình thành công.
NAT Port với IP WAN là IP động
-
Với IP WAN tĩnh, bạn có thể khai báo chính xác IP trong mục NAT (Dst. Address).
-
Nhưng với IP WAN động, IP sẽ thay đổi sau mỗi lần router khởi động hoặc sau một thời gian nhất định → không thể dùng IP cố định trong NAT.
- MikroTik tích hợp sẵn dịch vụ DDNS để gán cho router một tên miền động có định dạng
[chuỗi-ngẫu-nhiên].sn.mynetname.net
Menu IP > Cloud. Sau đó tích chọn DDNS Enable và tích vào Update time. Nhấn Apply.
Mikrotik sẽ cho chúng ta 1 tên miền tương ứng với IP WAN, IP WAN của các bạn sẽ tự động được update theo thời gian phía trên. Các bạn để khoảng 10 phút là ok. Nghĩa là cứ sau 10 phút router sẽ update IP wan 1 lần, các bạn có thể để giá trị thấp, đang test lên mình sẽ để 1 phút cho nhanh. Các bạn copy lại URL trong mục DNS Name.
Truy cập vào menu IP > Firewall, chuyển sang tab Address Lists. Nhấn dấu + để tạo mới.
Name các bạn đặt sao cũng được, mình sẽ đặt là DDNS. Phần Address dán URL mà các bạn vừa copy trong trong menu Cloud.
Mikrotik sẽ tạo thêm 1 address bên dưới là IP wan đã được phân giải, IP này sẽ tự động thay đổi khi Cloud cập nhật lại IP mới.
Vẫn trong menu Firewall, chuyển sang tab NAT, nhấn dấu + để tạo rule mới.
Nhập các thông tin NAT với IP động.
- Chain: chọn dstnat.
- Phần Dst Address các bạn sẽ không nhập.
- Protocol: chọn theo dịch vụ của các bạn, Remote desktop là TCP.
- Dst Port: nhập port mà các bạn sẽ sử dụng ngoài internet để truy cập vào, nó có thể giống hoặc khác port nội bộ, nhưng thông thường chúng ta sẽ sử dụng giống port nội bộ.
- Chuyển sang tab Advanced.
- Dst Address List: các bạn chọn address mà các bạn đã tạo với tên miền của Mikrotik.
- Chuyển sang tab Action.
- Action: là dst-nat.
- To Addresses: là IP nội bộ.
- To Ports: nhập port nội bộ vào.
Khi đó mỗi khi IP WAN thay đổi thì Mikrotik sẽ cập nhật lại và port sẽ tự động được NAT qua IP mới do chúng ta đang NAT qua tên miền DDNS của Mikrotik chứ ko phải IP cố định.
Khi IP WAN thay đổi, các bạn cần chờ 1 lúc để router cập nhật IP mới nhé. Nó sẽ mất 1 lúc. Khi nào cloud cập nhật xong thì nó sẽ tự đổi, lúc đó thì các bạn check port mới open. Khi IP WAN vừa thay đổi thì các bạn check dịch vụ sẽ là close.
Và khi các bạn truy cập dịch vụ từ xa, thì các bạn cũng truy cập theo tên miền này chứ không phải IP nhé.
Ok như vậy là mình đã hướng dẫn bạn NAT port trên router Mikrotik với cả 2 trường hợp IP WAN động và tĩnh. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.
Chúc các bạn thành công!
Bài viết liên quan:
-
Hướng dẫn cấu hình chia VLAN trên Router Mikrotik (Chuẩn nhất 2025)
-
Hướng Dẫn Cấu Hình Cân Bằng Tải 1 Đường PPPoE và 1 Đường LAN Trên MikroTik
-
Hướng dẫn cấu hình cơ bản Router Mikrotik
-
Khắc Phục Lỗi Kết Nối WireGuard Khi Bật FastTrack Trên Mikrotik
-
Tối Ưu Hệ Thống Mạng Với FastTrack Trên Router Mikrotik 750Gr3
-
Hướng dẫn cấu hình Destination NAT & Hairpin NAT trên router Mikrotik
-
Bảng giá thi công lắp đặt camera 2025
-
Thiết kế hệ thống mạng nội bộ 2024
-
Bảng giá thi công lắp đặt camera 2024
-
GIẢI PHÁP VIDEO INTERCOM DÀNH CHO BIỆT THỰ, CHUNG CƯ – HIKVISION SOLUTION
-
Thiết kế hệ thống mạng nội bộ 2023
-
Thiết kế hệ thống mạng lan cho công ty
-
Bảng giá thi công lắp đặt camera 2023
-
Dịch vụ lắp đặt camera trọn gói cho khách sạn
-
Báo giá lắp đặt camera giám sát trọn gói
-
Dịch vụ lắp đặt camera trọn gói cho cửa hàng