NAT — Трансляція мережевих адрес¶

NAT (Network Address Translation) — механізм перетворення IP-адрес між різними адресними просторами, що дозволяє декільком пристроям у приватній мережі використовувати одну публічну IP-адресу для виходу в Інтернет або зовнішню мережу.

Опис¶

Приватні IP-адреси (діапазони 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) не маршрутизуються в публічному Інтернеті. NAT вирішує цю проблему: роутер на межі мережі замінює приватну адресу відправника на свою публічну адресу при відправці пакету назовні, і відновлює зворотну трансляцію при отриманні відповіді. Таблиця з'єднань (NAT table) зберігає відповідність між приватними адресами та портами і зовнішніми з'єднаннями.

Найпоширеніший різновид — Masquerade (NAPT, PAT): кілька внутрішніх хостів відображаються на одну зовнішню IP-адресу з різними портами. Це дозволяє сотням пристроїв одночасно виходити в мережу через один канал.

Destination NAT (DNAT, Port Forwarding) використовується для зворотної задачі — направити вхідні з'єднання ззовні на конкретний внутрішній сервер. Наприклад, перенаправити TCP/22 із зовнішньої адреси на SSH-сервер у захищеному сегменті.

NAT приховує внутрішню топологію мережі від зовнішніх спостерігачів, що дає додатковий шар захисту, але ускладнює пряме з'єднання між вузлами (peer-to-peer). Для подолання цього обмеження використовують VPN-тунелі або протоколи обходу NAT (STUN, TURN).

В контексті UMTC¶

У польових мережах UMTC NAT застосовується на будь-якому MikroTik-роутері, що виступає шлюзом між польовим сегментом і зовнішнім каналом. Правило Masquerade в RouterOS дозволяє всій польовій підмережі (наприклад, 10.50.1.0/24) виходити через один зовнішній IP-адресу Starlink-терміналу або мобільного модему.

DNAT використовують для відкриття доступу до внутрішніх сервісів (управління BBU, веб-інтерфейс, SSH) через зашифрований WireGuard-тунель без прямого виходу цих сервісів у публічну мережу. Поєднання NAT + WireGuard забезпечує ізоляцію польової мережі та централізований контроль доступу.

При побудові mesh-бекхолу між вежами слід уникати подвійного NAT (double NAT) — ситуації, коли пакет проходить трансляцію двічі, що ускладнює діагностику та знижує надійність з'єднань.

Пов'язані терміни¶

• wireguard — VPN-тунель, що дозволяє обійти обмеження NAT при peer-to-peer з'єднаннях
• ipv4 — адресний простір, для якого NAT є основним механізмом збереження адрес
• ipv6 — альтернатива IPv4, де NAT теоретично не потрібен через великий адресний простір
• vrf — ізоляція маршрутних таблиць, яку часто поєднують з NAT для розмежування трафіку
• mikrotik — платформа, де NAT налаштовується через /ip firewall nat

Посилання¶

• RFC 3022 — Traditional IP NAT — специфікація класичного NAT
• MikroTik: NAT — документація RouterOS