Hướng dẫn cấu hình NAT Port, Hairpin NAT trên thiết bị Router Mikrotik với IP WAN Động hoặc Tĩnh

Trong hệ thống mạng, việc công bố các dịch vụ nội bộ như web server, camera, NAS…ra Internet là nhu cầu phổ biến, và điều này thường được thực hiện thông qua kỹ thuật NAT Port (chuyển tiếp cổng). Tuy nhiên, để các thiết bị trong mạng LAN cũng có thể truy cập các dịch vụ đó bằng IP Public, bạn cần triển khai thêm Hairpin NAT. Bài viết này sẽ hướng dẫn bạn cách cấu hình NAT Port và Hairpin NAT trên thiết bị Router MikroTik, áp dụng cho cả trường hợp sử dụng IP WAN động hoặc tĩnh, giúp hệ thống hoạt động ổn định và linh hoạt hơn.

Hairpin NAT là gì?

Hairpin NAT (hay còn gọi là NAT Loopback) là một kỹ thuật cho phép các thiết bị trong mạng nội bộ (LAN) truy cập vào các dịch vụ nội bộ thông qua địa chỉ IP Public của chính mạng đó.

Bình thường, khi một thiết bị trong LAN cố gắng truy cập IP Public, gói tin sẽ đi ra router rồi lại quay trở về mạng LAN. Tuy nhiên, router sẽ không biết cách xử lý luồng dữ liệu này nên sẽ chặn kết nối.

Với Hairpin NAT, router sẽ dịch lại địa chỉ (NAT) và chuyển tiếp đúng gói tin về máy chủ nội bộ. Thiết bị trong LAN có thể truy cập dịch vụ nội bộ thông qua IP Public giống như người dùng từ bên ngoài truy cập vào.

Bạn có thể hình dung đơn giản: dữ liệu đi ra rồi quay lại qua cùng một cổng, tạo thành hình chữ U, đó chính là lý do kỹ thuật này được gọi là “Hairpin”.

NAT là gì?

Trước khi tìm hiểu Hairpin NAT, chúng ta cần hiểu NAT cơ bản, vì Hairpin NAT cũng là một dạng NAT đặc biệt.

• NAT (Network Address Translation): là kỹ thuật cho phép Router thay đổi địa chỉ IP trong gói tin khi nó đi qua. Hai dạng NAT phổ biến liên quan đến Hairpin NAT:
• Src-NAT (Source NAT): Thay đổi địa chỉ nguồn, thường dùng khi thiết bị LAN truy cập Internet. Dạng phổ biến là Masquerade.
• Dst-NAT (Destination NAT): Thay đổi địa chỉ đích, dùng để chuyển tiếp dịch vụ từ ngoài Internet vào mạng nội bộ.

Ví dụ: Khi máy tính trong LAN (192.168.1.50) truy cập một dịch vụ bên ngoài, Router sẽ đổi Source IP thành IP Public. Khi dữ liệu phản hồi về, Router đổi ngược lại thành IP LAN để gói tin về đúng thiết bị.

Khi nào cần Hairpin NAT?

• Khi bạn có server nội bộ (Web server, Camera server, NAS, FTP…) nhưng người dùng (hoặc ứng dụng) lại truy cập bằng IP Public hoặc tên miền gắn vào IP Public hoặc IP Tĩnh.
• Dùng trong các hệ thống có:
• Port Forwarding
• VPN + dịch vụ nội bộ
• Môi trường test domain public trong LAN

Nếu không có Hairpin NAT, client trong LAN không truy cập được dịch vụ bằng IP public hoặc IP Tĩnh.

Cấu hình Hairpin NAT trên MikroTik

Mô hình giả lập trên EVE với:

• IP WAN: 42.116.184.137
• IP NỘI BỘ: 192.168.1.0/24
• IP NAS SYNOLOGY:192.168.1.221/24 (Thiết bị để Hairpin NAT cho nội bộ truy cập bằng IP WAN)

Đối với IP PUBLIC là IP tĩnh

Bước 1: Cấu hình Port Forwarding (Destination NAT)

Trước tiên, bạn cần cấu hình Router để chuyển tiếp yêu cầu từ Internet tới thiết bị nội bộ.

• Đăng nhập vào giao diện WinBox hoặc WebFig của MikroTik.
• Vào menu IP, chọn Firewall.
• Chọn tab NAT và nhấn dấu + để thêm rule mới.
• Trong tab General:
• Chain: Chọn dstnat (Dùng để kiểm tra & chuyển hướng gói tin tới IP nội bộ).
• Dst. Address: 42.116.184.137 (Đây là IP WAN của Nhà mạng cấp cho bạn).
• Protocol: Chọn tcp (Hoặc giao thức mà bạn cần chọn).
• Dst. Port: 5000 (Bạn nhập port cần chuyển tiếp, đây là port mà sẽ được mở ở bên ngoài với IP WAN của bạn).
• Trong tab Action:
• Action: Chọn dst-nat (thay đổi IP đích từ Public IP sang IP LAN).
• To Addresses: Nhập địa chỉ IP nội bộ của thiết bị (ví dụ: 192.168.1.221).
• To Ports: 5000 (Nhập port của thiết bị đây là port của dịch vụ chạy trên thiết bị nội bộ.).
• Nhấn OK để lưu.

Bước 2: Cấu hình Hairpin NAT

Bây giờ, bạn cần thêm một quy tắc NAT để xử lý các yêu cầu từ mạng nội bộ khi dùng public IP.

Vào lại IP > Firewall > NAT và nhấn dấu + để thêm rule mới.

Trong tab General:

• Chain: Chọn srcnat (source NAT).

• Src. Address: Nhập dải địa chỉ mạng nội bộ (ví dụ: 192.168.1.0/24).

Trong tab Action:

• Action: Chọn masquerade(đổi IP nguồn thành IP của router).

• Nhấn OK để lưu.

Giải thích thuật ngữ:

• srcnat: Quy tắc NAT áp dụng cho các gói tin đi ra (source). Nó thay đổi địa chỉ nguồn của gói tin để router biết cách xử lý.

• masquerade: Một dạng của srcnat, tự động thay địa chỉ nguồn của gói tin thành địa chỉ của router, giúp gói tin "quay đầu" trở lại mạng nội bộ.

Đối với IP PUBLIC là IP động

Đối với nhà cung cấp Internet của bạn cấp IP động (thay đổi thường xuyên), việc sử dụng địa chỉ IP công cộng trực tiếp sẽ bất tiện. Thay vào đó, bạn có thể dùng Dynamic DNS (DDNS) để gán một tên miền cố định (như yourhome.ddns.net) cho Router, dù IP công cộng có thay đổi.

Bước 1: Cấu hình DDNS trên MikroTik

• Bạn đăng nhập vào WinBox hoặc WebFig.
• Vào menu IP, chọn Cloud.
• Bật tính năng DDNS Enabled (Kích hoạt DDNS).
• Nhấn Apply.

Sau khi nhấn Apply, Router Mikrotik sẽ cấp cho bạn tên miền.

Bước 2: Vào lại IP > Firewall > Adress Lists và nhấn dấu + để thêm danh sách List.

• List: Đặt tên là wan. (có thể đặt tùy ý theo bạn).
• Address: Copy tên miền từ dịch vụ Dynamic DNS  (hgp09s5w...mynetname.net).

Mục đích:

• Khi IP Public của bạn không cố định (mạng 4G, FTTH Dynamic IP), tên miền này sẽ luôn trỏ tới IP WAN hiện tại.
• Hairpin NAT sẽ dựa vào tên miền này để biết khi nào gói tin client trong LAN đang gọi IP Public.

Bước 3: Cấu hình Port Forwarding (Destination NAT)

Vào menu IP, chọn Firewall.

Chọn tab NAT và nhấn dấu + để thêm rule mới.

Trong tab General:

• Chain: Chọn dstnat (Dùng để kiểm tra & chuyển hướng gói tin tới IP nội bộ).
• Dst. Address List: WAN (Đây là Danh sách list bạn gán tên miền luôn trỏ về ip wan động).
• Protocol: Chọn tcp (Hoặc giao thức mà bạn cần chọn).
• Dst. Port: 5000 (Bạn nhập port cần chuyển tiếp, đây là port mà sẽ được mở ở bên ngoài với IP WAN của bạn).

Trong tab Action:

• Action: Chọn dst-nat (thay đổi IP đích từ Public IP sang IP LAN).
• To Addresses: Nhập địa chỉ IP nội bộ của thiết bị (ví dụ: 192.168.1.221).
• To Ports:5000 (Nhập port của thiết bị đây là port của dịch vụ chạy trên thiết bị nội bộ).

Nhấn OK để lưu.

Tiếp theo,  bạn làm tương tự ở “Bước 2: Cấu hình Hairpin NAT” bên trên. Hai phần đều tương tự nhau, chỉ các mục ở phần mở port của IP động và IP tĩnh khác nhau về mục Dst Address list vs Dst address.

Về mặt kỹ thuật: 

• Nếu không có Hairpin NAT:

Client gửi qua Router → Server trả trực tiếp → Client không nhận được dữ liệu (stateful firewall hoặc NAT table mismatch).

Nguyên nhân: Gói đi qua Router nhưng gói về không đi qua Router → Router không biết connection → chặn (state mismatch).

• Khi có Hairpin NAT:

Client (192.168.1.50) → gọi IP Public (42.116.184.137:5000)

Router nhận gói → Dst-NAT: đổi IP đích thành 192.168.1.221 (IP nas synology)

Hairpin Src-NAT: đổi IP nguồn thành IP của router (192.168.1.1 hoặc IP bridge)

Server nhận gói: Src-IP = 192.168.1.1, Dst-IP = 192.168.1.221

Server trả về 192.168.1.1 (Router)

Router nhận → Forward về Client LAN 192.168.1.50

Client nhận thành công → Connection OK

Kết quả khi thực hiện Hairpin NAT đối với IP tĩnh:

Kết quả khi thực hiện Hairpin NAT đối với IP động (cấu hình trỏ về tên miền Router mikrotik):

Trên đây là hướng dẫn cấu hình NAT Port và Hairpin NAT trên thiết bị Router MikroTik với cả IP WAN động và tĩnh, giúp bạn dễ dàng công bố dịch vụ nội bộ ra Internet và vẫn đảm bảo các thiết bị trong mạng LAN có thể truy cập thông qua IP Public. Đừng quên theo dõi Việt Tuấn thường xuyên để biết thêm những kiến thức mạng hữu ích nhé!