Esta vez les queremos compartir una guia sobre como trasladar una ip pública a un cliente, en caso de que nuestro proveedor nos entregue un rango de ip’s públicas y un cliente tenga la necesidad de tener la suya propia, sin necesidad de acudir a NAT 1:1/DMZ o soluciones de ese tipo. Así como también no nos limitaremos a explicar como hacerlo, si no a explicar porque en algunos escenarios aunque sigamos los pasos correctamente, no nos funcionará, por supuesto descartando primero que alguna regla de Nat/Mangle o ruta pueda estar causando algún conflicto con la configuración. En el video adjunto a este artículo se nos plantea un escenario de Router ISP>Mikrotik Administrador>Cliente. En el administrador no hay ninguna regla de firewall (filter, nat o mangle) la única configuración establecida al comienzo del video es la dirección ip que tomamos del segmento del proveedor en la interfaz ether1 y una ruta por defecto con la gateway del proveedor para tener salida a internet mediante consola.
Como se menciona en el párrafo anterior, al ser un laboratorio, no habían reglas de nat previas. Pero, en prácticamente todos los casos tendremos una regla de nat masquerade con el que se da servicio normalmente a los clientes, en este caso, una vez hayamos asignado la dirección ip pública que le queremos dar al cliente en la sección de remote address de la cuenta pppoe sus conexiones seguirán pasando bajo la regla de nat que tengamos establecida, anulando la efectividad de la configuración. Para arreglar esto necesitamos crear una address list (porque se presupone que no solo tendremos un cliente ip fija) bajo el nombre de «Clientes_ip_publica» y ponemos allí todas las direcciones ip que vayamos a pasar a los clientes. Luego nos iremos a Ip firewall/Nat, seleccionamos la regla de nat con la que damos servicio a los clientes, luego click a advanced y, en src address list seleccionamos la lista previamente creada y habilitamos el signo de exclamación (!), esto para que el mikrotik sepa que tiene que enmascarar a todos los clientes excepto a los clientes que tienen ip fija (Para eso el «!»).
La regla que nos quedaría sería ésta (Con el proveedor en ether1):
/ip firewall nat add action=masquerade chain=srcnat comment=»Masquerade Excepto clientes ip pública» out-interface=ether1 src-address-list=!Clientes_ip_publica
Aprovecharemos la oportunidad para explicar la ruta que toman los paquetes suponiendo que nuestro proveedor nos haya entregado direcciones ip ruteadas (valga la redundancia). Teniendo en cuenta que nuestro proveedor nos dio como Gateway 14.20.24.1, nuestro Mikrotik administrador tiene 14.20.24.2, la Gateway pppoe es 172.16.0.1 y nuestro cliente usará la dirección IP 14.20.24.3
Guía de configuración:
https://www.youtube.com/watch?v=mVwUXmkfQy4