Mikrotik RouterOS NAT – Masquerade y Netmap

Existen varios tipos de NAT para diferentes propósitos. Todos conocemos el clásico «Masquerade«, que siempre utilizamos en los mikrotik de nuestros clientes, pero a veces trae algunos problemas extraños en la navegación que por suerte resuelve Netmap.

Además de action=masquerade también existe action=netmap. Los dos son muy similares entre si (hay una linea muy delgada entre uno y otro).

Tipos de NAT a grandes rasgos

  • Masquerade traduce desde 1 sola dirección publica, y permite un WAN con direcciones dinámicas. (también conocida como NAT dinámica).
  • Src-nat traduce de 1 a muchos. (Nat conocido para cuando hacemos port forwarding).
  • Netmap mapea de 1 a 1 Publica:Privada. (Conocida como NAT estatica).

Uno de los usos posibles NETMAP:

En mi escenario, mi proveedor superior routeaba las direcciones públicas a través de un punto a punto privado /29. De esta manera en tu WAN vas a tener una dirección IP Privada, y tu GW también va a ser privado. Entonces para poder tener salida con origen publico (hacia afuera), hay que configurar el GW público de tus abonados en una interfaz Privada. Los ISP que hacen esto realmente piensan en no desperdiciarnos ninguna dirección IP pública.

NOTA: Si el origen de la salida sería privado, muchos proveedores superiores que utilizan BGP, filtran el origen de tráfico en rangos privados.

Algunos ISP que han tenido que NATEAR en el escenario anterior (utilizando action=masquerade simplemente no funciona) lo que hacen es resolverlo agregar otro equipo Mikrotik dedicado al NATEO. Entonces de esa manera, le otorgan una dirección pública al equipo que dedican exclusivamente para NAT utilizando el clasico action masquerade.

Aquí es donde entra en acción NETMAP.

/ip firewall nat add action=netmap chain=srcnat comment="CGNAT rule" out-interface-list=WAN ipsec-policy=out,none src-address-list=nateados to-addresses=public/32

En Este ejemplo, esta habilitado ipsec passthrough para evitar problemas con servicios P2P, VPNs, Juegos (Xbox) etc.

Incluso en to-addresses podes setear por que dirección IP queres que se Nateen.

Para el que quiera profundizar les dejo este enlace que me gustó mucho:

2 comentarios

  1. If it’s a /32 public IP you want to use, you should be using src nat not netmap at all.

    Src nat for /32
    Masquerade for /32 as well
    Netmap for a range

    But it’s stupid to have 1000+ customers behind a single IP, it will trigger DDoS protections and Captcha checks everywhere on the web.

  2. Thanks so much @Daryll for your support, your good understanding of t CGNAT was crucial for fix our problem, and that was the reason to share this to someone else who could have the same issue.

    Of course, we understand the risk of use it for a large network. Is’t good to have your warning!!.

    Regards and was nice to have you here!.

Deja un comentario