Exemplo 1:
============================================================
O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP desta como gateway e o segundo como IP do seu servidor MikroTik .
Neste caso, configure a interface do Link como proxy-arp e a interface dos clientes como reply-only depois adicione a seguinte regra no mikrotik em NEW TERMINAL, cole:
/ ip firewall nat
add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX \
comment="REPASSE DE IP" disabled=no
Onde XX.XX.XX.XX/XX é o IP/MASCARA que tiver disponível no seu link
Após ter feito isso adicione cada IP no campo 'Remote Address' em 'PPP secret' para cada cliente que tiver 'IP Público e fixo' ou crie uma pool em IP 'pool' contendo os IPs disponíveis e defina esta 'pool' no 'profile' de seu servidor PPPoE ou ainda apenas no profile/plano que estiverem os clientes que vão receber IP Público e estes terão um IP dinâmico que poderá mudar a cada nova conexão.
Dica 1: PROXY-ARP não é o método mais seguro mas permite alguma flexibilidade quando não dispomos de muitos IPs.
Dica 2: Não crie um mascaramento dito 'genérico', mascare apenas as classes de IP privadas que estiverem em uso. Ex: 10.0.0.0/24 e sempre informe a 'out-interface' no mascaramento como sendo a interface do link (EthLinkD).
Dica 3 e puxadinha de orelha: Cuidado com programas de gerenciamento para provedores que criam regras mal concebidas que seguem uma lógica esdrúxula como se todo provedor tivesse o mesmo tipo de necessidade, essa é a causa provável de muitos problemas.
============================================================
Exemplo 2:
O provedor recebe o link dedicado em uma classe e possui outras classes adicionais para utilizar com clientes, ou ainda pode quebrar em sub-classes para montar seu roteamento.
Este é o típico caso onde podemos aplicar o roteamento de forma bastante simples.
Básicamente o que deve fazer é seguir com o roteamento da operadora 'pra dentro' da sua estrutura, vamos lá:
1. Coloque um IP público na interface do link.
2. Defina as classes públicas nos pools de IPs que irá utilizar para seus usuários e a cadeia de conexão que deverão seguir.
Ex: PoolA cai no PoolB quando estiver cheio e assim por diante, recomendo que faça isso pois terá um melhor controle e poderá utilizar para cada pool de IPs um plano diferente e isso tem várias implicações numa QoS.
3. No profile padrão do PPPoE indique que o 'Local Address' que será o gateway default dos clientes é o IP público da interface do link, assim o roteamento estará completado.
Trocando em miúdos, você estará indicando que a rota de saída dos IPs segue seu roteamento padrão.
Dica 4: Nunca mascare classes de IPs públicos a não ser que tenha uma boa justificativa, como por exemplo por possuir poucos IPs pode criar um mascaramento para cada plano e indicar uma saída para cada plano ou seja, clientes do planoA saem mascarados pelo ip público A, do B pelo B e assim por diante.
Exemplo 3:
============================================================
Repassando mais de um IP pela conexão PPPoE utilizando roteamento estático.
Defina um IP fixo para o cadastro do secret/usuário em questão no campo 'Remote Address', pode até ser um IP privado.
Acesso o menu IP / Route e adicione uma rota contendo no destino os IPs que deseja repassar e no gateway o IP do usuário que utilizou cadastro do usuário/secret no passo anterior.
Obs: Se tiver muitos clientes com esta mesma necessidade este método é inviável e se faz necessário implantar o OSPF para o gerenciamento das rotas. Na maioria dos casos a implantação é simples e rápida mas vai depender de como a rede estiver configurada.
Exemplo 4:
============================================================
No caso de muitas rotas onde já tiver a autenticação na borda deverá optar por um método de roteamento dinâmico e uma das vantages é que com isso economiza recursos da central e aumenta consideravelmente a segurança da sua rede de distribuição (não é obvio mas em vista do que encontramos na prática é quase regra).
Se for migrar uma bridge de distribuição por exemplo, o primeiro passo é passar a autenticação para as bordas, na sequência roteie os dispositivos conectados a borda e siga em direção a saída do link, com isso será possível fazer a migração a quente mesmo e continuar usufruindo da estrutura em bridge até a virada total.
Um OSPF básico é também rápido de fazer, você tem de definir a network área que fará o transporte redistribuindo a rota default e redistribuir as conectadas tipo 1 no seu servidor.
Nas bordas precisa configurar a mesma network área para o transporte e na instância redistribuir a rota default e conectadas tipo 2.
Dessa forma já estará em funcionamento e será possível visualizar as instâncias UP em ambos os lados, também pode ter outras áreas entre a borda e o seu concentrador aumentando a complexidade e até terminar num anel podendo utilizar essa topologia como backup de rotas com o stp/rstp ainda tendo a possibilidade de custos diferenciados para cada saida permitindo balancear melhor o tráfego mas isso seria material para outro post.
Casos: Recentemente fizemos uma virada a quente de uma rede em bridge com aproximadamente 190 dispositivos wireless atendendo entre 2500 e 3 mil usuários por isso não era possível parar em nenhum momento os serviços já existentes, ficam as dicas acima pois vão encontrar muitos casos semelhantes no seu dia a dia.
Exemplo 5:
============================================================
NAT 1:1 Para redirecionamento público/privado e seu retorno, tens duas formas de fazer, por dst-nat e src-nat ou utilizando netmap conforme os exemplos:
Adicione o ip público e mascara a interface pública do mikrotik (entrada do link).
Ex: 200.xxx.xxx.10/28 na interface 'EthLinkD'
Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para o ip público 200.xxx.xxx.10 utilizando também a action dst-nat para o ip privado, identificando a interface de entrada como sendo o seu link.
action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=186.x.x.27 in-interface=EthLinkD to-addresses=10.xx.xx.10
Na sequencia faça o oposto, mascarando as requisições que chegarem do ip privado 10.xx.xx.10 para sairem pelo ip público 186.x.x.27 identificando a interface de saída como sendo o link.
action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.xx.xx.10 to-addresses=186.x.x.27
E não esqueça de colocar estas regras antes do seu mascaramento geral para que tenha o resultadao esperado, este é um exemplo de NAT 1:1, você também pode utilizar o netmap para a função e fazer o repasse para uma range de ips sem necessidade de criar uma regra para cada ip.
----------------------------------------------------------------------
Fiz a pedido então espero que atenda a necessidade qualquer coisa façam como eu fiz, explique direitinho o que precisa que não vai faltar quem ajude e se ficarem dúvidas vou complementando no decorrer dos dias.
Ajude a manter o fórum organizado: faça perguntas com fundamento e principalmente não espere que alguém adivinhe o que você tem implantado e o que você quer fazer, dê exemplos detalhados pra que possamos ajudar.
Nosso combustível é o seu agradecimento então se foi de alguma ajuda não deixe de clicar na estrelinha e agradecer, a gente agradece.
Abraço a todos e obrigado pelos incentivos.