Fui até o site da mikrotik pra ver a questão do range de portas.
Desde 1/2/2016 foi publicado um script de exemplo sobre CGNAT com o range de portas. Entre hoje e amanhã devo implantar e parar de coletar os logs.
Obrigado aos que ajudaram e @JeffersonSato que começou o post.
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Carrier-Grade_NAT_.28CGNAT.29_or_NAT444