Estava observando que toda vez que acesso o mk-auth não aparecia mais o real ip de onde estava sendo feito o acesso como acontecia anteriormente, mas de repente parou de mostrar o ip da origem que acessava o mk-auth.
Antes eu podia acessar a dashboard de configuração do mk-auth de qualquer lugar que o mesmo informava em IP DE ACESSO o ip inclusive se tivesse acessando de fora da rede aparecia o ip público de onde era feito o acesso, então de repente não era mais possível carregar esse ip corretamente, o mk-auth só apontava para o ip do próprio mk-auth 172.31.255.1coisa chata ne?
Isso parece inofensivo já que não influenciava na utilização do sistema, ERRADO! influencia muito na segurança e identificação de quem realizou o acesso e de onde partiu o acesso, os logs não mostravam mais o ip da origem que foi realizado o acesso, inclusive os acessos dos clientes pela Central do assinante comprometendo toda integridade dos logs, depois de muito pesquisar aqui no fórum e também nos grupos whatsapp SÓ para mk-auth e ninguém sabia porque de repente isso poderia estar acontecendo, então mexendo aqui descobri o porque.
Tem tudo a ver com o firewall do mikrotik, especificamente o NAT muita gente não sabe, mas a forma correta de fazer nat em uma rede não é simplesmente acessar a aba General e em CHAIN definir em srcnat e na aba Action em Action definir como masquerade e pronto,
achar que já fez um nat e correr pro abraço, na realidade você está fazendo de tudo que você acessar na rede pra tudo que você nem sabe em toda rede, isso é ruim porque fica muito abrangente seu nat, se você acessar uma CPE na realidade vais fazer um nat pra ela, se você acessar um roteador, vais fazer um nat pra ele, se vai acessar seu mk-auth, está fazendo um nat pra ele.
O correto é fazer o nat como informado acima, mas definir a interface de saída do seu link, dessa forma tudo que for acessar o roteador de borda empacotará os pacotes selando ele com o ip que você está conectado para enviar para o destino que você quer acessar, mas imaginando que com aquele endereçamento que ele fez você vai sair pra internet, mas não necessária mente você precisa sair pra internet, podendo estar acessando seus ativos internos com maior clareza para o roteador (boas práticas de rede), então fiaria assim no seu firewall:
Você acessa seu firewall pela aba General e em CHAIN define em srcnat, nessa mesma aba você define em Out. interface a sua interface que está entrando o link e que consequentemente será a passagem de qualquer pacote da sua rede pra internet e vice-versa e por final na aba Action em Action defina como masquerade e pronto agora sim é só correr pro abraço.
Então o resultado final é esse
Respostas
No meu caso aqui entra na ether1 e ether2, e sai pelas 3-4-5-6-7-8. Devo fazer 1 nat para saída então?
Se for link dedicado não faça, se for Adsl ou Vdsl ai precisa.
Eu não trabalho com balance mas provavelmente alguém que estiver acompanhando esse assunto vai poder ajudar você melhor.
http://mk-auth.com.br/xn/detail/2529151:Comment:407383