[GTER] Morte às mensagens de NAT tipo 3 - DANOS - CGNAT OpenSource com BPA EIM/EIF e UPnP/PCP

Thu Jul 23 22:26:27 -03 2020

Como o Rubens falou...
Um IP para cada assinante Gamer não escala!
Um ISP com 5000 clientes em um /22, que tenha 300 clientes games já
gastaria 30% dos IPs públicos só com Gamers.

E uma coisa é certa:
Caixas de CGNAT de marcas renomadas RESOLVEM QUASE TOTALMENTE o problema de
Gamers e CGNAT com o suporte correto a PCP/UPnP e EIM/EIF.

A quesão aqui é não ter que pagar 100K numa caixa pra 10Gbps de CGNAT.

Em qui., 23 de jul. de 2020 às 22:15, Rubens Kuhl <rubensk at gmail.com>
escreveu:

> Só que atribuir um IPv4 para cada assinante gamer não escala... a
> diferença de valor de assinatura que conseguiria pagar aquisição de
> blocos no mercado secundário não é admitida pelo mercado.
>
>
> Rubens
>
> On Thu, Jul 23, 2020 at 10:08 PM Renato Frederick
> <renato at frederick.eti.br> wrote:
> >
> > Uma pergunta:
> >
> > Não desmerecendo o quão interessante é fazer o estudo e os resultados
> obtidos, mas levando pro lado de quem não tem poder de ficar testando, seja
> lá os motivos:
> >
> > Notei o foco em jogos online e SIP.
> > Para os gammer's e empresas que precisam de RTP/SIP, a solução seria
> alocar além do IPv6, 1 IPv4, tirar o GCNAT e menos 1 cliente amolando?
> >
> > Pergunto pois aqui quando por engano colocaram o GCNAT, por coindencia
> fiquei jogando pra passar tempo, até o vendedor conseguir fazer "o
> sistema"(este ser místico, que usam quando não querem admitir o erro
> humano) entregar pro técnico o pedido e pagamento do IPv4. A Tela de status
> do psn ficou ruim.
> > Depois que pus o IPv6 ficou mais ou menos e a qualidade perfeita veio
> com o IP público. As telas de teste ficam joia quando ativa UpnP.
> >
> > Pra quem hoje não aguenta mais cliente que fala que paga 300M pra jogar
> e bla blá blá, a solução é tirar CGNAT, fornecer IPv4 público, daí ativar
> no Equipamento dele Nat plug and play, salvar este IP nós logs e menos 1
> problema?
> >
> > Pois estes dias vivendo "do outro lado" notei que CGNAT(ou como fizeram
> aqui) não flui com jogos.
> >
> >
> >
> > ⁣Enviado do meu celular. Desculpe a brevidade.
> >
> > Em 23 de jul de 2020 14:56, em 14:56, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
> > >Eu escrevi essa montoeira de siglas ali em cima...
> > >Mas tenho certeza que o que chamou atenção dos coleguinhas foi a parte
> > >do
> > >"Morte às mensagens de NAT tipo 3".
> > >-> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX
> > >abrem
> > >por causa das mensagens de NAT Tipo 3, não é mesmo?
> > >
> > >TL;DR:
> > >Se você manja bem dos paranauê de linux, nat/iptables e similares, e
> > >está
> > >disposto a fazer uma tentativa uma ferramenta opensource que promete
> > >resolver muitos problemas que o CGNAT trás, eu gostaria de contar com
> > >sua
> > >ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora si
> > >ajudá" a parar de passar raiva com CGNAT.
> > >
> > >A importancia do CGNAT para ISPs no dia de Hoje
> > >-----------------------------------------------
> > >Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT,
> > >PARE O
> > >QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!
> > >Pois existe um grande risco de você estar fazendo as coisas de um jeito
> > >errado, e logo-logo ter problemas legais por conta disso.
> > >
> > >Se você já ouviu falar CGNAT, deve saber que existem basicamente 2
> > >tipos de
> > >CGNAT.
> > >(vou ser muito muito muito conciso nessa descrição)
> > >- Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de
> > >IPs
> > >Públicos/Válidos são préviamente alocadas para as conexões saintes de
> > >cada
> > >um dos IPs de uso reservado do CGNAT.
> > >   A principal vantagem desse modelo é (se ele for implementado
> > >corretamente) não precisar da guarda de LOGs.
> > > - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de
> > >Tanto-em-Tanto para os   IPs de uso reservado do CGNAT conforme ele vai
> > >precisando, e cada vez quem um grupo de portas é alocado, o mecanismo
> > >de
> > >CGNAT deve fazer um LOG disso, e esse log deve armazenado
> > >adequadamente.
> > > A principal vantagem desse modelo é o excelente nível de relação entre
> > >IPs Válidos/Públicos e os IPs reservados do CGNAT.
> > >
> > >Os dois modelos tem vantagens, os dois modelos tem desvantagens...
> > >Sinceramente sou adepto do BPA, pois apesar de exigir recursos extras
> > >de
> > >Log, tem uma melhor utilização das portas dos IPs públicos, e a
> > >alocação
> > >dinâmica reduz a dor de cabeça com usuários que usam muitas portas.
> > >
> > >P.S.: Alerta de problemas jurídicos!
> > >Uma coisa que tenho visto muito por aí é uma galerinha que tá fazendo
> > >uns
> > >mapeamento maroto sem uma lógica reversível e sem fazer log.
> > >Quando chegar uma ordem judicial especificando
> > >IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a
> > >identificação INEQUÍVOCA responsável do contrato daquele assinante...
> > >A coisa tente a ficar feia pro seu lado... CUIDADO!
> > >
> > >
> > >Aonde está a maior parte das dores que o CGNAT trás?
> > >----------------------------------------------------
> > >CONEXÕES ENTRANTES AUXILIARES formadas para comunicação Peer-to-Peer.
> > >Geralmente esses mapeamento de conexões auxiliares entrantes são feitos
> > >ALGorítimos que ficam escutando as comunicações nas portas determinadas
> > >e
> > >"preparam uma regrinha dinâmica" para conexão entrante...
> > >Os protocolos mais comuns de ver isso são:
> > > - SIP/H323
> > > - FTP ativo/passivo
> > > - DCCP(que é o que a maioria dos games usa)
> > >Porém para esses ALGs funcionarem, além de o equipamento de NAT tem que
> > >ter
> > >todos os ALGs habilitados, e a comunicação nesse protocolo de controle
> > >não
> > >pode ser criptografada.
> > > -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS
> > >    (a não ser que ele abra a criptografia do TLS).
> > >
> > >Para contornar essa complexidade que esse ALGs trazem para fazer
> > >funcionar o P2P com regras de firewall e CGNAT foram criados padrões e
> > >protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).
> > >
> > >
> > >A ESPERANÇA
> > >-----------
> > >Já tem muito tempo que eu venho buscando uma solução OpenSource para
> > >CGNAT
> > >que concorresse com a soluções proprietárias como "A10/F5/Hillstone"
> > >para
> > >ambientes de CGNAT com suporte a BPA e PCP.
> > >Inclusive eu e mais alguns amigos chegamos a propor um vakinha on-line
> > >para
> > >comprar o desenvolvimento disso no formato OpenSource.
> > >
> > >Bom... Felizmente acredito que tenhamos achado a solução OpenSource que
> > >eu
> > >procurava...
> > >
> https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP
> > >
> > >Ainda estou preparando um ambiente de testes dessa ferramenta.
> > >Mas estou bastante otimista com o que pude ver dela.
> > >
> > >Dentre a diversas coisas boas que posso falar sobre esse projeto, é que
> > >mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e
> > >carriers como a AT&T.
> > >
> > >O PEDIDO DE AJUDA
> > >-----------------
> > >No momento, a melhor maneira que eu encontrei de ajudar esse projeto
> > >OpenSource é fazer um apelo aos colegas brasileiros que tenham
> > >expertise
> > >para manter um ambiente de NAT em Linux, que mantenham redes de ISP que
> > >usem CGNAT, e que queiram ajudar a validar se essa ferramenta é
> > >realmente
> > >tão PORRETA, colocando ele para rodar em algum ambiente de teste e
> > >compartilhando com o pessoal do projeto o resultado.
> > ><
> https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP
> >
> > >
> > >
> > >NÃO É UMA TELA DO WINBOX
> > >------------------------
> > >Minha sugestão sobre a quem seria indicado embarcar nesses testes.
> > >
> > >P.S.: Antes que venham me achincalahar de metido... Já adianto:
> > >Estou pedindo a colaboração aqui na lista porque, sendo sicero, tenho
> > >dúvidas se eu tenho conhecimento técnico suficiente para segurar esse
> > >rojão.
> > >E também porque sei que temos vários colegas aqui na lista que tem um
> > >nível
> > >Master-Pica-Jedi e que conseguiriam lidar com os prossíveis problemas
> > >que
> > >surgirão com se estivessem descascando amendoim.
> > >
> > >- Se for querer usar um hardware velharia/lixo, com mais de 10-12
> > >anos...
> > >Fora da lista de compatibilidade do projeto.
> > >  ou
> > >- Se você não tem um bom conhecimento para conseguir fazer
> > >troubleshooting
> > >em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.
> > >
> > >-> NÃO SE META!
> > >   Você vai passar raiva...
> > >   Depois vai pedir ajuda...
> > >   Vai fazer os coleguinhas passarem raiva,
> > >   que irão usar palavras pesadas com você...
> > >   E depois você vai sair falando baoseiras sobre o projeto!
> > >
> > >Ao meu entender o projeto é bastante robusto e maduro!
> > >Mas nesse momento ainda não é algo que esteja mastigadinho no nível
> > >"tutorial do underlinux ou do vivaolinux" que seja só copiar e colar...
> > >
> > >
> > >--
> > >Douglas Fernando Fischer
> > >Engº de Controle e Automação
> > >--
> > >gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Douglas Fernando Fischer
Engº de Controle e Automação