[GTER] Morte às mensagens de NAT tipo 3 - DANOS - CGNAT OpenSource com BPA EIM/EIF e UPnP/PCP
Alexandre Aleixo | Opticalhost
alexandre at opticalhost.com.br
Fri Jul 24 02:37:19 -03 2020
Até onde já vi isso funcionando, quem vende esse tipo de serviço anuncia
apenas os blocos mais específicos e não os menos específicos, exatamente
pra evitar o que você falou...
De modo que o tráfego de um /24 desses não vai ter roteamento pra nenhum
/23 ou /22 etc, pois só anunciam o /24 mesmo...
De qualquer forma, ainda que isso acontecesse, a única possibilidade de
algum problema seria se caísse o teu próprio BGP, pois enquanto o teu BGP
estiver anunciando e estável por aqui, pelo menos as operadoras nacionais
(e, com isso, 90% dos seus problemas nessas circunstâncias) irão sempre
preferir a sua rota que é nacional e não uma rota estrangeira (ainda que
haja um erro extremo de outro anúncio de /24 desse mesmo bloco por engano
no exterior).
Insisto em achar que essa percepção de "caro" sai muito mais barato em
vários aspectos... Mas, como não sou provedor de acesso, mas sim de
conteúdo/serviços que não necessitam de NAT/CGNAT, só tenho parâmetros pro
"achismo" nesse caso mesmo...
Alexandre Aleixo
Em sex., 24 de jul. de 2020 às 01:27, Andre Bolzan <
andre.bolzan at fixfibra.com.br> escreveu:
> Respondendo o Vinicius.
>
> Alocação é de portas não de IP.
>
> Cada endereço IP tem lá suas 65536, então a diferença dos tipos de CGNAT é
> em relação a como alocar essas porta para cada cliente.
> O determinístico é "facil" de documentar/legislação, mas "desperdiça"muita
> porta , BPA é mais amigo de alguns jogos, mas é complexo e caro de se
> documentar/legislação.
>
> Alexandre, sobre "aluguar" bloco /24, temos N problemas, mas oque mais me
> chama atenção é que ele pertence a outro /23, /22, qualquer "pisca" seu
> tráfego vai sair do pais... vai entrar no /23 ou /22 que ele está contido.
>
> Entregar IPv4 para cliente Gamer "custa caro" em vários sentidos, cliente
> não quer "pagar" essa conta, as empresa de game muito menos ....
>
> Em sex., 24 de jul. de 2020 às 01:13, Alexandre Aleixo | Opticalhost <
> alexandre at opticalhost.com.br> escreveu:
>
> > É possível alugar um /24 no exterior (e, portanto, sem infringir as
> regras
> > do RBR) por valores entre 75 ~ 110 Dólares mensais e anunciá-lo no
> Brasil.
> >
> > Isso significa algo entre R$ 1,60 ~ R$ 2,38 por cada IP (75~110 X R$ 5,5
> /
> > 254 IPs).
> >
> > De outro lado, os provedores conseguem cobrar "tranquilamente" cerca de
> R$
> > 30,00 a R$ 50,00 mensais por um IP fixado a cada cliente que quiser,
> além,
> > claro, do valor do plano.
> >
> > Assim, sinceramente, acredito que o mercado suporte a ideia do Renato,
> > sim... E ainda que não suportasse, entendo que o provedor que absorvesse
> > esse custo teria outras vantagens como menor demanda de suporte, cliente
> > mais satisfeito e menor trabalho na mirabolante saga de configuração e
> > manutenção de CGNATs e relacionados.
> >
> > Alexandre Aleixo
> >
> >
> >
> >
> > Em qui., 23 de jul. de 2020 às 22:14, Rubens Kuhl <rubensk at gmail.com>
> > escreveu:
> >
> > > Só que atribuir um IPv4 para cada assinante gamer não escala... a
> > > diferença de valor de assinatura que conseguiria pagar aquisição de
> > > blocos no mercado secundário não é admitida pelo mercado.
> > >
> > >
> > > Rubens
> > >
> > > On Thu, Jul 23, 2020 at 10:08 PM Renato Frederick
> > > <renato at frederick.eti.br> wrote:
> > > >
> > > > Uma pergunta:
> > > >
> > > > Não desmerecendo o quão interessante é fazer o estudo e os resultados
> > > obtidos, mas levando pro lado de quem não tem poder de ficar testando,
> > seja
> > > lá os motivos:
> > > >
> > > > Notei o foco em jogos online e SIP.
> > > > Para os gammer's e empresas que precisam de RTP/SIP, a solução seria
> > > alocar além do IPv6, 1 IPv4, tirar o GCNAT e menos 1 cliente amolando?
> > > >
> > > > Pergunto pois aqui quando por engano colocaram o GCNAT, por
> coindencia
> > > fiquei jogando pra passar tempo, até o vendedor conseguir fazer "o
> > > sistema"(este ser místico, que usam quando não querem admitir o erro
> > > humano) entregar pro técnico o pedido e pagamento do IPv4. A Tela de
> > status
> > > do psn ficou ruim.
> > > > Depois que pus o IPv6 ficou mais ou menos e a qualidade perfeita veio
> > > com o IP público. As telas de teste ficam joia quando ativa UpnP.
> > > >
> > > > Pra quem hoje não aguenta mais cliente que fala que paga 300M pra
> jogar
> > > e bla blá blá, a solução é tirar CGNAT, fornecer IPv4 público, daí
> ativar
> > > no Equipamento dele Nat plug and play, salvar este IP nós logs e menos
> 1
> > > problema?
> > > >
> > > > Pois estes dias vivendo "do outro lado" notei que CGNAT(ou como
> fizeram
> > > aqui) não flui com jogos.
> > > >
> > > >
> > > >
> > > > Enviado do meu celular. Desculpe a brevidade.
> > > >
> > > > Em 23 de jul de 2020 14:56, em 14:56, Douglas Fischer <
> > > fischerdouglas at gmail.com> escreveu:
> > > > >Eu escrevi essa montoeira de siglas ali em cima...
> > > > >Mas tenho certeza que o que chamou atenção dos coleguinhas foi a
> parte
> > > > >do
> > > > >"Morte às mensagens de NAT tipo 3".
> > > > >-> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX
> > > > >abrem
> > > > >por causa das mensagens de NAT Tipo 3, não é mesmo?
> > > > >
> > > > >TL;DR:
> > > > >Se você manja bem dos paranauê de linux, nat/iptables e similares, e
> > > > >está
> > > > >disposto a fazer uma tentativa uma ferramenta opensource que promete
> > > > >resolver muitos problemas que o CGNAT trás, eu gostaria de contar
> com
> > > > >sua
> > > > >ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora
> si
> > > > >ajudá" a parar de passar raiva com CGNAT.
> > > > >
> > > > >A importancia do CGNAT para ISPs no dia de Hoje
> > > > >-----------------------------------------------
> > > > >Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT,
> > > > >PARE O
> > > > >QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!
> > > > >Pois existe um grande risco de você estar fazendo as coisas de um
> > jeito
> > > > >errado, e logo-logo ter problemas legais por conta disso.
> > > > >
> > > > >Se você já ouviu falar CGNAT, deve saber que existem basicamente 2
> > > > >tipos de
> > > > >CGNAT.
> > > > >(vou ser muito muito muito conciso nessa descrição)
> > > > >- Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de
> > > > >IPs
> > > > >Públicos/Válidos são préviamente alocadas para as conexões saintes
> de
> > > > >cada
> > > > >um dos IPs de uso reservado do CGNAT.
> > > > > A principal vantagem desse modelo é (se ele for implementado
> > > > >corretamente) não precisar da guarda de LOGs.
> > > > > - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de
> > > > >Tanto-em-Tanto para os IPs de uso reservado do CGNAT conforme ele
> > vai
> > > > >precisando, e cada vez quem um grupo de portas é alocado, o
> mecanismo
> > > > >de
> > > > >CGNAT deve fazer um LOG disso, e esse log deve armazenado
> > > > >adequadamente.
> > > > > A principal vantagem desse modelo é o excelente nível de relação
> > entre
> > > > >IPs Válidos/Públicos e os IPs reservados do CGNAT.
> > > > >
> > > > >Os dois modelos tem vantagens, os dois modelos tem desvantagens...
> > > > >Sinceramente sou adepto do BPA, pois apesar de exigir recursos
> extras
> > > > >de
> > > > >Log, tem uma melhor utilização das portas dos IPs públicos, e a
> > > > >alocação
> > > > >dinâmica reduz a dor de cabeça com usuários que usam muitas portas.
> > > > >
> > > > >P.S.: Alerta de problemas jurídicos!
> > > > >Uma coisa que tenho visto muito por aí é uma galerinha que tá
> fazendo
> > > > >uns
> > > > >mapeamento maroto sem uma lógica reversível e sem fazer log.
> > > > >Quando chegar uma ordem judicial especificando
> > > > >IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a
> > > > >identificação INEQUÍVOCA responsável do contrato daquele
> assinante...
> > > > >A coisa tente a ficar feia pro seu lado... CUIDADO!
> > > > >
> > > > >
> > > > >Aonde está a maior parte das dores que o CGNAT trás?
> > > > >----------------------------------------------------
> > > > >CONEXÕES ENTRANTES AUXILIARES formadas para comunicação
> Peer-to-Peer.
> > > > >Geralmente esses mapeamento de conexões auxiliares entrantes são
> > feitos
> > > > >ALGorítimos que ficam escutando as comunicações nas portas
> > determinadas
> > > > >e
> > > > >"preparam uma regrinha dinâmica" para conexão entrante...
> > > > >Os protocolos mais comuns de ver isso são:
> > > > > - SIP/H323
> > > > > - FTP ativo/passivo
> > > > > - DCCP(que é o que a maioria dos games usa)
> > > > >Porém para esses ALGs funcionarem, além de o equipamento de NAT tem
> > que
> > > > >ter
> > > > >todos os ALGs habilitados, e a comunicação nesse protocolo de
> controle
> > > > >não
> > > > >pode ser criptografada.
> > > > > -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS
> > > > > (a não ser que ele abra a criptografia do TLS).
> > > > >
> > > > >Para contornar essa complexidade que esse ALGs trazem para fazer
> > > > >funcionar o P2P com regras de firewall e CGNAT foram criados
> padrões e
> > > > >protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).
> > > > >
> > > > >
> > > > >A ESPERANÇA
> > > > >-----------
> > > > >Já tem muito tempo que eu venho buscando uma solução OpenSource para
> > > > >CGNAT
> > > > >que concorresse com a soluções proprietárias como "A10/F5/Hillstone"
> > > > >para
> > > > >ambientes de CGNAT com suporte a BPA e PCP.
> > > > >Inclusive eu e mais alguns amigos chegamos a propor um vakinha
> on-line
> > > > >para
> > > > >comprar o desenvolvimento disso no formato OpenSource.
> > > > >
> > > > >Bom... Felizmente acredito que tenhamos achado a solução OpenSource
> > que
> > > > >eu
> > > > >procurava...
> > > > >
> > >
> >
> https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP
> > > > >
> > > > >Ainda estou preparando um ambiente de testes dessa ferramenta.
> > > > >Mas estou bastante otimista com o que pude ver dela.
> > > > >
> > > > >Dentre a diversas coisas boas que posso falar sobre esse projeto, é
> > que
> > > > >mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e
> > > > >carriers como a AT&T.
> > > > >
> > > > >O PEDIDO DE AJUDA
> > > > >-----------------
> > > > >No momento, a melhor maneira que eu encontrei de ajudar esse projeto
> > > > >OpenSource é fazer um apelo aos colegas brasileiros que tenham
> > > > >expertise
> > > > >para manter um ambiente de NAT em Linux, que mantenham redes de ISP
> > que
> > > > >usem CGNAT, e que queiram ajudar a validar se essa ferramenta é
> > > > >realmente
> > > > >tão PORRETA, colocando ele para rodar em algum ambiente de teste e
> > > > >compartilhando com o pessoal do projeto o resultado.
> > > > ><
> > >
> >
> https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP
> > > >
> > > > >
> > > > >
> > > > >NÃO É UMA TELA DO WINBOX
> > > > >------------------------
> > > > >Minha sugestão sobre a quem seria indicado embarcar nesses testes.
> > > > >
> > > > >P.S.: Antes que venham me achincalahar de metido... Já adianto:
> > > > >Estou pedindo a colaboração aqui na lista porque, sendo sicero,
> tenho
> > > > >dúvidas se eu tenho conhecimento técnico suficiente para segurar
> esse
> > > > >rojão.
> > > > >E também porque sei que temos vários colegas aqui na lista que tem
> um
> > > > >nível
> > > > >Master-Pica-Jedi e que conseguiriam lidar com os prossíveis
> problemas
> > > > >que
> > > > >surgirão com se estivessem descascando amendoim.
> > > > >
> > > > >- Se for querer usar um hardware velharia/lixo, com mais de 10-12
> > > > >anos...
> > > > >Fora da lista de compatibilidade do projeto.
> > > > > ou
> > > > >- Se você não tem um bom conhecimento para conseguir fazer
> > > > >troubleshooting
> > > > >em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.
> > > > >
> > > > >-> NÃO SE META!
> > > > > Você vai passar raiva...
> > > > > Depois vai pedir ajuda...
> > > > > Vai fazer os coleguinhas passarem raiva,
> > > > > que irão usar palavras pesadas com você...
> > > > > E depois você vai sair falando baoseiras sobre o projeto!
> > > > >
> > > > >Ao meu entender o projeto é bastante robusto e maduro!
> > > > >Mas nesse momento ainda não é algo que esteja mastigadinho no nível
> > > > >"tutorial do underlinux ou do vivaolinux" que seja só copiar e
> > colar...
> > > > >
> > > > >
> > > > >--
> > > > >Douglas Fernando Fischer
> > > > >Engº de Controle e Automação
> > > > >--
> > > > >gter list https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
> --
>
> *André Bolzan Saar*
> *Andre.Bolzan at FIXFIBRA.com.br <Andre.Bolzan at FIXFIBRA.com.br>*
> **55 11 98205-7742*
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list