O que CGNAT e o como implementar?

Com o fim do IPV4 e chegada do IPV6, ainda se faz necessrio o uso de

IPV4 nas redes de computadores, esse artigo, explico o que e como fazer
CGNAT na sua rede, para que aproveite melhor os IPS pblicos, e tambm
como melhorar a performance da rede.

Atualmente muitos provedores/empresas tem problemas em algumas

aplicaes que tem NAT, como por exemplo: acessar o google para uma
pesquisa, e l antes de entrar pede para voc digitar uns caracteres
Captcha, isso uma forma de segurana do site, devido a muitas
requisies ao google com o mesmo IP, com isso ele interpreta que tem um
BOOT ou alguma coisa com o IP.
alguns sites chegam a bloquear vrias requisies com o mesmo IP de
origem EX: Bancos, jogos online etc....

CGNAT NO ALGO DIFERENTE DE NAT!! Tenham isso

na cabea, o CGNAT d opes para trabalhar de forma mais
racional o uso de IPS Pblicos fazendo NAT para IPS Privados.

Meu nome Rafael Galdino, sou apaixonado por redes,

trabalho a um bom tempo na rea, consultor, gerente e
estudante de Redes, vi a necessidade de compartilhar com
amigos da rea essa tcnica, para tentar evitar alguns
problemas que vinha passando como: bloqueios em blacklist,
Jogos que no funcionavam, Problema com Banco etc...

Um exemplo de cenrio hoje de alguns provedores

Nesse exemplo o mais comum que provedores de internet tem em suas
redes, 1 Roteador de borda, onde tem abaixo alguns Roteadores de acesso
que fazem a autenticao dos clientes via PPPoe.

se observar na imagem o ROTEADOR DE ACESSO PPPoe A

tem na WAN: 200.200.0.2/30 gw: 200.200.0.1
e na LAN REDE CLIENTES ip privado 10.10.0.0/23

para funcionar internet nos clientes obrigatoriamente ele precisa fazer o

NAT Network Address Translation.

nesse modelo os problemas:

* Muitos clientes saindo por um mesmo IP.
* 65535 Conexes permitidas nesse nico IP 200.200.0.2
* Possveis bloqueios em blacklist
* Possveis problemas para fazer identificao de alguma fraude
* Jogos com problema de mltiplos acessos
ento o CGNAT vai ME SOCORRER?????

o CGNAT um NAT, porm de uma forma a melhorar a questo para

utilizar mais de um IP pblico como sada, inclusive fazendo port-mapping.
vamos ao cnario

O mesmo Roteador A mudamos a Faixa de ip LAN para os IPS que so

reservados para uso do CGNAT 100.64.0.0/10, no nosso caso usamos o
100.64.0.0/24.
Fizemos a alocao de um bloco /29 de IPS PBLICOS para usarmos
200.200.1.0/29

o que foi feito: no roteador de borda fizemos o roteamento do bloco

200.200.1.0/29 para o roteador de acesso, e colocamos TODOS os IPs na
Loopback, para esses IPs subirem na tabela de rota.

na hora de implementar o CGNAT uma coisa interessante fazer o

mapeamento de PORTAS para os IPS, isso para voc conseguir determinar
quantos IPS voc vai utilizar no CGNAT por IP Pblico.
vi relatos que 1000 conexes estava bom...
vi relatos que 2000.... 3000....
eu apresento com 8061 portas, que seria: 1 IP Pblico para 8 IPS privados.
porm fica a critrio do provedor colocar menos, ou mais portas,
lembrando de fazer o levantamento da necessidade.
Script para colocar no mikrotik:

/ip firewall add

add action=src-nat chain=srcnat comment="NAT IP 200.200.1.0 TO:
100.64.0.0~100.64.7" disabled=yes protocol=tcp src-address=100.64.0.0 to-
addresses=200.200.1.0 to-ports=1025-9088
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.0 to-
addresses=200.200.1.0 to-ports=1025-9088
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.1 to-
addresses=200.200.1.0 to-ports=9089-17151
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.1 to-
addresses=200.200.1.0 to-ports=9089-17151
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.2 to-
addresses=200.200.1.0 to-ports=17152-25214
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.2 to-
addresses=200.200.1.0 to-ports=17152-25214
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.3 to-
addresses=200.200.1.0 to-ports=25215-33277
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.3 to-
addresses=200.200.1.0 to-ports=25215-33277
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.4 to-
addresses=200.200.1.0 to-ports=33278-41339
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.4 to-
addresses=200.200.1.0 to-ports=33278-41339
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.5 to-
addresses=200.200.1.0 to-ports=41340-49401
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.5 to-
addresses=200.200.1.0 to-ports=41340-49401
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.6 to-
addresses=200.200.1.0 to-ports=49402-57463
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.6 to-
addresses=200.200.1.0 to-ports=49402-57463
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.7 to-
addresses=200.200.1.0 to-ports=57464-65525
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.7 to-
addresses=200.200.1.0 to-ports=57464-65525

Observaes:
200.200.1.0 o IP Pblico que estamos fazendo o NAT
os IPs 100.64.0.0 at 100.64.0.7 so os IPs que vo ser NATEADOS*
lembrar de por essa regra acima de todos no /ip firewall nat
no utilizar as portas baixas 0~1024 nesse exemplo do 65526~65535 ficou
sobrando.

para fazer para todos os IPS PUBLICOS o CGNAT apenas repetir a mesma
regra, apenas substituindo os IPS de CGNAT e o IP PUBLICO
Sobre LOGs

como dessa forma estamos determinando porta de origem fica mais fcil a
identificao caso precise de uma investigao.

digamos que chegou uma Carta da PF pedindo quebra de sigilo do IP

200.200.1.2 no dia 14/03/2017 s 15:30:15
podemos informar que usamos CGNAT e que precisamos da porta de
origem para identificar o usurio.
digamos que por exemplo: 200.200.1.2:49933
olhando assim j vendo na regra da pgina anterior chegamos ao IP:
100.64.0.6.
s agora ver no seu sistema de gerenciamento de provedor, quem utilizou o
IP no dia 14/03/2017 s 15:30:15.

Fontes para consulta e melhor entendimento:

https://www.youtube.com/watch?v=uxu0ivaDAnc&feature=youtu.be
Problemas e implicaes do uso do CGNAT (NAT no provedor) na Internet

https://www.youtube.com/watch?v=r8g0JN2pmz4
VI Frum IPv6: Log de portas no NAT444 para pequenos provedores

Obrigado e qualquer ajuda para melhorar esse material podem me

contactar: sup.rafaelgaldino@gmail.com
dvidas, contribuies, Doao, novos artigos, ou qualquer assunto
relacionado a TI podem me chamar no email.