[BPF] [GTER] Morte às mensagens de NAT tipo 3 - DANOS - CGNAT OpenSource com BPA EIM/EIF e UPnP/PCP

Tom Lima tom em infnoc.net
Sexta Julho 24 01:32:40 -03 2020 

Prezados, 

Creio que os esforços tem que ser em conjunto, tanto por parte dos ISPs quanto pelos provedores de conteúdo. Pois vai chegar um momento em que nem um /22 será o suficiente para CGNAT. E sabemos que a maioria dos pequenos ISPs em crescimento tem apenas esse tamanho de bloco em questão.

Temos sim que desenvolver a parte do CGNAT para resolver o período de transição. Esse período de transição é justamente para que os provedores de conteúdo se adaptem ao IPv6. 

Aproveitando o cenário de pandemia atual, pense que o CGNAT é um lockdown. É uma solução temporária para adaptar o ambiente a implementação do IPv6, não uma solução definitiva.

Se continuarmos levando isso como definitivo logo irá nascer o NAT4444, que será o CGNAT do CGNAT.

IPv6 é o caminho, se adaptem e cobrem dos conteúdos o mesmo. 

Best Regards,

Tom Lima
Network & Infrastructure Consultant
InfNOC
tom em infnoc.net | (41) 98862-0082 | www.infnoc.net  



This message may contain confidential information. Don’t share or copy it’s content.
Esta mensagem pode conter informação confidencial. Não divulgue ou copie seu conteúdo.

From: Carvalho
Sent: sexta-feira, 24 de julho de 2020 01:26
To: bpf em listas.brasilpeeringforum.org
Subject: Re: [BPF][GTER] Morte às mensagens de NAT tipo 3 - DANOS - CGNAT OpenSource com BPA EIM/EIF e UPnP/PCP

André Bolzan, a questão do lucro é o que eu estou mirando quando digo que "juntos" conseguiremos dar força ao IPv6. Não adianta eu, que sou um provedor pequeno, dizer para um cliente que ele deve reclamar com a publisher do jogo dele que não está funcionando bem ou nem funcionado que isso é falta de suporte ao IPv6. Ele argumentar que irá para o concorrente. E eu poderia simplesmente falar que ele pode ir para qualquer concorrente que o problema é o jogo. Ais ele vai para o Twitter reclamar e irá encontrar tantos outros clientes reclamando a vão pressionar quem desenvolve o jogo. Onde você acha que vai bater isso? Na "mão" de quem não dá suporte ao IPv6. 

Novamente, pra mim, dispender esforços para contornar os problemas do NAT é querer manter nos aparelhos um paciente com morte cerebral decretada. É só paliativo e não querer encarar a realidade... 
Em qui, 23 de jul de 2020 21:14, Andre Bolzan <andre.bolzan em fixfibra.com.br> escreveu:
Tardes !

Sem tietar, que me chamou atenção foi o campo "From:" com valor "Douglas Fischer" :)
Estou atrás desta "opção" desde que vi a live do Marcelo Gondim no canal do Debina Brasil...
Como provedor não é quintal da minha casa, estava procurando maneira "segura" de testar essa estrutura sem afetar clientes, pois um CGNAT "grande" é complexo de se testar. 
Pensei em uma "farm" de clientes doker "discando" PPPoE e simulados acesso a listas de sites, downloads, etcs, para dar "carga" de trabalho e "pessoas" com navegação, jogos para poder ter certeza que está indo tudo bem ...
Estou dentro e sei que juntos somos mais forte rsrs 

Sozinho eu levaria muito mais tempo para conseguir alguma coisa "substancial"...
Sobre forçar o IPv6 para as grandes provedores de conteúdo "gamers", acho "difícil", porque tudo se resume a lucro e quanto mais lucro melhor... Ninguém vai "desperdiçar" dinheiro com IPv6...

Em qui., 23 de jul. de 2020 às 14:56, Douglas Fischer <fischerdouglas em gmail.com> escreveu:
Eu escrevi essa montoeira de siglas ali em cima...
Mas tenho certeza que o que chamou atenção dos coleguinhas foi a parte do
"Morte às mensagens de NAT tipo 3".
 -> 3 vivas para os tickets de suporte que os usuários de PSN e XBOX abrem
por causa das mensagens de NAT Tipo 3, não é mesmo?

TL;DR:
Se você manja bem dos paranauê de linux, nat/iptables e similares, e está
disposto a fazer uma tentativa uma ferramenta opensource que promete
resolver muitos problemas que o CGNAT trás, eu gostaria de contar com sua
ajuda! Arranje um servidor BOM(não bom venha com velharia) e "bora si
ajudá" a parar de passar raiva com CGNAT.

A importancia do CGNAT para ISPs no dia de Hoje
-----------------------------------------------
Se você está no mercado atual de ISPs e nunca ouviu falar de CGNAT, PARE O
QUE ESTÁ FAZENDO E VÁ PROCURAR SABER SOBRE CGNAT!
Pois existe um grande risco de você estar fazendo as coisas de um jeito
errado, e logo-logo ter problemas legais por conta disso.

Se você já ouviu falar CGNAT, deve saber que existem basicamente 2 tipos de
CGNAT.
(vou ser muito muito muito conciso nessa descrição)
 - Determinístico(ou Predefined) - Onde ranges de portas UDP e TCP de IPs
Públicos/Válidos são préviamente alocadas para as conexões saintes de cada
um dos IPs de uso reservado do CGNAT.
   A principal vantagem desse modelo é (se ele for implementado
corretamente) não precisar da guarda de LOGs.
 - BPA - Bulk Port Allocation - Onde as portas vão sendo alocadas de
Tanto-em-Tanto para os   IPs de uso reservado do CGNAT conforme ele vai
precisando, e cada vez quem um grupo de portas é alocado, o mecanismo de
CGNAT deve fazer um LOG disso, e esse log deve armazenado adequadamente.
   A principal vantagem desse modelo é o excelente nível de relação entre
IPs Válidos/Públicos e os IPs reservados do CGNAT.

Os dois modelos tem vantagens, os dois modelos tem desvantagens...
Sinceramente sou adepto do BPA, pois apesar de exigir recursos extras de
Log, tem uma melhor utilização das portas dos IPs públicos, e a alocação
dinâmica reduz a dor de cabeça com usuários que usam muitas portas.

P.S.: Alerta de problemas jurídicos!
Uma coisa que tenho visto muito por aí é uma galerinha que tá fazendo uns
mapeamento maroto sem uma lógica reversível e sem fazer log.
Quando chegar uma ordem judicial especificando
IPDeOrigem/PortaDeOrigem/DataeHora, e você não conseguir fazer a
identificação INEQUÍVOCA responsável do contrato daquele assinante...
A coisa tente a ficar feia pro seu lado... CUIDADO!


Aonde está a maior parte das dores que o CGNAT trás?
----------------------------------------------------
CONEXÕES ENTRANTES AUXILIARES formadas para comunicação Peer-to-Peer.
Geralmente esses mapeamento de conexões auxiliares entrantes são feitos
ALGorítimos que ficam escutando as comunicações nas portas determinadas e
"preparam uma regrinha dinâmica" para conexão entrante...
Os protocolos mais comuns de ver isso são:
 - SIP/H323
 - FTP ativo/passivo
 - DCCP(que é o que a maioria dos games usa)
Porém para esses ALGs funcionarem, além de o equipamento de NAT tem que ter
todos os ALGs habilitados, e a comunicação nesse protocolo de controle não
pode ser criptografada.
 -> Para exemplificar, SIP-ALG não vai funcionar se for SIP over TLS
    (a não ser que ele abra a criptografia do TLS).

Para contornar essa complexidade que esse ALGs trazem para fazer
funcionar o P2P com regras de firewall e CGNAT foram criados padrões e
protocolos como PCP/UPnP, EIM/EIF (antes era o NAT-PMP).


A ESPERANÇA
-----------
Já tem muito tempo que eu venho buscando uma solução OpenSource para CGNAT
que concorresse com a soluções proprietárias como "A10/F5/Hillstone" para
ambientes de CGNAT com suporte a BPA e PCP.
Inclusive eu e mais alguns amigos chegamos a propor um vakinha on-line para
comprar o desenvolvimento disso no formato OpenSource.

Bom... Felizmente acredito que tenhamos achado a solução OpenSource que eu
procurava...
https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP

Ainda estou preparando um ambiente de testes dessa ferramenta.
Mas estou bastante otimista com o que pude ver dela.

Dentre a diversas coisas boas que posso falar sobre esse projeto, é que
mesmo sendo opensource ele tem uns empurrõezinhos de grandes ISPS e
carriers como a AT&T.

O PEDIDO DE AJUDA
-----------------
No momento, a melhor maneira que eu encontrei de ajudar esse projeto
OpenSource é fazer um apelo aos colegas brasileiros que tenham expertise
para manter um ambiente de NAT em Linux, que mantenham redes de ISP que
usem CGNAT, e que queiram ajudar a validar se essa ferramenta é realmente
tão PORRETA, colocando ele para rodar em algum ambiente de teste e
compartilhando com o pessoal do projeto o resultado.
<https://danosproject.atlassian.net/wiki/spaces/DAN/pages/421101573/CGNAT+and+PCP>


NÃO É UMA TELA DO WINBOX
------------------------
Minha sugestão sobre a quem seria indicado embarcar nesses testes.

P.S.: Antes que venham me achincalahar de metido... Já adianto:
Estou pedindo a colaboração aqui na lista porque, sendo sicero, tenho
dúvidas se eu tenho conhecimento técnico suficiente para segurar esse rojão.
E também porque sei que temos vários colegas aqui na lista que tem um nível
Master-Pica-Jedi e que conseguiriam lidar com os prossíveis problemas que
surgirão com se estivessem descascando amendoim.

- Se for querer usar um hardware velharia/lixo, com mais de 10-12 anos...
Fora da lista de compatibilidade do projeto.
  ou
- Se você não tem um bom conhecimento para conseguir fazer troubleshooting
em ambientes mais elaborados de Fowarding, NAT, e Firewall de Linux.

-> NÃO SE META!
   Você vai passar raiva...
   Depois vai pedir ajuda...
   Vai fazer os coleguinhas passarem raiva,
   que irão usar palavras pesadas com você...
   E depois você vai sair falando baoseiras sobre o projeto!

Ao meu entender o projeto é bastante robusto e maduro!
Mas nesse momento ainda não é algo que esteja mastigadinho no nível
"tutorial do underlinux ou do vivaolinux" que seja só copiar e colar...


-- 
Douglas Fernando Fischer
Engº de Controle e Automação
--
gter list    https://eng.registro.br/mailman/listinfo/gter


-- 

André Bolzan Saar
Andre.Bolzan em FIXFIBRA.com.br
*55 11 98205-7742
_______________________________________________
bpf mailing list
bpf em listas.brasilpeeringforum.org
https://listas.brasilpeeringforum.org/mailman/listinfo/bpf

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20200724/7494700f/attachment.html>

More information about the bpf mailing list