O que é CGNAT e o como implementar?

Com o fim do IPV4 e chegada do IPV6, ainda se faz necessário o uso de

IPV4 nas redes de computadores, esse artigo, explico o que é e como fazer
CGNAT na sua rede, para que aproveite melhor os IPS públicos, e também
como melhorar a performance da rede.

Atualmente muitos provedores/empresas tem problemas em algumas

aplicações que tem NAT, como por exemplo: acessar o google para uma
pesquisa, e lá antes de entrar pede para você digitar uns caracteres “
Captcha”, isso é uma forma de segurança do site, devido a muitas
requisições ao google com o mesmo IP, com isso ele interpreta que tem um
BOOT ou alguma coisa com o IP.
alguns sites chegam a bloquear várias requisições com o mesmo IP de
origem EX: Bancos, jogos online etc....

CGNAT NÃO É ALGO DIFERENTE DE NAT!! Tenham isso

na cabeça, o CGNAT dá opções para trabalhar de forma mais
racional o uso de IPS Públicos fazendo NAT para IPS Privados.

Meu nome é Rafael Galdino, sou apaixonado por redes,

trabalho a um bom tempo na área, consultor, gerente e
estudante de Redes, vi a necessidade de compartilhar com
amigos da área essa técnica, para tentar evitar alguns
problemas que vinha passando como: bloqueios em blacklist,
Jogos que não funcionavam, Problema com Banco etc...

Um exemplo de cenário hoje de alguns provedores

Nesse exemplo é o mais comum que provedores de internet tem em suas
redes, 1 Roteador de borda, onde tem abaixo alguns Roteadores de acesso
que fazem a autenticação dos clientes via PPPoe.

se observar na imagem o ROTEADOR DE ACESSO PPPoe – A

tem na WAN: 200.200.0.2/30 gw: 200.200.0.1
e na LAN “REDE CLIENTES” ip privado 10.10.0.0/23

para funcionar internet nos clientes obrigatoriamente ele precisa fazer o

NAT “ Network Address Translation”.

nesse modelo os problemas:

* Muitos clientes saindo por um mesmo IP.
* 65535 Conexões permitidas nesse único IP “ 200.200.0.2
* Possíveis bloqueios em blacklist
* Possíveis problemas para fazer identificação de alguma fraude
* Jogos com problema de múltiplos acessos
então o CGNAT vai ME SOCORRER?????

o CGNAT é um NAT, porém de uma forma a melhorar a questão para

utilizar mais de um IP público como saída, inclusive fazendo port-mapping.
vamos ao cénario

O mesmo Roteador A mudamos a Faixa de ip LAN para os IPS que são

reservados para uso do CGNAT 100.64.0.0/10, no nosso caso usamos o
100.64.0.0/24.
Fizemos a alocação de um bloco /29 de IPS PÚBLICOS para usarmos
200.200.1.0/29

o que foi feito: no roteador de borda fizemos o roteamento do bloco

200.200.1.0/29 para o roteador de acesso, e colocamos TODOS os IP’s na
Loopback, para esses IP’s subirem na tabela de rota.

na hora de implementar o CGNAT uma coisa interessante é fazer o

mapeamento de PORTAS para os IPS, isso para você conseguir determinar
quantos IPS você vai utilizar no CGNAT por IP Público.
vi relatos que 1000 conexões estava bom...
vi relatos que 2000.... 3000....
eu apresento com 8061 portas, que seria: 1 IP Público para 8 IPS privados.
porém fica a critério do provedor colocar menos, ou mais portas,
lembrando de fazer o levantamento da necessidade.
Script para colocar no mikrotik:

/ip firewall add

add action=src-nat chain=srcnat comment="NAT IP 200.200.1.0 TO:
100.64.0.0~100.64.7" disabled=yes protocol=tcp src-address=100.64.0.0 to-
addresses=200.200.1.0 to-ports=1025-9088
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.0 to-
addresses=200.200.1.0 to-ports=1025-9088
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.1 to-
addresses=200.200.1.0 to-ports=9089-17151
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.1 to-
addresses=200.200.1.0 to-ports=9089-17151
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.2 to-
addresses=200.200.1.0 to-ports=17152-25214
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.2 to-
addresses=200.200.1.0 to-ports=17152-25214
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.3 to-
addresses=200.200.1.0 to-ports=25215-33277
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.3 to-
addresses=200.200.1.0 to-ports=25215-33277
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.4 to-
addresses=200.200.1.0 to-ports=33278-41339
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.4 to-
addresses=200.200.1.0 to-ports=33278-41339
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.5 to-
addresses=200.200.1.0 to-ports=41340-49401
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.5 to-
addresses=200.200.1.0 to-ports=41340-49401
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.6 to-
addresses=200.200.1.0 to-ports=49402-57463
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.6 to-
addresses=200.200.1.0 to-ports=49402-57463
add action=src-nat chain=srcnat disabled=yes protocol=tcp src-address=100.64.0.7 to-
addresses=200.200.1.0 to-ports=57464-65525
add action=src-nat chain=srcnat disabled=yes protocol=udp src-address=100.64.0.7 to-
addresses=200.200.1.0 to-ports=57464-65525

Observações:
200.200.1.0 é o IP Público que estamos fazendo o NAT
os IP’s 100.64.0.0 até 100.64.0.7 são os IP’s que vão ser NATEADOS*
“ lembrar de por essa regra acima de todos no /ip firewall nat
não utilizar as portas baixas 0~1024 “nesse exemplo do 65526~65535 ficou
sobrando.

para fazer para todos os IPS PUBLICOS o CGNAT apenas repetir a mesma
regra, apenas substituindo os IPS de CGNAT e o IP PUBLICO
Sobre LOG’s

como dessa forma estamos determinando porta de origem fica mais fácil a
identificação caso precise de uma investigação.

digamos que chegou uma Carta da PF pedindo quebra de sigilo do IP

200.200.1.2 no dia 14/03/2017 às 15:30:15
podemos informar que usamos CGNAT e que precisamos da porta de
origem para identificar o usuário.
digamos que por exemplo: 200.200.1.2:49933
olhando assim já vendo na regra da página anterior chegamos ao IP:
100.64.0.6.
só agora ver no seu sistema de gerenciamento de provedor, quem utilizou o
IP no dia 14/03/2017 às 15:30:15.

Fontes para consulta e melhor entendimento:

https://www.youtube.com/watch?v=uxu0ivaDAnc&feature=youtu.be
Problemas e implicações do uso do CGNAT (NAT no provedor) na Internet

https://www.youtube.com/watch?v=r8g0JN2pmz4
VI Fórum IPv6: Log de portas no NAT444 para pequenos provedores

Obrigado e qualquer ajuda para melhorar esse material podem me

contactar: sup.rafaelgaldino@gmail.com
dúvidas, contribuições, Doação, novos artigos, ou qualquer assunto
relacionado a TI podem me chamar no email.