Massa d+! Explicou tudo na sequencia do nat até CGNAT deterministico! ficou animal!! vou emendar um não deterministico, pelo menos por enquanto, aqui na minha rede!
Eu me identifico muito com você, gosto de estudar o funcionamento dos protocolos, não curto ver um script na internet ou tutorial e seguir o que fazem, gosto de entender e fazer do meu jeito... Nesse video você respondeu todos os meus questionamentos.
Você deve ter duas interfaces de link, correto? Duplica as regras de jump, uma para cada interface de saída e faz o load-balance normalmente, ai só precisa confirmar com o provedor se ambos os endereços IP são alcançáveis pelos dois links ao mesmo tempo ou se estão atuando como um sendo backup do outro (o que normalmente ocorre)
Professor tenho um /30 vindo da operadora e ai eles me forneceram mais um /30 para fazer o cgnat como faço para usar em 254 ips esse /30 que eles me forneceram/ atualmente tenho 100 clientes porem queria deixar para eu já pronto para usar os 254 ips.
No /30 você terá 4 endereços IP públicos 256 divididos por 4 vai dar 64 clientes por IP Vamos supor que a rede que usa para os clientes é a 100.64.0.0/24 Você teria: Primeiro IP fazendo nat do 100.64.0.0/26 Segundo IP fazendo nat do 100.64.0.64/26 Terceiro IP fazendo nat do 100.64.0.128/26 Quarto IP fazendo nat do 100.64.0.192/26 Mas eu faria a divisão utilizando blocos /27 (serão 8 ao todo, finais 0, 32, 64, 96, 128, 160, 192 e 224) e colocaria os 4 endereços de forma alternada entre eles, para otimizar a quantidade de clientes por IP enquanto a rede expande E iria atrás de um bloco IPv6 também para os clientes
@@FelipePadilha sim eu quero porém como ainda não tenho 200 clientes fica um pouco difícil, eu tenho a minha central e um pop secundário uso um rb em cada como concentrador, vou comprar uma 3011 para fazer o cgnat e conectar os links da pra fazer.
Ótimo vídeo! Como funciona CGNAT para rede descentralizada? Utilizo CGNAT nos concentradores em cada POP ou preciso de uma caixa somente para CGNAT antes dos concentradores?
Vinicius, primeiro, desculpe pela demora! Segundo, em redes descentralizadas eu gosto de manter o CGNAT mais próximo do BGP (ou da chegada de link) possível, fica mais fácil para fazê-los trabalhar em cluster e atender diversos locais ao mesmo tempo, do que mantendo um CGNAT por POP
No deterministico você só esqueceu de adicionar uma terceira regra, que faz o nat para pacotes que não estão sobre TCP e UDP, como o ICMP por exemplo... Se não adicionar essa regra o cliente não pinga nada
Boa noite excelente vídeo parabéns, to com uma dúvida, como que fica a questão do gcnat determinístico em relação a guarda de logs como é possível identificar o cliente? tipo quando o cliente desliga o roteador e depois ligar pode pegar outro ip ou o mesmo com as mesmas portas sempre?
Boa noite! Você pode utilizar um servidor para armazenar os logs de conexão (como o Graylog) ou travar o IP privado dele direto pelo seu RADIUS, travando o IP privado, consegue controlar o IP/portas que o cliente saiu.
Passando o parâmetro do IP direto pelo RADIUS não precisa, dificulta a gestão quando se tem vários clientes entrando/saindo da rede, mas é uma alternativa para não precisar implementar servidor de log, ai só precisa lembrar de fazer backup do RADIUS e das configurações do CGNAT kkkk
@@FelipePadilha bacana, por ex: aqui usamos o mk-auth aí teríamos que setar um IP no cliente que seria da faixa configurada do cgnat criado tipo 100.64.0. alguma coisa?
a pilha ipv4 e ipv6 são independentes entre si, o servidor pppoe de um não afeta o outro, o roteamento de um não afeta o outro também imagina que está configurando duas redes ipv4 no mesmo espaço fisico
Melhor aula de CGNAT que encontrei no YT, parabéns! Vou implantar um não determinístico, pois aqui é um cenário bem amplo. Se puder, me tira uma dúvida. Qual servidor de log me indicaria, rodando o CGNAT?
Show de bola! Parabéns pela aula! tenho duas operações com 4011 para começar ( são dois condomínios) fiaria pesado o cgnat e a autenticação dos clientes nestas Rbs? ( planos chefe de 90 megas cerca de 150 clientes em cada uma)
Já vi um cenário bem parecido com este, usando uma 4011, só não tinha a autenticação, mas o CGNAT/BANDA é praticamente a mesma quantidade Como a média do uso de CPU fica em 5%, acredito que irá funcionar normalmente. A 4011 tem uma perfomance muito boa!
Muito boa Aula, obrigado por compartilhar! Fiquei com uma dúvida, no meu caso, recebo um /29 da minha operadora, daí desconsidero O Gateway, rede e broadcast, me restam 5 Ips. Um IP eu coloco na ether 1 para me comunicar com a operadora, e os outros eu coloco em interfaces loopback? Desculpe, fiquei confuso.
Isso, para evitar loops de camada 3. O que ocorre é o seguinte: Vamos supor que o IP 192.168.1.3 faz parte destes 4 não utilizados. Quando você pingar ele a operadora irá apontar para seu Gateway, seu roteador não vai saber o que fazer com ele, porque não tem rota para lugar nenhum/não está em nenhuma interface, então ele joga para a rota default e volta para a sua operadora. Mas a sua operadora apontou esse IP para seu bloco, volta para seu roteador, e assim vai até o TTL do pacote expirar.
@@FelipePadilha Certo, a questão do looping em Camada 3 eu entendi, mas no cenário que eu expliquei, dos meus 5 ips disponíveis, 1 vai estar na interface física diretamente ligado ao provedor, e os outros 4 vão estar em interfaces lógicas não diretamente conectado ao provedor. Funciona mesmo? Está certo ou estou falando besteira? Obrigado
@@rodrigoesperidiao4867Isso, porque esses IPs precisam estar em algum lugar, pode até mesmo ser uma rota blackhole E se usar rotas estaticas ou roteamento dinâmico, não precisam necessariamente estar no mesmo roteador
O CGNAT de uma operadora deve sair apenas por ela, não podendo sair pela segunda O que você pode fazer é dividir a carga do CGNAT, clientes da faixa X você faz o NAT para a operadora1 e clientes da faixa Y para o NAT da operadora2 Bem parecido com um balance usando mark-routing
Excelente vídeo o melhor que já vi sobre CGNAT parabéns Uma dúvida, no meu cenário tenho uma RB760igs recebendo o link da operadora e uma RB3011 no concentrador PPPoE, minha dúvida é a seguinte eu consigo implementar o CGNAT nesse meu cenário? Obs: tenho 200 clientes Digo em questão o processamento do equipamento
Bom dia! Nunca peguei cenário parecido, mas acredito fortemente que a 3011 vai abrir o bico, até por conta da arquitetura da 3011. Você poderia ir para uma 4011 ou até mesmo uma 1009 se isso acontecer, mas, não consigo te afirmar por nunca ter visto.
@@francellalaurea4225 No! CGNAT can only be bypassed If you receive a public IP, otherwise, NAT is mandatory (see RFC 1918 for better reference). The video is a "how to" to make a Mikrotik router be the CGNAT equipment.
@@FelipePadilha oh i see. my bad. I am searching for a video tutorial that can bypass CGNAT. My ISP placed my internet connection on CGNAT and I am having issues with browsing and gamings.
Primeiramente seu conteudo é muito bom, o mais completo na minha opnião.. Eu recebo um /30 e um /29 da minha operadora. O meu /30 está na vlan que eu recebo da minha operadora. E o /29 está na interface que está conectando a vlan e por conta disto me sobra apenas 6 ips, gostaria de saber como eu poderia fazer para melhor utilizar esse /29. Os IPs do /30 são de blocos diferentes do /29.
Boa tarde! Obrigado! Que estranho, confirma com a operadora, o procedimento padrão seria apenas rotear o /29 pelo /30, assim, conseguira usar os 8 endereços IP. Com 8 endereços IP, consegue atender 256 clientes, se dividir 32 clientes por IP ou 512 clientes, se dividir 64 clientes por IP. Deixa ele de forma dinâmica e faz o controle via RADIUS da entrega dos endereços privados, ai não precisa fazer guarda de log, terá certeza de quem está dividindo o endereço. E por último, pede para a operadora te fornecer um bloco de IPv6, vai reduzir a necessidade de NAT, já temos muito conteúdo funcionando por v6, o v6 já é o presente e v4 legado.
Fiz a requisição do IPV6 para a operadora eles irem disponibilizar ainda hoje. E caso alguma autoridade venha pedir o dados de quem estava usando tal IP tal hora se seu entregar a lista com 32 possíveis suspeitos seria o suficiente?
O entendimento é que sim, normalmente no próprio oficio (não sei se é este o termo correto haha) já vem uma observação que se o provedor estiver usando CGNAT é para informar a lista de clientes. Se quiser assistir, a VLSM fez uma live essa semana sobre o tema, facebook.com/762812563777449/videos/648736335846005/?__so__=channel_tab&__rv__=all_videos_card
Já até baixei a Live kkk mas bom obrigada pela atenção eu tenho um grupo voltado para Mikrotik se quiser entrar segue o link chat.whatsapp.com/EQCCt022vhi9p1nER7GNJX
Não sei se foi pergunta ou afirmação kkkk Mas pode sim, só lembrar de fazer o roteamento antes, apontando a sub rede para o concentrador. Inclusive, peguei um cenário assim hoje, sem IP em interfaces de loopback. O importante é evitar o loop na camada 3!
@@sosisp Quanto a poluir, concordo que polui, mas ainda prefiro ter a opção de pingar no IP ahhah Mas isso é uma das coisas que varia muito de administrador para administrador
Felipe boa noite quando o deterministico é melhor opção que o não deterministico? Outra coisa para cada ip do bloco privado tem que criar as regras manualmente no caso do deterministico?
Boa noite! O deterministico é melhor para identificar cliente. Vamos supor que chegue uma notificação judicial, e o pedido do juiz é a quebra do sigilo dos dados do IP tal, que acessou tal site, em tal horário, com porta de ORIGEM tal. Com o cgnat determinismo, é possível identificar exatamente quem é o assinante, enquanto no não deterministico, você acaba não conseguindo identificar (ou fica mais difícil identificar, depende do nível do seu log) quem foi o cliente. Mas em ambos os casos, um servidor de guarda de log é essencial, se não, quem responde pelo crime cometido é o responsável pelo provedor.
@@VavaUno Correto! Existem scripts na internet que automatizam o processo, ou pode fazer com o excel mesmo, mas se for um cenário grande, fica chato fazer kkkk
Uma forma simplificada que daria para fazer CGNAT, normalmente, é mais utilizado quando uma VPN tem redes iguais do mesmo lado. Não sou muito fã, mas tem gente que faz como cgnat... O exemplo de configuração que tem na wiki do mikrotik é a seguinte: /ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 action=netmap to-addresses=2.2.2.0/24 A rede 11.11.11.0/24 é mapeada para a rede 2.2.2.0/24, então tudo que for destino 11.11.11.0/24 sai do roteador como 2.2.2.0/24
Quando eu vou no seite meu ip aparece o meu ip xxxxxxxxx reverso.obs o mesmo ip que aparece no seite aparece no reteador oq significa meu ip e cgnat o nao posso abri portas no roteador que vao funcionar.etc deus de ja muito obrigado
Boa noite Cleando! No momento não estou pegando mais consultorias, assim que sair a nova versão do portal da empresa eu deixo na mensagem aqui (to tentando criar vergonha na cara e voltar a colocar vídeos haha)
/22 que diz seria privado ou o bloco do seu ASN? Deterministico ou não deterministico? Não deterministico eu faria um jump para cada bloco alocado nos concentradores (jump concentrador 1, jump concentrador 2...) Dentro dos jumps quebraria o bloco privado nos /27. Se for deterministico, jump para cada concentrador novamente, depois outro jump para cada /27, então as regras de alocação de porta TCP/UDP. Depende do cenário... se vai fazer centralizado ou nos próprios concentradores e a quantidade de cliente por concentrador
@@sidinelmota4703 o /22 privado terá 1024 IPs, se seguir 2000 portas por cliente, em média, pode usar um /27 público (32 IP), como não serão todos os clientes usando ao mesmo tempo, não terá problema de escassez de porta (estou usando como base um cenário real) Coloca, para cada IP público um /27 privado. Serão 8 regras por /24 privado. Totalizando 32 regras para o /22. Pode fazer 1 jump para cada /24 privado Na pior hipótese, irá ler 12 regras, contra 32 regras sem os jumps. Porque 12 na pior hipótese: O cliente está no último /24, então terá lido 4 regras de jump E o cliente está no último /27, então terá lido mais 8 regras
Olá Filipe, show de bola seu vídeo. Tenho uma pequena dúvida, você criou várias interfaces de loopback e adicionou um IP público para cada uma delas. Tenho um cenário que foi criado apenas uma interface loopback e adicionado todos os IPs público /32 nessa interface e está funcionando de boa. Mas seria obrigatório criar várias interface de loopback ????
Não é obrigatório! Mas a boa prática recomenda que seja criado. Até para facilitar a movimentação destes IPs para outros lugares/sub-redes E também, dividindo por interface, seu software de monitoramento pode coletar dados de tráfego de cada loopback
Bom dia amigo, sou um provedor pequeno e tenho algo em torno de 300 clientes, e tenho apenas 1 ip pblico pode me passar um passo a passo pra cgnat pra testar em outro mikrotik, pra fazer laboratorio e aprender
Felipe Boa noite, eu li todos os comentários e espero que você possa me ajudar, sei que vídeo game não esta relacionado ao seu vídeo, mais estou tendo problema de Nat no meu Xbox, NAT DUPLO e NAT ESTRITO. Meu IP no site é 45.231.36. Xx no Roteador é 192.168.x.x isso quer dizer que meu provedor usa CGNAT correto? Isso é oque está causando NAT DUPLO e já entrei em contato com meu provedor, eles me disseram que vão me passar um IP fixo, vai resolver meu problema? Oque posso está fazendo para ajudar eles a solucionar meu caso. Amigo por favor espero sua resposta, desde já Obrigado.
Boa noite! Sim, significa que está atrás de NAT. Em teoria era para resolver recebendo um IP público direto, na prática, as vezes não resolve, infelizmente a PSN e Live conseguem ser horríveis nesta parte, nem suporte a IPv6 (que é o atual protocolo da internet) eles têm. Espero que com o lançamento da nova geração isso melhore (também sou consumidor deles kkkk) Se com IP público ainda aparecer a mensagem, pode fazer um DMZ, UPnP ou redirecionamento de portas do seu roteador para o video-game.
Eles me mandaram essa mensagem " Caso ele não consiga acessar depois disso ( Depois de me darem o IP fixo), sera necessario fazer uma configuração no roteador dele para liberar as portas. Então com o IP fixo e redirecionando as portas eu vou conseguir ter uma Nat Aberta, correto? Desculpa está fazendo essas perguntas é que realmente não entendo nada, mais estou pesquisando e vendo vários vídeos para entender melhor.
@@viniciusmiguez6714 Se continua tendo problema de nat mesmo recebendo um ip público da operadora, ative o DMZ do seu roteador e aponta ele pro IP do Xbox. Ative também o UPnP. Se isso não resolver vai ter que fazer um redirecionamento de portas no roteador. Em 90% dos casos aqui onde trabalho a gente resolve com dessa maneira. Espero ter ajudado!
Boa noite primeiro parabenizar pela aula, olha gostaria de saber se voce poderia ver meu cenario e me orientar o melhor a fazer. qualquer coisa manda um email rafaelrodrigoms@gmail.com obrigado e boa noite.
![I.N "HALLUCINATION" | [Stray Kids : SKZ-PLAYER]](http://i.ytimg.com/vi/n5B5q1Hwt_U/mqdefault.jpg)
Massa d+! Explicou tudo na sequencia do nat até CGNAT deterministico! ficou animal!!
vou emendar um não deterministico, pelo menos por enquanto, aqui na minha rede!
Você não tem ideia do quanto fui ajudado nesse vídeo. Parabéns é pouco. Deus te ilumine cada vez mais sua vida.
Muito obrigado Nelson! Amém!
Eu me identifico muito com você, gosto de estudar o funcionamento dos protocolos, não curto ver um script na internet ou tutorial e seguir o que fazem, gosto de entender e fazer do meu jeito... Nesse video você respondeu todos os meus questionamentos.
TOP obrigado por compartilhar fiz aqui ficou organizadinho!
boa explicação,aguardado as próximas,Parabéns pelo trabalho
Parabéns pela aula, bem explicada!
poderia fazer um explicando pbr com o trafego redirecionado?
Parabéns gostei muito da explicação. valeu esta ajudando bastante.
português é lindo, consegue transformar em verbo qualquer palavra :D
Ótimo vídeo, Parabéns ajudou em muito aqui. Se o IP Da Conexão for uma Banda Larga com ip Publico Dinâmico tem como fazer Este CGNAT Determinístico?
Boa tarde! Via script que detecta toda a mudança de endereço e altera a regra seria possível
É possível fazer um load balance de dois links de um mesmo provedor que são Cgnat?
Você deve ter duas interfaces de link, correto? Duplica as regras de jump, uma para cada interface de saída e faz o load-balance normalmente, ai só precisa confirmar com o provedor se ambos os endereços IP são alcançáveis pelos dois links ao mesmo tempo ou se estão atuando como um sendo backup do outro (o que normalmente ocorre)
Muito boa a aula manow, me ajudou muito!
✌
Professor tenho um /30 vindo da operadora e ai eles me forneceram mais um /30 para fazer o cgnat como faço para usar em 254 ips esse /30 que eles me forneceram/ atualmente tenho 100 clientes porem queria deixar para eu já pronto para usar os 254 ips.
No /30 você terá 4 endereços IP públicos
256 divididos por 4 vai dar 64 clientes por IP
Vamos supor que a rede que usa para os clientes é a 100.64.0.0/24
Você teria:
Primeiro IP fazendo nat do 100.64.0.0/26
Segundo IP fazendo nat do 100.64.0.64/26
Terceiro IP fazendo nat do 100.64.0.128/26
Quarto IP fazendo nat do 100.64.0.192/26
Mas eu faria a divisão utilizando blocos /27 (serão 8 ao todo, finais 0, 32, 64, 96, 128, 160, 192 e 224) e colocaria os 4 endereços de forma alternada entre eles, para otimizar a quantidade de clientes por IP enquanto a rede expande
E iria atrás de um bloco IPv6 também para os clientes
@@FelipePadilha sim eu quero porém como ainda não tenho 200 clientes fica um pouco difícil, eu tenho a minha central e um pop secundário uso um rb em cada como concentrador, vou comprar uma 3011 para fazer o cgnat e conectar os links da pra fazer.
Pela relação Custo x Benefício, uma 4011 é muito superior, mesmo sendo um pouco mais cara, acredito que vale muito mais a pena que a 3011
Ótimo vídeo! Como funciona CGNAT para rede descentralizada? Utilizo CGNAT nos concentradores em cada POP ou preciso de uma caixa somente para CGNAT antes dos concentradores?
Vinicius, primeiro, desculpe pela demora!
Segundo, em redes descentralizadas eu gosto de manter o CGNAT mais próximo do BGP (ou da chegada de link) possível, fica mais fácil para fazê-los trabalhar em cluster e atender diversos locais ao mesmo tempo, do que mantendo um CGNAT por POP
No deterministico você só esqueceu de adicionar uma terceira regra, que faz o nat para pacotes que não estão sobre TCP e UDP, como o ICMP por exemplo... Se não adicionar essa regra o cliente não pinga nada
Ficou ótimo o vídeo. Faz um falando de netmap
show amado.. presta consultoria?
No momento não!
Boa noite excelente vídeo parabéns, to com uma dúvida, como que fica a questão do gcnat determinístico em relação a guarda de logs como é possível identificar o cliente? tipo quando o cliente desliga o roteador e depois ligar pode pegar outro ip ou o mesmo com as mesmas portas sempre?
Boa noite!
Você pode utilizar um servidor para armazenar os logs de conexão (como o Graylog) ou travar o IP privado dele direto pelo seu RADIUS, travando o IP privado, consegue controlar o IP/portas que o cliente saiu.
@@FelipePadilha show, mas nesse caso não usaria o ip pool?
Passando o parâmetro do IP direto pelo RADIUS não precisa, dificulta a gestão quando se tem vários clientes entrando/saindo da rede, mas é uma alternativa para não precisar implementar servidor de log, ai só precisa lembrar de fazer backup do RADIUS e das configurações do CGNAT kkkk
@@FelipePadilha bacana, por ex: aqui usamos o mk-auth aí teríamos que setar um IP no cliente que seria da faixa configurada do cgnat criado tipo 100.64.0. alguma coisa?
@@tiagoturgal Exatamente!
Olá Felipe, tenho um ipv4 /29 e bloco ipv6/44, como coloco os dois para rodar na rede?
a pilha ipv4 e ipv6 são independentes entre si, o servidor pppoe de um não afeta o outro, o roteamento de um não afeta o outro também
imagina que está configurando duas redes ipv4 no mesmo espaço fisico
Existe algum meio de burlar o cgnat?
Não! O CGNAT serve exatamente para você conseguir navegar pela internet
O que você pode pedir ao provedor de internet é ip publico
Melhor aula de CGNAT que encontrei no YT, parabéns!
Vou implantar um não determinístico, pois aqui é um cenário bem amplo.
Se puder, me tira uma dúvida.
Qual servidor de log me indicaria, rodando o CGNAT?
Obrigado!
Gosto bastante do graylog, tem interface web e gestão fácil
Implementando cgnat na rede eu acabo com o problema de ter q ficar direcionando portas para quem usa dvr ?
Não,
Pada não ter que ficar direcionando porta para a pessoa, você precisa entregar IP público direto para ela
CGNAT é um NAT a nível de provedor
Show de bola! Parabéns pela aula! tenho duas operações com 4011 para começar ( são dois condomínios) fiaria pesado o cgnat e a autenticação dos clientes nestas Rbs? ( planos chefe de 90 megas cerca de 150 clientes em cada uma)
Já vi um cenário bem parecido com este, usando uma 4011, só não tinha a autenticação, mas o CGNAT/BANDA é praticamente a mesma quantidade
Como a média do uso de CPU fica em 5%, acredito que irá funcionar normalmente.
A 4011 tem uma perfomance muito boa!
Muito boa Aula, obrigado por compartilhar!
Fiquei com uma dúvida, no meu caso, recebo um /29 da minha operadora, daí desconsidero O Gateway, rede e broadcast, me restam 5 Ips. Um IP eu coloco na ether 1 para me comunicar com a operadora, e os outros eu coloco em interfaces loopback? Desculpe, fiquei confuso.
Isso, para evitar loops de camada 3.
O que ocorre é o seguinte: Vamos supor que o IP 192.168.1.3 faz parte destes 4 não utilizados. Quando você pingar ele a operadora irá apontar para seu Gateway, seu roteador não vai saber o que fazer com ele, porque não tem rota para lugar nenhum/não está em nenhuma interface, então ele joga para a rota default e volta para a sua operadora. Mas a sua operadora apontou esse IP para seu bloco, volta para seu roteador, e assim vai até o TTL do pacote expirar.
@@FelipePadilha Certo, a questão do looping em Camada 3 eu entendi, mas no cenário que eu expliquei, dos meus 5 ips disponíveis, 1 vai estar na interface física diretamente ligado ao provedor, e os outros 4 vão estar em interfaces lógicas não diretamente conectado ao provedor. Funciona mesmo? Está certo ou estou falando besteira? Obrigado
@@rodrigoesperidiao4867Isso, porque esses IPs precisam estar em algum lugar, pode até mesmo ser uma rota blackhole
E se usar rotas estaticas ou roteamento dinâmico, não precisam necessariamente estar no mesmo roteador
E possível fazer balance de 2 link dedicado + CGNAT?
O CGNAT de uma operadora deve sair apenas por ela, não podendo sair pela segunda
O que você pode fazer é dividir a carga do CGNAT, clientes da faixa X você faz o NAT para a operadora1 e clientes da faixa Y para o NAT da operadora2
Bem parecido com um balance usando mark-routing
Excelente vídeo o melhor que já vi sobre CGNAT parabéns
Uma dúvida, no meu cenário tenho uma RB760igs recebendo o link da operadora e uma RB3011 no concentrador PPPoE, minha dúvida é a seguinte eu consigo implementar o CGNAT nesse meu cenário?
Obs: tenho 200 clientes
Digo em questão o processamento do equipamento
Bom dia! Nunca peguei cenário parecido, mas acredito fortemente que a 3011 vai abrir o bico, até por conta da arquitetura da 3011.
Você poderia ir para uma 4011 ou até mesmo uma 1009 se isso acontecer, mas, não consigo te afirmar por nunca ter visto.
Hi there. May I ask if you can have this video in english? Thank so much.
Hi! I can subtitle it for you, just give me a few days
@@FelipePadilha thanks so much.
@@FelipePadilha by doing this configuration on mikrotik, does this keep me away from cgnat? or bypass cgnat?
@@francellalaurea4225 No! CGNAT can only be bypassed If you receive a public IP, otherwise, NAT is mandatory (see RFC 1918 for better reference).
The video is a "how to" to make a Mikrotik router be the CGNAT equipment.
@@FelipePadilha oh i see. my bad. I am searching for a video tutorial that can bypass CGNAT. My ISP placed my internet connection on CGNAT and I am having issues with browsing and gamings.
Primeiramente seu conteudo é muito bom, o mais completo na minha opnião..
Eu recebo um /30 e um /29 da minha operadora. O meu /30 está na vlan que eu recebo da minha operadora. E o /29 está na interface que está conectando a vlan e por conta disto me sobra apenas 6 ips, gostaria de saber como eu poderia fazer para melhor utilizar esse /29. Os IPs do /30 são de blocos diferentes do /29.
Boa tarde! Obrigado!
Que estranho, confirma com a operadora, o procedimento padrão seria apenas rotear o /29 pelo /30, assim, conseguira usar os 8 endereços IP.
Com 8 endereços IP, consegue atender 256 clientes, se dividir 32 clientes por IP ou 512 clientes, se dividir 64 clientes por IP.
Deixa ele de forma dinâmica e faz o controle via RADIUS da entrega dos endereços privados, ai não precisa fazer guarda de log, terá certeza de quem está dividindo o endereço.
E por último, pede para a operadora te fornecer um bloco de IPv6, vai reduzir a necessidade de NAT, já temos muito conteúdo funcionando por v6, o v6 já é o presente e v4 legado.
Fiz como vc fez no video cara ocê se duvidas é um grande professor....
Fiz a requisição do IPV6 para a operadora eles irem disponibilizar ainda hoje. E caso alguma autoridade venha pedir o dados de quem estava usando tal IP tal hora se seu entregar a lista com 32 possíveis suspeitos seria o suficiente?
O entendimento é que sim, normalmente no próprio oficio (não sei se é este o termo correto haha) já vem uma observação que se o provedor estiver usando CGNAT é para informar a lista de clientes.
Se quiser assistir, a VLSM fez uma live essa semana sobre o tema, facebook.com/762812563777449/videos/648736335846005/?__so__=channel_tab&__rv__=all_videos_card
Já até baixei a Live kkk mas bom obrigada pela atenção eu tenho um grupo voltado para Mikrotik se quiser entrar segue o link chat.whatsapp.com/EQCCt022vhi9p1nER7GNJX
Pode colocar a classe pública em blackhole
Não sei se foi pergunta ou afirmação kkkk
Mas pode sim, só lembrar de fazer o roteamento antes, apontando a sub rede para o concentrador. Inclusive, peguei um cenário assim hoje, sem IP em interfaces de loopback. O importante é evitar o loop na camada 3!
@@FelipePadilha foi uma afirmação, seguindo boas práticas e não poluindo o address ;p
@@sosisp Quanto a poluir, concordo que polui, mas ainda prefiro ter a opção de pingar no IP ahhah
Mas isso é uma das coisas que varia muito de administrador para administrador
Felipe boa noite quando o deterministico é melhor opção que o não deterministico? Outra coisa para cada ip do bloco privado tem que criar as regras manualmente no caso do deterministico?
Boa noite!
O deterministico é melhor para identificar cliente. Vamos supor que chegue uma notificação judicial, e o pedido do juiz é a quebra do sigilo dos dados do IP tal, que acessou tal site, em tal horário, com porta de ORIGEM tal.
Com o cgnat determinismo, é possível identificar exatamente quem é o assinante, enquanto no não deterministico, você acaba não conseguindo identificar (ou fica mais difícil identificar, depende do nível do seu log) quem foi o cliente.
Mas em ambos os casos, um servidor de guarda de log é essencial, se não, quem responde pelo crime cometido é o responsável pelo provedor.
@@FelipePadilha Entendido e para cada ip do bloco privado tem que criar as regras manualmente no caso do deterministico?
@@VavaUno Correto! Existem scripts na internet que automatizam o processo, ou pode fazer com o excel mesmo, mas se for um cenário grande, fica chato fazer kkkk
o que seria netmap, compreendi?
Uma forma simplificada que daria para fazer CGNAT, normalmente, é mais utilizado quando uma VPN tem redes iguais do mesmo lado.
Não sou muito fã, mas tem gente que faz como cgnat... O exemplo de configuração que tem na wiki do mikrotik é a seguinte:
/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 action=netmap to-addresses=2.2.2.0/24
A rede 11.11.11.0/24 é mapeada para a rede 2.2.2.0/24, então tudo que for destino 11.11.11.0/24 sai do roteador como 2.2.2.0/24
Quando eu vou no seite meu ip aparece o meu ip xxxxxxxxx reverso.obs o mesmo ip que aparece no seite aparece no reteador oq significa meu ip e cgnat o nao posso abri portas no roteador que vao funcionar.etc deus de ja muito obrigado
Não, se o mesmo IP que está no seu roteador, aparece no meu IP, você tem IP público, não passa por CGNAT, pode abrir as portas normalmente.
@@FelipePadilha tirou minha duvida muito obrigado👍✌
Boa noite Felipe! Gostaria de um suporte sobre CGNAT, seria possível?
Boa noite Cleando! No momento não estou pegando mais consultorias, assim que sair a nova versão do portal da empresa eu deixo na mensagem aqui (to tentando criar vergonha na cara e voltar a colocar vídeos haha)
opa bom dia como ficaria pra /22?
/22 que diz seria privado ou o bloco do seu ASN? Deterministico ou não deterministico?
Não deterministico eu faria um jump para cada bloco alocado nos concentradores (jump concentrador 1, jump concentrador 2...)
Dentro dos jumps quebraria o bloco privado nos /27.
Se for deterministico, jump para cada concentrador novamente, depois outro jump para cada /27, então as regras de alocação de porta TCP/UDP.
Depende do cenário... se vai fazer centralizado ou nos próprios concentradores e a quantidade de cliente por concentrador
@@FelipePadilha no caso seria /24 publico pro /22 privado não determinístico... em uma so concentradora como ficaria tem como?
@@sidinelmota4703 o /22 privado terá 1024 IPs, se seguir 2000 portas por cliente, em média, pode usar um /27 público (32 IP), como não serão todos os clientes usando ao mesmo tempo, não terá problema de escassez de porta (estou usando como base um cenário real)
Coloca, para cada IP público um /27 privado. Serão 8 regras por /24 privado. Totalizando 32 regras para o /22.
Pode fazer 1 jump para cada /24 privado
Na pior hipótese, irá ler 12 regras, contra 32 regras sem os jumps.
Porque 12 na pior hipótese:
O cliente está no último /24, então terá lido 4 regras de jump
E o cliente está no último /27, então terá lido mais 8 regras
@@FelipePadilha realmente show de bola sua explicação ajudou bastante vlw mesmo!!
Olá Filipe, show de bola seu vídeo.
Tenho uma pequena dúvida, você criou várias interfaces de loopback e adicionou um IP público para cada uma delas. Tenho um cenário que foi criado apenas uma interface loopback e adicionado todos os IPs público /32 nessa interface e está funcionando de boa. Mas seria obrigatório criar várias interface de loopback ????
Não é obrigatório!
Mas a boa prática recomenda que seja criado. Até para facilitar a movimentação destes IPs para outros lugares/sub-redes
E também, dividindo por interface, seu software de monitoramento pode coletar dados de tráfego de cada loopback
@@FelipePadilha Show de bola... Entendi
Obrigado por compartilhar conhecimento mano... abraços
Bom dia amigo, sou um provedor pequeno e tenho algo em torno de 300 clientes, e tenho apenas 1 ip pblico
pode me passar um passo a passo pra cgnat pra testar em outro mikrotik, pra fazer laboratorio e aprender
Boa tarde!
Só seguir o vídeo
Cria as interfaces de loopback
Coloca 1 IP nelas
Cria as regras de scr-nat, aí pode brincar dividindo os blocos
9:50 Neh? kkkkkk
natear
Vou SETAR uma configuração para NATEAR meus IP da rede privada hahah
presta consultoria ? qual contato ?
Opa, no momento não estou prestando. Mas logo logo terá novidades, aqui no canal também (por isso estou sumido kkkk)
vc pega consultoria?
Me chama no 43 9 91243124
cara bom dia , vc tem quais curso da mikrotik ? muito bom video !
Bom dia! Oficiais o MTCNA, MTCRE e MTCSE. Se quiser ver meu LinkedIn
www.linkedin.com/in/felipedpadilha
Felipe Boa noite, eu li todos os comentários e espero que você possa me ajudar, sei que vídeo game não esta relacionado ao seu vídeo, mais estou tendo problema de Nat no meu Xbox, NAT DUPLO e NAT ESTRITO. Meu IP no site é 45.231.36. Xx no Roteador é 192.168.x.x isso quer dizer que meu provedor usa CGNAT correto?
Isso é oque está causando NAT DUPLO e já entrei em contato com meu provedor, eles me disseram que vão me passar um IP fixo, vai resolver meu problema? Oque posso está fazendo para ajudar eles a solucionar meu caso.
Amigo por favor espero sua resposta, desde já Obrigado.
Boa noite! Sim, significa que está atrás de NAT. Em teoria era para resolver recebendo um IP público direto, na prática, as vezes não resolve, infelizmente a PSN e Live conseguem ser horríveis nesta parte, nem suporte a IPv6 (que é o atual protocolo da internet) eles têm. Espero que com o lançamento da nova geração isso melhore (também sou consumidor deles kkkk)
Se com IP público ainda aparecer a mensagem, pode fazer um DMZ, UPnP ou redirecionamento de portas do seu roteador para o video-game.
Eles me mandaram essa mensagem
" Caso ele não consiga acessar depois disso ( Depois de me darem o IP fixo), sera necessario fazer uma configuração no roteador dele para liberar as portas. Então com o IP fixo e redirecionando as portas eu vou conseguir ter uma Nat Aberta, correto?
Desculpa está fazendo essas perguntas é que realmente não entendo nada, mais estou pesquisando e vendo vários vídeos para entender melhor.
@@viniciusmiguez6714 Se continua tendo problema de nat mesmo recebendo um ip público da operadora, ative o DMZ do seu roteador e aponta ele pro IP do Xbox. Ative também o UPnP. Se isso não resolver vai ter que fazer um redirecionamento de portas no roteador. Em 90% dos casos aqui onde trabalho a gente resolve com dessa maneira. Espero ter ajudado!
Boa noite primeiro parabenizar pela aula, olha gostaria de saber se voce poderia ver meu cenario e me orientar o melhor a fazer. qualquer coisa manda um email rafaelrodrigoms@gmail.com obrigado e boa noite.