Carrier-grade NAT (CGN) la RDS?

Znevna, on 04 martie 2022 - 08:56, said:

M-am gandit sincer sa fac un script care sa dea toggle on/off la WAN daca prinde 100.X, dar nu prea e de viitor, avand in vedere ca trendul e spre cat mai putine adrese ipv4 publice.
Iar abonamentul business e prea scump pentru ce am nevoie (am facut din octombrie precomanda de 10gbps pe rezidential, fiind 50 de lei, o sa fie doar un *nice to have*). Nu am nevoie de banda garantata si nici de uptime garantat.

Alexutzulro, on 04 martie 2022 - 10:16, said:

E o idee buna, vad ca suporta si ipv6. O sa ma uit astazi pe el. Folosesc oricum cloudflare pt cele 3 domenii pe care la gazduiesc.

@draand28
si NoIP are suport AAAA si fiind inclus in firmware-urile multor router-e e posibil sa fie mai simplu asa ; in ceea ce priveste  scoaterea din pool-ul CGN in cele mai multe cazuri in care clientii s-au plans ca "nu mai pot accesa sistemul supraveghere video" cei de la RDS au fost cooperanti si i-au scos din lista clientilor potential afectati (ce-i adevarat majoritatea NVR-urilor/DVR-urilor inca nu au suport IPv6 nici local nici la nivel de cloud furnizor si e oarecum justificat)

Mie imi merg DVRurile prin CGN fara probleme. Probabil tine si de produs. DVRurile moderne si camerele de supraveghere mai noi produse ar trebui sa aiba in vedere si CGN.

Edited by -koss-, 05 March 2022 - 12:35.

Da, iti merg prin ceva serviciu de cloud.

Asa cum ati recomandat, sunt dual stack ipv4+ipv6, stabile ambele. Am pus si DDNS-uri pe ipv4 si ipv6 hostate direct in pfsense prin cloudflare.

Problema actuala e ca userii externi ipv4 only nu pot accesa serverele de ipv6 only. Evident, as putea lua un VPS care sa faca translation 4to6 si apoi redirect catre mine, dar asta distruge scopul.

Stie cineva vreo solutie, eventual direct de cloudflare, de 4to6 translation? Vreau sa ma indepartez cat mai mult de ipv4 din cauza CGN dar totusi sa pastrez suportul legacy.

Edited by draand28, 06 March 2022 - 13:27.

..
Pentru "hosting at home" poti sa-ti iei cel mai ieftin abonament business dupa cum am zis si mai sus, e vreo 9 euro fara tva parca, vorbesti cu un agent comercial din zona ta.
Asta daca nu vrei si mai multe dureri de cap.
Sau it convingi userii "IPv4 only" sa treaca si ei totusi la dual stack sau sa foloseasca macar un IPv6 tunnel broker de la HE https://tunnelbroker.net/
Sau altele: https://en.m.wikiped..._tunnel_brokers
Sau iti muti serviciile pe-un VPS ceva.

draand28, on 06 martie 2022 - 13:26, said:

De la Cloudflare ar mai putea fi o "solutie" Cloudflare Tunnel, dar asta depinde la ce planuiesti sa-l folosesti.
Pentru mai multe detalii: https://cyberhost.uk...re-argo-tunnel/, https://github.com/c...ared/issues/145

Eu am scăpat de CGNAT prin activarea dinamic DNS din contul Digi.

Un expert CGN pe aici avem?

Teorie: CGN are 4 milioane si ceva de abonati (maxim), iar TCP/IP are 65535 de porturi.
Intrebare: cum se descurca ruterul CGN daca toti sunt calare pe net sambata seara?

Mi-am pus intrebarea cand am vazut pachete blocate pe firewall incoming de la IP-uri unde eu nu am trimis nimic. Banuiesc ca e replyul altuia.

mreg, on 22 octombrie 2023 - 21:32, said:

Pai 4 milioane de IP-uri de CGNAT inmultit cu 65535 de porturi inseamna 274.865.324.160 posibilie conexiuni deschise de la clientii CGNAT catre exterior. Eu zic ca ajung. Plus ca o buna parte din cei pe CGNAT au si IPv6 si cam jumatate de trafic se duce pe IPv6.

@snapilica vezi ca ai dat all in si ai pierdut

@mreg

Quote

Asta n-are treaba  cu CGN-ul, nu ai de unde sa stii ca ip-ul public ce il vezi tu pe chain-ul IN are in spate ip-uri CGN; in plus, asa e internetul de cand lumea, numai boti si etc care scaneaza/incearca/etc; nu trebuie sa trimiti tu nimic te cauta ei

Referitor la CGN, cam 128:1 la e ratio -asta e matematic!- (deci aprox 500 porturi per client) iar cand sunt toate ocupate, cel cu CGN primeste Destination unreachable - code 1 host unreachable; ideea e ca cgn-ul se implementeaza impreuna cu ipv6, iar cum bine a intuit snapilica, majoritatea traficului va "iesi" prin ipv6.
Alocare porturilor poate fi dinamica/statica sau per block-port si trebui tinut cont ca anumite range-uri nu sunt folosite (0-1023 de ex sau 1024 - 49151, sau 0-32767 - depinde aici...) => astfel aprox 128 up to 256 porturi/client/cgnat pt un ratio 1:128 (ratio care este EXTREM de mare iar acest ratio se calcuzeaza in functie de cati subscriberi activi are ISP-ul - deci  teoretic, nr de porturi alocate poate creste up to 1000 pe client)

snapilica2003, on 23 octombrie 2023 - 08:03, said:

La asta m-am referit, exact! Ce ruter barosan o fi de suporta 300 miliarde de conexiuni.
Sau asta o fi motivul ca greseste si trimite packete la mine, ca e supraincarcat. Packetele astea se vede ca erau pentru altcineva cine se dadea pe net pe portul 443 pe un site oarecare pe care eu nu am fost.

ogo, on 23 octombrie 2023 - 09:42, said:

Nu cred ca e plauzibil sa ma caute cineva dupa NAT-ul CGN. N-au de unde sa stie de IP-ul meu 100.64.34.56, si chiar daca ar sti nu au cum sa initieze conexiuni, nu au ruta pentru asa ceva.
O singura situatie e plauzibila, cand s-a deconectat un alt utilizator PppoE si m-am conectat eu imediat dupa, timp de cateva minute pot sa-mi vina mie reply-uri pentru celalalt. Dar dupa ore de conectare nu mai e nici asta plauzibil.

1. Nu se aloca toate porturile (vezi mai sus ca am atins subiectul)
2. Nu e un singur L3 (router) pt tot ISP-ul care face CGN (poate fi de ex pt Brasov unul singur -router- , se aloca un subnet din /10 ala doar pt Brasov, si 1-5 ip-uri publice si rezolva tot judetul) si asa mai departe
3. Revin, ce vezi tu pe chain-ul IN sunt boti - sau le poti zice echipamente proaste/sau prost setate ale altor clienti ce sunt si ei in CGN - 99% din plasticele de pe piata scaneaza aiurea-n tramvai.
4. Daca vrei sa scapi de astfel de loguri, simplu blochezi tot 100.64.0.0/10 -cu unele mici “issues” - de ex torrrrenti (dar acum merg majoritatea si pe ipv6).
Sper ca e mai clar acum.


PS
Ar fi mai usor de explicat daca ai pune o linie completa dintr-un log:
source ip/destination ip/protocol/numar port.