Carrier Grade NAT (Fim do IP público por cliente)

Confirmo que NOS tem CGNAT em FTTH ja há alguns meses. O meu tio é cliente NOS e está com CGNAT e sem IPv6.
Também aderi ao Kanguru na blackfriday e cancelei a minha adesão 3 dias depois por usarem CGNAT. Necessito de abrir portas para hospedar serviços coisa que eles não permitem.
Bom trabalho NOS...
 
Isso para mim será deal-breaker.
Mas, permitam-me desabafar: isso será consequência do uso do bridge mode por tudo e por nada, mesmo onde não se justifica ou é ate contraproducente.
Sabendo que a NOS tem um conjunto de ipv4 atribuidos a si e que não é possível aumentar (está esgotado para aquisição), e se os clientes continuarem a aumentar, ou vão para o cgnat, ou cortam com o segundo ip, ou fazem limitação nestes (tipo bridge mode tem custo adicional).
 
TigTex disse:
Confirmo que NOS tem CGNAT em FTTH ja há alguns meses. O meu tio é cliente NOS e está com CGNAT e sem IPv6.
Também aderi ao Kanguru na blackfriday e cancelei a minha adesão 3 dias depois por usarem CGNAT. Necessito de abrir portas para hospedar serviços coisa que eles não permitem.
Bom trabalho NOS...
Clicar para expandir...
Todos os operadores móveis usam CGNAT há maos de uma década. A MEO altera para IP publico a pedido Para tarifários de banda larga.
Quanto a NOS usar cgnat em FTTH deve ser em alguma zona especifica. Tipo rural ? DST? Em rede própria tenho garantias internas que geralmente não acontece.

Comfesso que não percebo a necessidade abrir portas. Com vpn servicos como tailscale e túneis não percebo a nec a não ser que seja algo altamente específico

o DIGIpor exemplo vai ser tudo corridoa CGNAT
 
Última edição:
Nightwisher disse:
Isso para mim será deal-breaker.
Mas, permitam-me desabafar: isso será consequência do uso do bridge mode por tudo e por nada, mesmo onde não se justifica ou é ate contraproducente.
Sabendo que a NOS tem um conjunto de ipv4 atribuidos a si e que não é possível aumentar (está esgotado para aquisição), e se os clientes continuarem a aumentar, ou vão para o cgnat, ou cortam com o segundo ip, ou fazem limitação nestes (tipo bridge mode tem custo adicional).
Clicar para expandir...
O bridge não tem culpa nenhuma a percentagem de clientes que usa abridge não chega 5% . A NOS tem IPs suficientes ! Se os IPs do bridge fizessem falta já tinham descontinuado o serviço.
 
Não tem tanto a ver com abertura de portas mas sim com utilizadores a levar com CAPTCHAs ou impedidos de fazer downloads por teres o endereço IP público marcado/banido graças a outras pessoas que também partilham esse mesmo IP. Torrents e filehosts também irão sofrer imenso com isso visto que a rede torrent p2p por predefinição só aceita 1 ligação por IP e quase todos os filehosts não deixam fazer mais do que um download simultâneo por cada IP de forma gratuita.
CGNAT também requer processamento de tráfego que tem impacto em latência e performance.
Se o mundo já fosse todo ipv6, não fazia mal...

O caso que falei é dum serviço NOS que corre sobre fibra partilhada com a Vodafone. Tem CGNAT e apenas conectividade ipv4.
Isto para mim é mais do que suficiente para cancelar um contrato
 
Viva.
Era uma morte anunciada. Na maioria europa/mundo já está generalizado há muito tempo, com o sem ipv6.
Os nossos ISPs tem routers a dar 2 ou mais IPS públicos aos seus clientes... nada de admirar. Agora vai ser mais complicado para o novos clientes, e sem dúvidas no futuro para os restantes.
 
A DIGI que aí vem também vai ser tudo cgnat. Até a migração completa para ipv6 não há grande solução! Não sendo um expert em jogos ( há 20 anos que não toco num ) não percebo a história das latências. Há gente que joga em cgnat há anos e isso não é um problema. Quanto a downloads aka pirataria têm duas soluções. 1 não façam ( que ainda é o melhor) 2. Arranjem uma vpn
 
bassopt disse:
A DIGI que aí vem também vai ser tudo cgnat. Até a migração completa para ipv6 não há grande solução! Não sendo um expert em jogos ( há 20 anos que não toco num ) não percebo a história das latências. Há gente que joga em cgnat há anos e isso não é um problema. Quanto a downloads aka pirataria têm duas soluções. 1 não façam ( que ainda é o melhor) 2. Arranjem uma vpn
Clicar para expandir...
O que está em causa usar torresmos sendo CGNAT?

Isto só na NOS ou na MEO também? É que até agora na MEO Nunca tive problemas
 
MikeJay disse:
O que está em causa usar torresmos sendo CGNAT?

Isto só na NOS ou na MEO também? É que até agora na MEO Nunca tive problemas
Clicar para expandir...
A não ser que andem a abrir buracos, aka portas na firewal para isso pouco ou nada muda. Já estão a correr isso em NAT! Como das muito poucas vezes que uso ”torresmos “ é em containers e com vpm, portanto seria indiferente.
 
bassopt disse:
A não ser que andem a abrir buracos, aka portas na firewal para isso pouco ou nada muda. Já estão a correr isso em NAT! Como das muito poucas vezes que uso ”torresmos “ é em containers e com vpm, portanto seria indiferente.
Clicar para expandir...
Alguns serviços não funcionam com CGNAT, apenas um exemplo: se quisermos aceder remotamente a uma camera na LAN, através de port-mapping feito no router, não vai ser possivel aceder à video-camera, só dá com ip-publico na wan do router.
 
proxy disse:
Alguns serviços não funcionam com CGNAT, apenas um exemplo: se quisermos aceder remotamente a uma camera na LAN, através de port-mapping feito no router, não vai ser possivel aceder à video-camera, só dá com ip-publico na wan do router.
Clicar para expandir...
É para isso que servem serviços tipo tailscale. Essas cameras nem sequer deviam estar expostas ... Mas cada um sabe de si
 
Boa Tarde:

No entanto, teres um servidor de VPN em casa em vez de estares assente num de fora já me faz sentido! Soluções como TailScale e outras estás a basear-te em terceiros que seria desejável evitar em ultima instância.

O que eventualmente deveria ser revisto, e a mim pessoalmente não me choca seria mudar os utilizadores para CGNAT e aplicar um custo minimo, 1 Euro digamos, para teres IP publico. A maior parte das pessoas nem quer saber disso para nada e não pagaria 1 Euro e esta solução iria libertar IP's. Quem não quer e quer ter VPN, siga para o Tailscale.
 
hobbitayla disse:
Boa Tarde:

No entanto, teres um servidor de VPN em casa em vez de estares assente num de fora já me faz sentido! Soluções como TailScale e outras estás a basear-te em terceiros que seria desejável evitar em ultima instância.

O que eventualmente deveria ser revisto, e a mim pessoalmente não me choca seria mudar os utilizadores para CGNAT e aplicar um custo minimo, 1 Euro digamos, para teres IP publico. A maior parte das pessoas nem quer saber disso para nada e não pagaria 1 Euro e esta solução iria libertar IP's. Quem não quer e quer ter VPN, siga para o Tailscale.
Clicar para expandir...
As gamas de de IP estão a preços astronómicos e dificilmente conseguirão praticar esses preços ( se é que conseguem comprar gamas de todo) . A realidade é que a migração pada ipv6 já devia ter acontecido há muito em vez de andarem a arranjar soluções pouco práticas ou pensos rápidos como CGNAT etc..
Quanto a usar soluções de terceiros é discutível…. Mas se estvierem muito preocupados, pode sempre alojar uma instância de headsale (versão selfhost do tailscale) num servidor de vps, que é o que eu faço ou até usar uma vpn WireGuard a esse mesmo VPS e usar como endpoint. De qualquer forma parece-me bem mais seguro criar uma tailscale net que andar expor abertamente cameras de segurança , digo eu :)

CGNAT é uma realidade em todo o lado por essa Europa a fora há anos . Nós aqui temos muita sorte que a MEO , NOS e em parte, mas menos, a VDF compraram gamas de IP aos magotes quando ainda estavam baratas e agarram-se aquilo como Ouro…. razão pela qual ainda existe bridge …
 
Última edição:
bassopt disse:
As gamas de de IP estão a preços astronómicos e dificilmente conseguirão praticar esses preços ( se é que conseguem comprar gamas de todo) . A realidade é que a migração pada ipv6 já devia ter acontecido há muito em vez de andarem a arranjar soluções pouco práticas ou pensos rápidos como CGNAT etc..
Quanto a usar soluções de terceiros é discutível…. Mas se estvierem muito preocupados, pode sempre alojar uma instância de headsale (versão selfhost do tailscale) num servidor de vps, que é o que eu faço ou até usar uma vpn WireGuard a esse mesmo VPS e usar como endpoint. De qualquer forma parece-me bem mais seguro criar uma tailscale net que andar expor abertamente cameras de segurança , digo eu :)

CGNAT é uma realidade em todo o lado por essa Europa a fora há anos . Nós aqui temos muita sorte que a MEO , NOS e em parte, mas menos, a VDF compraram gamas de IP aos magotes quando ainda estavam baratas e agarram-se aquilo como Ouro…. razão pela qual ainda existe bridge …
Clicar para expandir...
Para os clientes que necessitam por exemplo de configurar uma DMZ, com CGNAT não funciona.
 
Tailscale funciona bem para rede interna. Para redes exteriores os pings são demasiado altos (46ms para Madrid, normal são 6!). Cloudflare Tunnels será um pouco melhor, sem deslumbrar (e dependendo da vossa aplicação/acesso pode nem funcionar), ou então solução clássica de VPN.

Notem que em scan a portas direto no IP CGNAT só aparece a 53 do DNS (mínimos olímpicos lol). Se fizerem scan ao IP do segundo hop já aparecem a 80 e 443 (stealth), novamente mínimos olímpicos para aceder à Internet. Mas dá a sensação que isto até acrescenta ping onde não existiria, vi num acesso 4-5 saltos intrarede antes de fazer o acesso via IP com CGNAT...
 
elchicharro disse:
Tailscale funciona bem para rede interna. Para redes exteriores os pings são demasiado altos (46ms para Madrid, normal são 6!). Cloudflare Tunnels será um pouco melhor, sem deslumbrar (e dependendo da vossa aplicação/acesso pode nem funcionar), ou então solução clássica de VPN.

Notem que em scan a portas direto no IP CGNAT só aparece a 53 do DNS (mínimos olímpicos lol). Se fizerem scan ao IP do segundo hop já aparecem a 80 e 443 (stealth), novamente mínimos olímpicos para aceder à Internet. Mas dá a sensação que isto até acrescenta ping onde não existiria, vi num acesso 4-5 saltos intrarede antes de fazer o acesso via IP com CGNAT...
Clicar para expandir...
46ms de ping não é nada para quem precisa de aceder a serviços em homelab. Eu pesoalmente uso um túnel WireGuard de casa para um vps da Oracle em madrid porque não quero abrir portas no router ( única aberta é mesmo a do WireGuard e mesmo essa está com obfuscation) e não tenho problemas nenhums.
Espero sinceramente que isto do CGNAT seja apenas uma coisa temporária até migração definitiva para ipv6. Algo que já devia ter acontecido há pelo menos uma década.
 
Boa Noite,

Estou a fazer uma mudança para a Woo, algém aqui sabe me dizer se o cgNAT, me poderá dificultar a vida a uma central VOIP, or telefone VOIP, por natureza estes correm na porta 5060, desconfio que possa estar bloqueada pelo cgNAT, alguém sabe ?

Se estiver pelo que percebi pode haver formas de contornar mas dá mais trabalho a configuração e em serviços (tailscalre ou outros) que não domino de todo! Sugestões ?

Obrigado,
 
NTTLP disse:
Boa Noite,

Estou a fazer uma mudança para a Woo, algém aqui sabe me dizer se o cgNAT, me poderá dificultar a vida a uma central VOIP, or telefone VOIP, por natureza estes correm na porta 5060, desconfio que possa estar bloqueada pelo cgNAT, alguém sabe ?

Se estiver pelo que percebi pode haver formas de contornar mas dá mais trabalho a configuração e em serviços (tailscalre ou outros) que não domino de todo! Sugestões ?

Obrigado,
Clicar para expandir...
Em CGNAT não é possível abrir portas contra um ip publico. ou melhor da para abrir portas não serve é para nada ! O <ip public é partilhado p0r milhares de utilizadores. VOIP então é para esquecer.
 
Inicie sessão ou registe-se para poder participar.
Back
Topo