vpn / porta 53 / cgnat

Renata Rodrigues · 8 de abril de 2018

Boa tarde!

Meu provedor de internet é a Copel (fibra ótica), do Paraná, que "entrega o serviço de internet em pilha dupla (IPv4 + IPv6), sendo ambos dinâmicos e o IPv4 em CGNAT" (descricão do site deles).

Utilizo com frequencia rede VPN, tendo conectado ao ONT um router rodando ddwrt e outro router com firmware original. No primeiro, eu configurei uma rede wifi que fica conectada ao serviço VPN 24h e no segundo há uma rede wifi "normal", sem VPN. A ideia é ter duas redes aqui em casa, uma em que a internet seja via o VPN e a outra normal.

Para o VPN vinha utilizando no router com ddwrt o OpenVPN, conectando aos servidores via UDP 53.

Tudo funcionou muito bem por várias semanas. Vinha obtendo boa velocidade no VPN, acredito eu pela utilizaçao da dupla OpenVPN/UDP (em comparacao ao TCP e PTPP, as velocidades de download sao muito superiores).

Contudo, de uma hora pra outra o serviço VPN parou de funcionar. Em contato com o serviço de VPN e olhando o log, chegou-se a conclusao de que possivelmente havia ocorrido um bloqueio da porta UDP 53. Testando a conexao via telnet, de fato nao é possível conectar a nenhum servidor deles utilizando UDP 53, mas se consegue conectar via TCP 80.

Sou iniciante e apenas uma curiosa no assunto...portanto meu conhecimento em redes é limitado. Mas pelo pouco que pesquisei, a Copel nao poderia estar bloqueando tráfego nessa porta (que seria a primeira hipotese formulada). Contatei eles e me deram o seguinte "resultado" de atendimento (relato do técnico):

"(....) expliquei sobre o o protocolo CGNAT que utiliza NAT para contornar a falta de endereço IPv4. Essa técnica entrega um endereço privado previsto na RFC 6598 às ONTs, realizando a tradução deste endereço para um IPv4 público compartilhado.A utilização do CGNAT limita a criação de redirecionamento de portas ou DMZ na rede local do cliente. Isso era previsto pelo GT-IPv6. Desta forma, foi sugerido que um endereço IPv6 público seja entregue a cada dispositivo na rede local do cliente, possibilitando a conectividade fim-a-fim prevista desde o início da Internet e eliminando por completo a necessidade de NAT, redirecionamento de portas ou DMZ.Porém cliente quer um laudo tecnico escrito,além do protocolo."

Obviamente que o técnico, ao telefone, nao me disse nada disso. Apenas me disse que a Copel não bloqueia portas e que eles não garantem suporte a redes privadas. Em resumo, me disseram que o serviço deles não suporta redes privadas por conta do CGNAT e afirmaram que nao estão bloqueando qualquer porta "no modem" (?). Eu apenas contra-argumentei perguntando como o serviço funcionou bem por semanas e, de uma hora pra outra, parou de funcionar...ele não soube me responder. Nao faz muito sentido pra mim que a explicacao seja "nao suportamos essa configuração" e que essa configuração tenha, de alguma forma, funcionado por semanas.

Alguém pode me dar alguma luz sobre os esclarecimentos dados por eles e alguma solucao possível para o impasse? Eu gostaria muito de voltar a usar o VPN via UDP 53 porque estava bem mais estável e veloz.

ciro-mota · 8 de abril de 2018

Boa tarde.

Você deve verificar o contrato, se nele estiver previsto o uso de CGNAT, não há muito o que ser feito. E neste modo o redirecionamento de portas ficará comprometido.

Renata Rodrigues · 8 de abril de 2018

Oi Ciro. Obrigada pela resposta.

Eu entendo a "ideia geral" por trás do CGNAT, mas ainda nao entendi (a) por que eu consegui, por semanas, conectar no servidor VPN via UDP 53 com o mesmo ISP, e agora nao tá dando (sempre utilizaram CGNAT...); (b) se a utilização de CGNAT significa, necessariamente, que algumas portas nao vão poder ser utilizadas pelo cliente.

Se puder esclarecer, agradeço.

ciro-mota · 9 de abril de 2018

É provável que antes você não tinha e agora você tem.

Você deve ter ai uma ONT mais um roteador, tente conectar a ONT direto ao PC e teste. Verifique se consegue acesso a ONT para criar redirecionamentos se necessário.