Impressão minha ou minha rede está mal configurada e passa pelo NAT 9x?!?!?

Luc457x · 29 de julho de 2022

Depois que meu provedor resolveu trocar os routers e colocaram um com um firmware personalizado por eles, minha vida virou um inferno, vivo tendo de fazer gambiarras pra resolver problemas que nunca tive antes quando eu podia mexer no painel administrativo do router, que agora não posso mais...
Ao que sei quando se usa o traceroute no cmd do windows e se tem uma resposta com os 2 primeiros IPs sendo privados, tenho um problema de "double NAT", e IPs começados com 10 e 172 são públicos. Meu traceroute retornou 9 IPs públicos!!!
Estou viajando ou isso está bem errado?

OBS: Os problemas que tenho após a troca de roteador e a nova rede são no geral problemas com um servidor que tenho, principalmente com o unbound, que sempre usei como servidor DNS, porém após a manutenção começou a dar problemas recorrentes com o DNSSEC, retornando "ServFail (BOGUS)" em alguns sites que se eu mudo o DNS para o google ou cloudfare eles retornam normal...

Cadu Campos · 29 de julho de 2022

@Luc457x olá amigo, tudo bem?

redes iniciadas com 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 são redes internas, não roteadas para o mundo, caso queira estudar sobre procure a RFC1918!
dentro do seu servidor de dns, de o comando dig -x pra o domínio do site que apresenta o erro e veja se consulta normalmente, verifique também se a opção de dns sec está ativo e veja se está validando, possivelmente você está dentro de uma rede de cgnat e só fizeram o mapeamento de porta em cima de portas conhecidas!

att;

Henrique - RJ · 29 de julho de 2022

@Luc457x

Peça para o provedor resolver isso trocando o router novamente.

Luc457x · 29 de julho de 2022

7 horas atrás, Cadu Campos disse:

dentro do seu servidor de dns, de o comando dig -x pra o domínio do site que apresenta o erro e veja se consulta normalmente, verifique também se a opção de dns sec está ativo e veja se está validando, possivelmente você está dentro de uma rede de cgnat e só fizeram o mapeamento de porta em cima de portas conhecidas!

No caso eu rodo meu próprio servidor DNS com o unbound, no arquivo de configuração está setado para usar o DNSSEC, o problema é que alguns sites do nada param de responder e só retornam "BOGUS", e se eu troco pra um servidor DNS público ele volta a funcionar, ou as vezes volta a funcionar sozinho mesmo no meu DNS privado após um certo tempo.
Tem alguma forma de saber se eu estou usando CGNAT?
Ao que eu saiba eu estou sim, pôs meu IP público se eu uso algum site do tipo "whatsmyip.com" nem aparece nessa lista do comando tracert.
Mas a questão mesmo é, esse printscreen que eu postei, ele parece normal pra alguém com um entendimento melhor de rede que eu, ou realmente tem algo estranho por ter tantos "hops" em IPs públicos?

2 horas atrás, Henrique - RJ disse:

@Luc457x

Peça para o provedor resolver isso trocando o router novamente.

Já tentei e não é uma opção...

dwatashi · 29 de julho de 2022

Sobre CGNAT parece estar, para ter certeza, basta verificar se você em seu roteador tem um ip público ou privado.

Quanto aos hops, mostra qual a rota foi utilizada para obter resposta. Varia de acordo com o provedor, porque cada um trata de maneiras diferentes os acessos.

Quanto ao DNSSEC, troque os servidores de stream DNS. Parece que alguns servidores resolvem melhor que outros conforme esse post do pi-hole.

Luc457x · 29 de julho de 2022

6 minutos atrás, dwatashi disse:

Sobre CGNAT parece estar, para ter certeza, basta verificar se você em seu roteador tem um ip público ou privado.

Eu não tenho acesso ao painel adm do roteador, só o provedor, esse é meu maior problema, não fosse isso eu já teria resolvido tudo.
No roteador creio que meu IP seja um desses 10.x ai do print, mas se eu acesso algum site como o "whatsmyip.com", retorna um IP começado em 187.x.

11 minutos atrás, dwatashi disse:

Quanto ao DNSSEC, troque os servidores de stream DNS. Parece que alguns servidores resolvem melhor que outros conforme esse post do pi-hole.

"Obviously, the work-around for this is to simply implement Unbound..."
Eu uso o unbound, e ele acessa direto os root-servers e não outros DNS como google ou cloudflare.
porém o problema é bem similar ao meu, vou dar uma lida no post.

dwatashi · 29 de julho de 2022

24 minutos atrás, Luc457x disse:

"Obviously, the work-around for this is to simply implement Unbound..."

Provavelmente as consultas ao root podem estar sendo limitadas, como não consegue verificar retorna como BOGUS.

Porque o cache expira depois de um tempo, então ele faz a consulta.

Cadu Campos · 29 de julho de 2022

@Luc457x Entendi que você utiliza o unbound, porém, tem de verificar se realmente seu dnssec está realizando a verificação dos domain de forma correta, consulte o log do unbound e verifique se o mesmo retorna algum erro. Pois pode ocorrer que o seu provedor não esteja realizando o cgnat de forma correta, pois DNS pra uso de usuário só utiliza o protocolo UDP porta 53, já para uso de um servidor de dns utiliza tanto UDP como TCP. Faça um teste rápido, desative a opção do DNSSEC e veja se o unbound funciona normalmente.

Em relação ao tracert realmente não vai aparecer o ip público a não ser que você esteja recebendo um, visto que internamente o provedor pode utilizar ip's privados para ponto a ponto entre roteadores e switchs layers 3.

arfneto · 29 de julho de 2022

15 horas atrás, Luc457x disse:

Ao que sei quando se usa o traceroute no cmd do windows e se tem uma resposta com os 2 primeiros IPs sendo privados, tenho um problema de "double NAT", e IPs começados com 10 e 172 são públicos. Meu traceroute retornou 9 IPs públicos!!!
Estou viajando ou isso está bem errado?

Não é o caso. Seu provedor pode ter uma extensa rede privada focada em 10.0.0.0 e ainda assim não ter nada errado.

múltiplo NAT pode ter na sua LAN, e muita gente acaba com isso porque liga rotadores em cascata através da porta WAN. É sim um desastre, mas é fácil de testar e de evitar.

4 horas atrás, Luc457x disse:

só o provedor, esse é meu maior problema, não fosse isso eu já teria resolvido tudo

O que teria resolvido? O que seria "tudo"?

4 horas atrás, Luc457x disse:

No roteador creio que meu IP

Veja o endereço público do seu gateway padrão. Esse é o tal endereço público.

Luc457x · 29 de julho de 2022

@arfneto lembro doq você falou ,fui eu que criei um post a umas semanas atrás falando sobre a rede em que o roteador principal eu não tinha acesso e basicamente criei uma segunda rede com o problema de "double nat" mesmo. Nessa segunda rede não tem problema, visto que é só para compartilhar internet grátis e não precisa ser de boa qualidade pra haver problemas em espelhar um cel em uma TV ou assistir netflix em 4k, basicamente até ai é só o whatsapp e o youtube a 144p funcionarem, e minha gambiarra, embora não seja o opcional, estava funcionando... Mas agora estou tendo problemas até mesmo com a rede principal, onde eu sequer tenho acesso as configurações para poder ter configurado algo errado.

Tudo resolvido seria eu podendo ligar a função "GUEST" , podendo configurar limite de banda para os visitantes na rede "GUEST" e podendo mudar o DNS do DHCP, coisas que eu tenho certeza que o firmware original do meu roteador tinha pôs eu tinha um modelo igual. Mas com o firmware "custom" que a empresa colocou não tenho acesso a nada disto.
PS: No caso o problema que tenho na rede principal é o unbound não funcionando, que não posso dizer que tenho certeza que é a causa, mas antes de trocarem o firmware do roteador ele funcionava perfeitamente.