Redirecionamento de portas e DMZ não abrem as portas do roteador

[Wenderson13213]

Habilitei o redirecionamento de portas, desliguei o firewall, chequei se o Apache estava funcionando e aparentemente (não tenho certeza) não estou usando CGNAT. Porém mesmo assim não consigo abrir as portas do meu roteador, tambem tentei usar DMZ mas tambem não funcionou

 

Roteador Wireless N 150 Mbps
Modelo No. TL-WR720N

[Linio Alan]

Pelos IPs na sua configuração de WAN seu provedor está te entregando conexão internet com CGNAT sim.

 

Ligue no suporte e peça para te informarem o range de portas atrelados à sua conexão WAN, com essa informação ao menos você tem alguma chance de subir seu servidor em porta não-convencional já que o range de portas atrás do CGNAT é definido à critério único e exclusivo do provedor de serviço internet.

[Buga Laza]

9 horas atrás, Linio Alan disse:

Pelos IPs na sua configuração de WAN seu provedor está te entregando conexão internet com CGNAT sim.

 

 

Esse endereço WAN não é um endereço CGNAT (100.64.0.0/10), mas um endereço RFC1918, o que sugere existe outro roteador nessa rede, ou ainda, que o link é fornecido por um pequeno provedor.

[Linio Alan]

Eae @apresenta problemas Laza tudo bem? Desculpe onde no print tem IP 100.64.0.0/24? Só consegui ver 10.1.254.0/24 mas mesmo que fosse 100.64.x.x este também seria o clássico "IP Privado" que por sua vez não é um IP roteável na internet e, por consequência, estará limitado pela reserva de portas lógicas do concentrador na rede do provedor, já que subentende-se que há mais usuários na mesma sub-rede saindo para a internet com IP privado.

 

Daí a necessidade intrínseca do provedor de implementar CGNAT para gerir a conexão de cada usuário afim de melhor gerenciamento de recursos e logs de rede.

[Buga Laza]

Justamente! A faixa de endereços CGNAT é 100.64.0.0/10, e o endereço da captura de tela é um endereço 10.1.254.0/24. Ou seja, o endereço do usuário não é um endereço CGNAT, é um endereço privado, e esse é o motivo de não conseguir conexões de entrada.

Para determinar se ainda seria possível atingir o objetivo, precisaríamos saber o que tem do outro lado dessa WAN, e se o usuário tem gerência sobre ela.

Em tempo, um endereço CGNAT não é a mesma coisa que um endereço privado, embora ambos não sejam roteáveis na internet.

[Linio Alan]

A RFC6598 estabelece as premissas básicas para a implementação do CGNAT com a faixa 100.64.0.0/10, porém no Brasil onde pequenos/médios provedores não possuem avançados conhecimentos de Arquitetura de Redes, adota-se o CGNAT com faixas de IPs Classes A/B/C (geralmente Classe A como o do print) sem contudo comprometer o funcionamento em si da técnica de Carrier Grade NAT apesar de estar fora das especificações da IANA.

 

Mas recebendo um IP privado na LAN vem também atrelado a reserva de portas lógicas pelo provedor e não pelo roteador/CPE no cliente-final, onde raríssimas vezes irá tratar-se de uma alocação dinâmica (UPnP).

 

Sem efetuar a reserva de portas lógicas o provedor tem no mínimo 2 grandes problemas: esgotamento de conexões possíveis dentro do bloco IP o que se traduz em lentidão ao usuário final e/ou mesmo sites ficando inacessíveis, e a questão legal, ou seja, em caso de intimações judicial/policial o provedor não saberá qual usuário apontar para a autoridade requisitante, mesmo que usando um servidor RADIUS por exemplo.

 

Caso o provedor dele não tenha feito essa besteira de não fazer a reserva de portas lógicas a.k.a CGNAT independentemente da faixa de IP usada, então ele ainda cai no "NAT Duplo".