Home / Internet / Carrier Grade NAT (CGNAT) kod domaćih provajdera

Carrier Grade NAT (CGNAT) kod domaćih provajdera

Šta je Carrier Grade NAT?

Šta beše NAT?

NAT – Network Address Translation je tehnika pretvaranja privatne IP adrese u javnu IP adresu, sa ciljem da više računara izlazi na internet preko jedne javne IP adrese. Privatne IP adrese se ne rutiraju na internetu, samim tim, ako vašem ISP-u pošaljete paket sa privatnom IP adresom, takav paket će biti dropovan. Standardana implementacija NAT-a kod kućnog ADSL priključka je otprilike ovakva… Imate jednu javnu IPv4 adresu na WAN interfejsu, recimo 1.1.1.1/32 i imate LAN segment na 192.168.1.0/24 mreži. Na ADSL ruteru je uključen NAT i on će recimo IP adresu 192.168.1.100 translirati u 1.1.1.1, sa ciljem da paket ima javnu IP adresu, da bi mogao da putuje internetom.

CGNAT predstavlja…

Carrier Grade NAT je implementacija NAT-a na nivou Internet Servis Provajdera, sa ciljem da se uštede javne IPv4 IP adrese. Opšte je poznato da je nestašica IPv4 adresa aktuelna poslednjih 5 godina i da se forsira prelazak na IPv6. Na IPv6 skoro niko ne prelazi, ali zato skoro svi veći provajderi koriste CGNAT. CGNAT osim što omogućuje da se 1000 korisnika translira na 10 javnih ip adresa, on poseduje mogućnosti da se odradi i translacija na IPv6 adrese. Provajderi pribegavaju korišćenju ove tehnike kako bi uštedeli javne IPv4 adrese, koje se masovno preprodaju, a cena jedne adrese dostiže i $10.

carrier grade nat

Benefiti CGNAT-a

Benefiti CGNAT-a su uglavnom na strani ISP-a, a jedini benefit za krajnjeg korisnika je security. Koliko god zvučalo čudno, NAT je najveći „security feature“, kako, pa najveći broj windows/linux računara nije direktno izložen napadima sa neta, zato što mašine iza NAT-a nisu direktno vidljive spolja. Ovo se u slučaju CGNAT-a odnosi na CPE opremu korisnika(ADSL, CABLE, WiFi ruteri koji se isporučuju korisnicima), koji su „bušni“, pogotovo TP Link, Huawei… Gomila te CPE opreme je konstantno uhakovana sa „rouge“ DNS-ovima… Kod CGNAT implementacije, na WAN interfejsu te jeftine CPE opreme sa zastarelim firmware-om i default passwordom, se nalazi privatna IP adresa, koja nije direktno vidljiva spolja. Na ovaj način, korisnička oprema i sam korisnik ima veći nivo zaštite.

Mane Carrier Grade NAT-a

Uh, ima ih. Zamislite da ste imali IP kameru u LAN mreži, ili server kome ste pristupali tako što ste forwardovali portove. To nije moguće kod CGNAT-a zato što je sada na WAN-u vašeg modema privatna IP adresa, koja nije vidljiva sa interneta. Sa stanovišta ISP-a, takvih zahtevnih, naprednijih korisika je možda 5%, a ostalih 95% su korisnici kojima je bitno da izađu na YT i otvore Facebook, kao i da speed test pokaže zakupljenu brzinu.

Da li sam ja iza CGNAT-a?

Rezervisan blok IP adresa za CGNAT je 100.64.0.0/10. Odete na status opreme i pogledate da li na WAN interfejsu imate IP adresu iz ovog opsega i tako ćete znati da li vaš ISP koristi CGNAT. Ukoliko odete na „what is my ip“ sajt, on će prikazati uvek javnu ip adresu na koju vas je ISP translirao i nećete znati da li je vaša IP adresa iza NAT-a.

Kako da me skinu sa CGNAT-a?

Prvo treba analizirati potpisan ugovor između vas i provajdera. Da li negde piše da vam isporučuju javnu dinamičku ip adresu. Ako to nije definisanao, realno, nemate neki pravni osnov da prinudite ISP-a da vam vrati javnu IP adresu. Postoji velika šansa, da ukoliko se žalite da imate portforward itd, da ISP izađe u susret i skine vas sa NAT-a. Sledeća solucija je zakup javne statičke ip adrese, što se dodatno plaća. Pored toga i neki hack sa pptp vpn-om… ali to sami verovatno nećete moći da odradite bez iskustva sa VPN tehnologijama.

Domaći provajderi i Carrier Grade NAT

Implementacija CGNAT-a kod domaćih provajdera je odavno aktuelna. Tehnički se instalira kartica na neku od većih šasija ili se upregne Cisco ASR sa rolom ili se čak ubacuju poslebne appliance kutije za tu namenu. Uglavnom sama tehnika CGNAT-a je izuzetno hardverski zahtevna zbog ogromne translations tabele i logova koji moraju da se čuvaju. Recimo, cene A10 appliance-a prelaze i 100-200k dolara. Provajderi koji koriste CGNAT su: Telekom Srbija, SBB, Radijus Vektor…

 

About Miloš

Ljubitelj računarskih mreža i interneta. Voljan da pomogne drugima :) Zaljubljenik u sve što ima veze sa mrežama, komunikacijama i bezbednošću na mreži. Cisco i MikroTik sertifikovani inženjer. Obožava digitalnu fotografiju.
Scroll To Top