Aulão

NAT e CGNAT
 NAT
2
Instrutor

Nome: Francisco Neto

Resumo:
➢ Trabalha com telecomunicações desde 2005.

➢ Trabalhou na OI como administrador de redes.

➢ Sócio de um provedor de internet em Goiás;

➢ Possui certificações da MikroTik, Ubiquiti, Huawei e outros;

➢ Instrutor oficial MikroTik (Certificado de Trainer TR0184).

 NAT
3
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
4

Porque usar NAT ?

➢ Surgiu na década 90 como técnica paliativa para resolver o
problema do escassez do IPv4;

➢ Foi definido na RFC 3022;

➢ Os prefixos abaixo foram definidas na RFC 1918 e são

normalmente usados em redes que fazem uso de NAT;
▪ 10.0.0.0/8
▪ 192.168.0.0/16
▪ 172.16.0.0/12

➢ O usuário final que antes recebia um bloco de IPs públicos passa

a receber somente 1 IP público.
 NAT
5

Porque usar CGNAT ?

➢ O CGNAT, ou Carrier Grade NAT de forma resumida é
nada mais nada menos, que o uso de mais um NAT na
rede do provedor;

➢ Definido na RFC 6598;

➢ A rede 100.64.0.0/10 foi definida na para atender as

necessidade de CGNAT;

➢ O usuário final que antes recebia 1 IP público já na

recebe mais.
NAT
6

Rede sem CGNAT

INTERNET

Roteador do
provedor.
Rede do provedor
SEM NAT

200.1.1.2 Cliente com IP Público.

Roteador do cliente.
NAT para rede local
navegar.

192.168.1.0/24
NAT
7

Rede com CGNAT

INTERNET

Roteador do
provedor.
Rede do provedor
COM NAT

100.64.1.50
Cliente sem IP Público.
Roteador do cliente.
NAT para rede local
navegar.

192.168.1.0/24
 NAT
8

NAT vs CGNAT
INTERNET INTERNET

Público
200.1.1.2

Público
CGNAT
Shared
Address
200.1.1.2
Space
100.64.1.50
100.64.0.0/10

NAT NAT
Privado Privado
192.168.1.0/24
192.168.1.0/24
10.0.0.0/8 10.0.0.0/8
192.168.0.0/16 192.168.0.0/16
172.16.0.0/12 172.16.0.0/12

192.168.1.0/24
 NAT
9

NAT vs CGNAT
INTERNET

Público
➢Porque usar a rede 200.1.1.2

100.64.0.0/10 ? CGNAT
Privado

➢Posso usar a faixa

192.168.0.0/24
192.168.1.50

de rede privada ? NAT

Privado
192.168.1.0/24

192.168.0.0/24
 NAT
10
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
11

Cases mais comuns de uso do NAT

PC
192.168.1.254 Servidor WEB
Host com IP privado se comunicando 200.1.2.3
com host que possui IP público.

PC
187.1.2.3
DVR
Host com IP público se comunicando 10.1.1.2
com host que possui IP privado.
 NAT
12
Entendo os canais do NAT

SRC-NAT: O roteador faz tradução do IP e/ou porta de origem.

Regra
SRC PORT DST PORT SRC PORT DST PORT
SRC-NAT
SRC ADDRESS DST ADDRESS SRC ADDRESS DST ADDRESS

DST-NAT: O roteador faz tradução do IP e/ou porta de destino.

Regra
SRC PORT DST PORT SRC PORT DST PORT
DST-NAT
SRC ADDRESS DST ADDRESS SRC ADDRESS DST ADDRESS
 NAT
13

Cases mais comuns de uso do NAT

SRC-NAT

PC
192.168.1.254 Servidor WEB
200.1.2.3

DST-NAT

PC
187.1.2.3
DVR
10.1.1.2
 NAT
14
Localização DST-NAT e SRC-NAT

Firewall
Decisão
Chegada DSTNAT de Forward SRCNAT Saída
roteamento

Output

Input

Decisão
de
roteamento

Processo local
 NAT
15
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
16
SRC-NAT

SRC DST SRC DST

192.168.1.254 8.8.8.8 192.168.1.254 8.8.8.8

SEM NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24

DST SRC
192.168.1.254 8.8.8.8
 NAT
17
SRC-NAT

SRC DST SRC DST

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8

SRC NAT
WAN
187.32.81.27
8.8.8.8
PC
192.168.1.254/24

DST SRC DST SRC

192.168.1.254 8.8.8.8 187.32.81.27 8.8.8.8
 NAT
18
Localização da Connection Tracking

Firewall
Chegada

Decisão
Conntrack DSTNAT de Forward SRCNAT Saída
roteamento

Output

Input
Conntrack

Decisão
de
roteamento

Processo local
 NAT
19
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
20
DSTNAT

SRC DST SRC DST

177.1.1.5 200.1.1.2 200.1.1.1 192.168.1.203

DST NAT
WAN
200.1.1.2
Internet
PC R1
177.1.1.5 192.168.1.1
WEB SERVER
Rede local 192.168.1.203
 NAT
21
Ação DST-NAT e redirecionamento

➢ Redirecionamento de portas para acessar externamente um

servidor WEB que não possui IP público.
 NAT
22
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
23

CGNAT

➢Cada rede tem suas particularidades;

➢O ideal é você conhecer as diversas topologias e

possibilidades de forma que não fique preso a
somente um desenho de rede.
 NAT
24
Quantos IPs públicos você tem ?

Roteador Roteador Roteador Roteador

operadora operadora operadora operadora
Rota para
usar bloco
público na
LAN. /30
/30 /28 /30

/30
/30 /28 /30

/28
/22 BGP

Seu roteador Seu roteador Seu roteador Seu roteador

 NAT
25

Topologias
INTERNET INTERNET

Borda Borda

CGNAT CGNAT

Concentrador Concentrador

Roteador do cliente. Roteador do cliente.

192.168.1.0/24 192.168.1.0/24
 NAT
26

Topologias
INTERNET INTERNET

Borda Borda

CGNAT CGNAT Tráfego

sem NAT

Concentrador Concentrador

Roteador do cliente. Roteador do cliente.

192.168.1.0/24 192.168.1.0/24
 NAT
27

Topologias
PBR para CGNAT
INTERNET

Borda

Tráfego
sem NAT CGNAT

Concentradores
 NAT
28
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
29

CGNAT

➢Existem várias maneiras de se implementar

CGNAT no RouterOS;

➢O ideal é que você conheça cada possibilidade

para fazer a melhor escolha de acordo com a sua
necessidade.
 NAT
30

COM ou SEM Logs

Alocação dinâmica Alocação estática

de portas de portas
➢ Será necessário guardar logs ➢ Não será necessário guardar
com a porta de origem de cada logs com a porta de origem de
conexão; cada conexão;

➢ Será necessário guardar logs de ➢ Será necessário guardar logs de

autenticação e atribuição de IPs; autenticação e atribuição de IPs.

➢ Maior economia de IPs públicos. ➢ Menor economia de IPs

públicos.
 NAT
31
Ações usadas no canal SRC-NAT

➢ Masquerade: Altera o endereço de IP de origem usando o IP da interface de

saída.

➢ SRC-NAT: Altera o endereço de IP e/ou porta de origem por um IP e/ou porta

de sua escolha. O campo to-address aceita range e rede, e a distribuição das
traduções acontece de forma completamente aleatória.

➢ SAME: Altera o endereço de IP e/ou porta de origem por um IP e/ou porta de

sua escolha. O campo to-address aceita range e rede, e a distribuição das
traduções mantém o IP selecionado para conexões com mesmo IP de origem e
mesmo IP de destino.

➢ NETMAP: Faz mapeamento de endereços, ação geralmente utilizada para

mapear IPs privados em IPs públicos. O campo to-address aceita somente
endereço de rede, e a distribuição das traduções acontece literalmente de
forma mapeada.
 NAT
32
CGNAT com ação SRC-NAT

➢Indicado quando irá usar somente um IP público

em cada regra, para as traduções dos IPs
privados;

➢Recomendado para cenários mais simples,

 NAT
33
Usando a ação SRC-NAT

Internet

➢ Forçando mascaramento 200.1.1.2/29

ser feito por um endereço 200.1.1.3/29

de IP de sua escolha.

10.1.1.1 10.1.1.2 10.1.1.3

Comandos
/ip firewall nat
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local para o end. 200.1.1.2" dst-address-list=!rede-local dst-address-type=!multicast \
src-address-list=rede-local to-addresses=200.1.1.2
 NAT
34
Usando a ação SRC-NAT

Internet

10.1.1.0/24 => 200.1.1.2/29

➢Forçado um IP público 10.2.2.0/24 => 200.1.1.3/29

para cada sub-rede

Rede 1 Rede 2

10.1.1.1 10.1.1.2 10.2.2.1 10.2.2.2

Comandos
/ip firewall nat
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.1.1.0/24 para o end. 200.1.1.1" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.1.1.0/24 to-addresses=200.1.1.2
add action=src-nat chain=srcnat comment="For\E7ando mascaramento da rede local 10.2.2.0/24 para o end. 200.1.1.2" dst-address-list=!rede-local dst-address-type=\
!multicast src-address=10.2.2.0/24 to-addresses=200.1.1.3
 NAT
35
Problemas com SRC-NAT
 NAT
36
CGNAT com ação SAME
➢Indicado quando irá usar vários IPs públicos na
mesma regra, para as traduções dos IPs privados.

➢Para não ter problemas com algumas aplicações,

lembre-se de marcar a opção not-by-dst pois
dessa forma o NAT irá olhar somente para o IP
de origem do pacote para escolher o IP de
tradução (resumindo um cliente sempre ficará
preso a um único IP público).
 NAT
37
Problemas com SAME
➢ As conexões com mesmo IP origem
e com mesmo IP de destino sempre
usarão o mesmo IP público;

➢ Se o IP de destino for diferente, um

novo IP público poderá ser
escolhido e isto poderá causar
problemas em algumas aplicações.
 NAT
38
CGNAT com SAME
➢ Independente do destino as
conexões de um mesmo cliente
sempre usara o mesmo IP público
para fazer as traduções.
 NAT
39
CGNAT com ação NETMAP
➢Indicado quando irá usar uma sub-rede inteira
de IPs públicos na mesma regra, para as
traduções dos IPs privados.

➢O NET-MAP faz literalmente um mapeamento de

IPs (1:1 ou 1:N) e dessa forma permite a fácil
localização de IPs privados que fizeram uso de
um IP público.
 NAT
40
Usando a ação NET-MAP

Internet

➢ NETMAP com sub-redes iguais

10.1.1.0/24 mapeada na rede 200.1.1.0/24
200.1.1.0/24

10.1.1.0/24

10.1.1.1 10.1.1.2 10.1.1.3

Comandos
/ip firewall nat
add action=netmap chain=srcnat comment="Mapeamento de endere\E7os 1:1" dst-address-list=!rede-local dst-address-type=!multicast src-address=10.1.1.0/24 to-addresses=\
200.1.1.0/24
 NAT
41
Usando a ação NET-MAP

Internet

➢ NETMAP com sub-redes iguais

10.1.1.0/24 mapeada na rede 200.1.1.0/29
200.1.1.0/29

10.1.1.0/24

10.1.1.1 10.1.1.2 10.1.1.3

Comandos
/ip firewall nat
add action=netmap chain=srcnat comment="Mapeamento de endere\E7os da rede 10.1.1.0/24 na rede 200.1.1.0/29" dst-address-list=!rede-local dst-address-type=!multicast \
src-address=10.1.1.0/24 to-addresses=200.1.1.0/29
 NAT
42
Mapeamento do NETMAP

200.1.1.0/29

Rede privada: 10.1.1.0/24

Mapeada em uma

Rede pública: 200.1.1.0/29

200.1.1.0/29

200.1.1.0/29
NAT
43

Me ajuda ai vai!!
 NAT
44
Me ajuda ai vai!!

SRC-NAT SAME NET-MAP

➢ Pode ser usado para um ➢ Ideal para CGNAT ➢ Ideal para CGNAT
CGNAT rápido com rápido com alocação com alocação
alocação de portas de portas dinâmicas estática de portas;
dinâmicas (lembrando
de ter somente 1 IP no e poderá ter um
campo to-address em pool ou sub-rede de ➢ Número de regras
cada regra); IPs no campo to- bem reduzido em
address. relação ao SRC-NAT;
➢ Pode ser usado para ➢ Lembre-se de
fazer alocação de marcar o not-by-dst
portas de estáticas para para evitar
cada IP privado (2 problemas
regras para cada IP
privado);
 NAT
45
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
 NAT
46
Exemplo de localização do cliente
 NAT
47
Exemplo de localização do cliente
• É necessário a porta de origem ,IP público, data e hora da
1 conexão.

• Faça um filtro no relatório usando o IP público solicitado.

2

• Faça um filtro no relatório para o range de portas levando em

3 consideração a porta de origem solicitada.

• Agora você encontrou o IP privado que originou a conexão.

• Por ultimo consulte no seu sistema de gerenciamento qual foi o

cliente que fez uso desse IP privado na data e hora solicitada.
 NAT
48
Exemplo de localização do cliente
Identifique o cliente da seguinte conexão:

IP Público: 200.1.1.8
Porta de origem: 58123
Data: 15/01/2020
Hora: 13:20:04
 NAT
49
Exemplo para achar usuário no SGP
 NAT
50
Exemplo para achar usuário no SGP
Identifique o cliente da seguinte conexão:

IP Público: 200.1.1.8
Porta de origem: 58123
IP privado encontrado Data: 15/01/2020
no relatório:100.92.211.200
Hora: 13:20:04
 NAT
51
Cronograma Aulão NAT e CGNAT
Porque usar NAT e porque CGNAT?

Os canais do NAT do MikroTik RouterOS.

Entendendo como funciona o SRC-NAT + boas práticas.

Entendendo como funciona o DST-NAT + boas práticas.

Topologias para CGNAT.

Exemplos práticos de CGNAT com e sem uso de logs.

Bônus final
NAT
52

Dúvidas e perguntas