[lacnog] IPs publicas bloqueadas.
Cesar E. Labrador C.
cesarlabradorcastro01 en gmail.com
Mar Ago 3 13:02:05 -03 2021
Hola Jordi;
Totalmente de acuerdo con tu Punto de vista!! Muy buena tu Exposicion y
para mi muy clara..
y si Efectivamente hablo de Transición, volvi a equivocarme con la
Palabra en este caso "Migracion" lo que pasa es que en estos momentos
estoy realizando una Migracion de Equipos de un COR en un ISP y se me
quedo la Expresion Migracion siendo correcta "Transicion".
Ahora como tu indicas es importante al conversar con los Directivos
estar bien claros en los Terminos Tecnicos mas alla que a veces debemos
ser menos Tecnicos para poder dar a entender con claridad los
requerimientos el Problema Principal es por lo menos en mi caso
Particular es el "Dinero" hay es donde como tu muy bien indicas la gente
entra en Miedo o se resiste porque aplican el dicho: "Si todo Funciona
Bien porque Cambiarlo" y les da miedo a perder "Dinero o Ingresos" de
los clentes porque lamentablemente hay todavia muchos Mitos en Internet
y en la cultura general sobre el Desarrollo y Despliegue de IPv6. El
Otro detalle es la falta de Capacitacion de Personal Tecnico en el
manejo Adecuado de IPv6, asi como hay ISP que le dan mucha Importancia
en el Entrenamiento de su Personal hay otros que No les interesa porque
se enfocan solo en el Servicio al Cliente este funcionando y los
ingresos respectivos..
Es un Tema de mucha discusion y abierto a diferentes Interpretaciones
pero lo importante es mantener la Vision y seguir Informando de manera
Clara, Sencilla y Precisa las Ventajas de Implementar IPv6 por lo menos
a nivel de Transicion a Insfraestructuras en Produccion en la medida de
lo posible.
No hace mucho tuve una reunion con los directivos de un ISP de Alcance
Nacional sobre varios Puntos, cuando se toco el Tema que ellos me
indican que requieren mas IPv4 para Ampliar la Plataforma, logicamente
les explique el Tema de uso del IPv6, eso inmediatamente me dijeron NO!
sin mas razones..Bueno sigo trabajando con ellos para explicarles las
Ventajas al respecto y ver si logro convencerlos..
Hay Vamos en la Lucha!
Saludos cordiales...
El 3/8/2021 a las 5:20 a. m., JORDI PALET MARTINEZ vía LACNOG escribió:
>
> Hola Cesar,
>
> Bajo mi punto de vista, habiendo hecho este ejercicio para muchos
> clientes, cuando hablas de dinero (Capex, Opex), se vencen los
> miedos/indecisiones de los directivos. Les da igual beneficios, pues
> en muchos casos incluso no los entienden, pero el dinero manda!
>
> 464XLAT es una forma de coexistencia de IPv4 e IPv6. Aunque digamos
> “IPv6-only” también agregamos “with IPv4aaS” (con IPv6 como servicio).
> La gran ventaja es que gran parte de la carga esta en el cliente
> (CPE), porque hoy por hoy, el 75-85% del tráfico no va a pasar por el
> NAT64, luego tu inversión en ello (que puede ser open source) es muy
> reducida, y a mas CPEs actualizados menor coste de NAT64 y **menos**
> direcciones IPv4 (puedes transferir las que te sobran). Y además es
> “automático” el “desuso” de IPv4. Si los clientes incrementan (sin
> darse cuenta) el tráfico hacia sitios que soportan cada mas IPv6, tu
> NAT64 y tu uso de direcciones IPv4 en el mismo decrece, y puedes
> monitorizarlo (opcionalmente) para ir retirando VMs de NAT64 y sus
> correspondientes direcciones y obtener ingresos por ello: retorno de
> inversión.
>
> No te debe importar que haya muchos portales que sigan con IPv4,
> porque generalmente, salvo casos excepcionales, que pueden ser
> servicios “de país” muy localizados, no te va a afectar en el % de
> tráfico global que tienes del 75-85% con IPv6. Si se desea
> (opcionalmente), esos casos se pueden tratar directamente con ellos,
> **con datos y argumentos de dinero, de calidad de servicio**, con
> medidas de cómo mejoraría el 40% el tiempo de completar un http get,
> como midió Facebook y muchos otros. Pero si tu no avanzas, no
> necesariamente esos portales van a avanzar (y ese ha sido el eterno
> debate con la transición a IPv6, deben ser primero los
> servicios/contenidos o los ISPs?).
>
> Por cierto, las apps de Apple, desde el 2016 **obligatoriamente**
> soportan IPv6, sino Apple la ha ido eliminando del AppStore.
> Dependiendo del país y del % de iOS frente a Android, ya tendrás
> resuelto ese problema y podrás utilizar también ese argumento con esos
> portales locales que cumplen para cumplir con Apple y no cumplen si se
> accede con una página web en lugar de una app, lo cual es algo que es
> muy contradictorio y absurdo, pero sin duda ocurre.
>
> No es una cuenta nada fácil, y obviamente depende muchísimo de cada
> caso. A groso modo:
>
> 1. Cuanto cuesta NAT444 (Capex y Opex).
> 2. Cuanto cuesta (Opex) resolver los problemas que genera.
> 3. Cuanto cuesta (Capex y Opex) transferir nuevas direcciones IPv4
> para sustituir a las que te han bloqueado.
> 4. Sale mas a cuenta el 3 directamente que el 1+2?
> 5. Cuanto cuesta 464XLAT (en el core se puede usar open source)?
> 6. Cuantas direcciones IPv4, quizás, puedes transferir al desplegar
> 464XLAT porque necesitas menos? (retorno de inversión)
> 7. Sale mas a cuenta incluso reemplazar progresivamente los CPEs para
> ir desplegando 464XLAT a nuevos clientes o aquellos que se les
> estropee el CPE?
> 8. Podemos hacer operaciones de “marketing” para actualización de
> CPEs por otros nuevos, pagados en parte (o incluso todo) por los
> clientes, porque obtienen, por ejemplo, WiFi6?
>
> Esta muy simplificado, pero las cuentas salen en la gran mayoría de
> los casos a los que me he enfrentado.
>
> Como aclaración adicional, supongo que quieres decir transición, que
> no migración (migración es desconectar por completo IPv4, y eso no
> funciona). Creo que la precisión en esto es fundamental, porque lleva
> a malentendidos muy frecuentemente, especialmente con esos directivos
> que no entienden!
>
> Saludos,
>
> Jordi
>
> @jordipalet
>
> El 2/8/21 22:16, "LACNOG en nombre de Cesar E. Labrador C."
> <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> en
> nombre de cesarlabradorcastro01 en gmail.com
> <mailto:cesarlabradorcastro01 en gmail.com>> escribió:
>
> Hola Jordi;
>
> Gracias por la Aclaracion, y estoy totalmente de acuerdo contigo fue
> un error de Transcripcion de parte Mia No era NAT64 lo que queria
> indicar en el correo sino el uso del 464XLAT tal como tu
> indicas..despues que envie el correo me di cuenta del error Capa 8.
>
> Sin embargo manteniendo el orden de la discusion si los ISP (a nivel
> de los Directivos) perdieran mas el miedo a Implementar o por lo menos
> ir migrando a IPv6 usando Metodos de coexistencia como 464XLAT sus
> servicios a los clientes fueran mas completos y mas eficientes, para
> este año 2021 practicamente todos los equipos a nivel de COR (Routers,
> SW, Balanceadores, etc) ya Soportan IPv6 como Nativo asi como los CPE.
> El detalle es vencer la Resistencia al cambio y aceptar los Beneficios
> y Ventajas que trae el uso del IPv6. Por lo menos ir desarrollando un
> Plan de Migracion con Plazos definidos en tiempo y espacio, incluyendo
> en esto Capacitacion del Personal Tecnico y Gerencial.
>
> Claro esto no Quiere Decir que sea la Solucion al Problema pero por lo
> menos seria un Manera de ir Resolviendo parte del Problema en Gran
> Medida y Justificar la Implementacion y Despliegue de IPv6 teniendo
> como primera Fase la coexistencia con las direcciones IPv4 existentes
> con el Objetivo de tener una Insfraestructura consolidada en solo IPv6
> (claro poco a poco ya que lamentablemente todavia hay muchos Portales.
> Servidores de Contenidos y App que usan solo IPv4). Pero seria un
> Avance el ir trabajando en el Tema.
>
> Saludos cordiales...
>
> El 2/8/2021 a las 1:01 p. m., JORDI PALET MARTINEZ vía LACNOG escribió:
>
> Hola Cesar,
>
> NAT64 **no** es una solución al problema, te lo complicaría mas
> salvo que tengas la absoluta certeza que:
>
> 1.Ningún dispositivo ni aplicación, en la red del cliente usar IPv4
>
> 2.Ningún dispositivo ni aplicación utilizan librerías “antiguas”
>
> 3.Ningún dispositivo ni aplicación usa direcciones “quemadas”
> (direcciones literales)
>
> Necesitas 464XLAT.
>
> Saludos,
>
> Jordi
>
> @jordipalet
>
> El 30/7/21 18:02, "LACNOG en nombre de Cesar E. Labrador C."
> <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> en
> nombre de cesarlabradorcastro01 en gmail.com
> <mailto:cesarlabradorcastro01 en gmail.com>> escribió:
>
> Buenos dias;
>
> Aqui en Venezuela particularmente he tenido este mismo problema en
> diferentes ISP que soy Consultor y Gerente de Operaciones en el
> NOC, se repite la misma historia y no solo con Nexflix sino con
> Disney+ entre otras Plataformas de Streaming asi como tambien con
> el Banking y Apps mas que todas nuevas.
>
> Es un dolor de cabeza constante para el personal de Soporte que al
> final a nivel del NOC se debe resolver...
>
> Estoy de acuerdo que lo ideal seria la implementacion de IPv6 pero
> el detalle es la Resistencia al Cambio de los Directivos de los
> ISP, sin embargo Yo sigo en la lucha para cambiar la cultura del
> uso de IPv4 e ir migrando al IPv6 a traves de mecanismos de
> transicion como NAT64 u otros metodos. No es tarea Facil pero hay
> vamos..
>
> Saludos cordiales...
>
> El 30/7/2021 a las 10:22 a. m., telecomunicaciones en arcoop.com.ar
> <mailto:telecomunicaciones en arcoop.com.ar> escribió:
>
> Buenos días. Una consulta que tiene que ver con el tema en
> cierta forma, hace unos días que estamos teniendo problema con
> Nexflix, en los usuarios que están detrás de un NAT, después
> de muchas pruebas he podido comprobar que si asigno al cliente
> una IP publica todo sale andando, alguien mas tiene ese problema??
>
> saludos
>
> El 30-07-2021 11:14, Fernando Frediani escribió:
>
> Hola
>
> Este es un problema del que he estado hablando y
> desafortunadamente parece que se está volviendo cada vez
> más común y también tengo el mismo entendimiento que Ariel
> donde en escenarios, especialmente CGNAT, con muchas
> conexiones detrás de una IPv4 pública, puede terminar
> siendo interpretados como ataques y los sistemas de
> mitigación DDoS terminan bloqueando estas direcciones, lo
> que en consecuencia bloquea a muchos otros usuarios detrás
> de esa misma dirección pública.
> El problema es que asignar nuevas direcciones IPv4 a un
> CGNAT no es tan sencillo, especialmente en tiempos de
> escasez de IPv4.
>
> Mientras los bancos y el contenido en general sigan
> descuidando el soporte de IPv6 y mientras esperamos y
> respetemos pacientemente "la buena voluntad" de que cada
> uno tenga IPv6 operativo, un intento en los sistemas CGNAT
> existentes, si compatible, es tratar de difundir a los
> usuarios tanto como sea posible posible a través de un
> mayor número de direcciones IPv4 diferentes disponibles en
> el grupo disponible para el equipo de CGNAT.
>
> Fernando
>
> On 29/07/2021 13:35, Ariel Weher wrote:
>
> Muy buenas tardes
>
> El inconveniente ocurre desde hace unos meses atrás y
> es cada día más frecuente.
>
> Algunos sitios, principalmente portales de banca
> online están empezando a filtrar direcciones IP
> asignadas a cajas de CGN. Aparentemente deben estar
> basados en alguna fuente de información externa tipo
> blacklist.
>
> Entiendo que hay alguna consideración de "seguridad"
> en donde estos bancos determinan que muchas sesiones
> desde un mismo bloque IPv4 (CGN) es considerado un
> potencial peligro y deciden filtrarlos. En un
> principio parecía que se mandaba el tráfico a
> blackhole, pero durante el último tiempo agregaron una
> página de error 403 en donde estos bancos informan que
> el ISP "tiene algún problema en su infraestructura" e
> invitan a sus clientes a abrir un reclamo con su ISP
> para poder volver a acceder al servicio de homebanking.
>
> Ninguno de estos portales tiene registros AAAA
> publicados, por lo que (al momento de escribir este
> mail) desplegar IPv6 en el ISP no resolvería el problema.
>
> Una solución temporal sería asignar IPv4 nuevas a los
> CGN o bien asignar bloques IPv4 públicos a los
> clientes para que puedan acceder a estos portales,
> pero está claro que luego del agotamiento esto es
> inviable. Tampoco está claro cuánto dura en el tiempo
> una asignación dedicada hasta que sea bloqueada
> nuevamente.
>
> Otro grave problema es que algunos clientes del ISP
> pueden acceder al servicio y otros no (los CGN-eados),
> creando un verdadero escenario de "el ISP no anda
> bien". Personalmente he intentado comunicarme con los
> responsables de networking de estas organizaciones vía
> los datos de whois y hasta el momento nunca me
> respondieron.
>
> IMHO, en caso de que estos portales continúen con
> estas prácticas, puede pasar que los ISP en conjunto
> también decidan filtrar para todos sus clientes los
> sitios que hacen este tipo de mala práctica, y se
> terminará afectando la neutralidad de la red.
>
> Saludos!
>
> On Mon, Jul 26, 2021 at 8:53 AM Carlos Marcelo
> Martinez Cagnazzo <carlosm3011 en gmail.com
> <mailto:carlosm3011 en gmail.com>> wrote:
>
> Hola Leandro
>
> Si pudieras darnos información concreta por
> privado vemos si desde lacnic podemos hacer algo
>
> Carlos
>
> via Newton Mail
> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=10.0.58&pv=14.6&source=email_footer_2>
>
> On Mon, Jul 26, 2021 at 8:49, Leandro Roggerone
> <leandro en tecnetmza.com.ar
> <mailto:leandro en tecnetmza.com.ar>> wrote:
>
> Buenas, colegas ;
> Para comentarles sobre una situacion que se
> esta repitiendo ultimamente en nuestro ips.
> Estamos recibiendo reclamos sobre clientes que
> no pueden acceder a distintos servicios:
> Ej,
> Portales privados , apps de pedidos de comida
> , Home banking , etc.
> En la mayoria de estos intentos se devuelven
> mensajes refiriendose a problemas con nuestras
> ips.
> Les queria consultar si han tenido este
> inconveniente y como han procedido para
> solucionarlo.
> Desde aqui , ya hemos intentado lo siguiente:
> a )Contactar al webmaster de los sitios:
> Esto es practicamente imposible, la ayuda en
> los sitios está referida al sitio en si y no a
> la conectividad.
> b ) Buscar nuestra ip en listas negras , por
> ejemplo a travez de mxtoolbox.
> De aqui he logrado obtener una lista de ips
> bloqueadas , pero sobre todo para hacer uso de
> servidores de correo el cual no es mi caso.
>
> Cualquier info que nos pueda ayudar sera
> bienvenida.
> Leandro.
>
> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215927-1361e986-2592-dc9c-c8d2-3bfb55258755/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>
>
>
> Libre de virus. www.avast.com
> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail>
>
>
> _______________________________________________
> LACNOG mailing list LACNOG en lacnic.net
> <mailto:LACNOG en lacnic.net>
> mail.lacnic.net/mailman/listinfo/lacnog
> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215944-1bcc89ef-b287-24fd-c2a0-56a56fb20eae/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/listinfo/lacnog>
> Cancelar suscripcion:
> mail.lacnic.net/mailman/options/lacnog
> <https://tr.cloudmagic.com/h/v6/link-track/1.0/1627300392215954-4027e3bf-48c7-d329-7516-0fb3921ad776/1627300367/96f2d3060286ecbab9150cfe7cb38c63/81b9fdcdae77e81bac55bf25a3dfe46b/c685fcd416a89ab357b7e28c4a5ee604?redirect_uri=https://mail.lacnic.net/mailman/options/lacnog>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> <https://mail.lacnic.net/mailman/listinfo/lacnog>
> Cancelar suscripcion:
> https://mail.lacnic.net/mailman/options/lacnog
> <https://mail.lacnic.net/mailman/options/lacnog>
>
>
>
>
> _______________________________________________
>
> LACNOG mailing list
>
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>
> https://mail.lacnic.net/mailman/listinfo/lacnog <https://mail.lacnic.net/mailman/listinfo/lacnog>
>
> Cancelar suscripcion:https://mail.lacnic.net/mailman/options/lacnog <https://mail.lacnic.net/mailman/options/lacnog>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> <https://mail.lacnic.net/mailman/listinfo/lacnog>
> Cancelar suscripcion:
> https://mail.lacnic.net/mailman/options/lacnog
> <https://mail.lacnic.net/mailman/options/lacnog>
>
>
> ARCOOP - Barracuda Spam & Virus Firewall
>
>
> _______________________________________________
>
> LACNOG mailing list
>
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>
> https://mail.lacnic.net/mailman/listinfo/lacnog <https://mail.lacnic.net/mailman/listinfo/lacnog>
>
> Cancelar suscripcion:https://mail.lacnic.net/mailman/options/lacnog <https://mail.lacnic.net/mailman/options/lacnog>
>
> --
>
> Cesar E. Labrador C.
>
> Consultor Especialista en Telecomunicaciones y Ciberseguridad.
>
> Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
>
> Instructor Programa de Academias Cisco.
>
> _______________________________________________ LACNOG mailing
> list LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
> <https://mail.lacnic.net/mailman/listinfo/lacnog> Cancelar
> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> <https://mail.lacnic.net/mailman/options/lacnog>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com <http://www.theipv6company.com>
> The IPv6 Company
>
> This electronic message contains information which may be
> privileged or confidential. The information is intended to be for
> the exclusive use of the individual(s) named above and further
> non-explicilty authorized disclosure, copying, distribution or use
> of the contents of this information, even if partially, including
> attached files, is strictly prohibited and will be considered a
> criminal offense. If you are not the intended recipient be aware
> that any disclosure, copying, distribution or use of the contents
> of this information, even if partially, including attached files,
> is strictly prohibited, will be considered a criminal offense, so
> you must reply to the original sender to inform about this
> communication and delete it.
>
>
>
> _______________________________________________
>
> LACNOG mailing list
>
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>
> https://mail.lacnic.net/mailman/listinfo/lacnog <https://mail.lacnic.net/mailman/listinfo/lacnog>
>
> Cancelar suscripcion:https://mail.lacnic.net/mailman/options/lacnog <https://mail.lacnic.net/mailman/options/lacnog>
>
> --
> Cesar E. Labrador C.
> Consultor Especialista en Telecomunicaciones y Ciberseguridad.
> Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
> Instructor Programa de Academias Cisco.
>
> _______________________________________________ LACNOG mailing list
> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged
> or confidential. The information is intended to be for the exclusive
> use of the individual(s) named above and further non-explicilty
> authorized disclosure, copying, distribution or use of the contents of
> this information, even if partially, including attached files, is
> strictly prohibited and will be considered a criminal offense. If you
> are not the intended recipient be aware that any disclosure, copying,
> distribution or use of the contents of this information, even if
> partially, including attached files, is strictly prohibited, will be
> considered a criminal offense, so you must reply to the original
> sender to inform about this communication and delete it.
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Cesar E. Labrador C.
Consultor Especialista en Telecomunicaciones y Ciberseguridad.
Enrutamiento en Internet, Ciberseguridad, Gestion de Red: NOC y SOC, Redes Inalambricas.
Instructor Programa de Academias Cisco.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20210803/03a5be9a/attachment-0001.htm>
Más información sobre la lista de distribución LACNOG