Xbox Live Nat Estrita

[JasonH]

Galera estou com uma dificuldade em deixar a nat aberta para o xbox one.
Meu cenário ether 1 com um link dedicado
Rede toda em bridge
Mk-Auth autenticando clientes

Ja tentei redericionar portas como para um serviço de cameras online mais não fuciona!

Segue as portas que preciso

Porta 88 (UDP)

Porta 3074 (UDP e TCP)

Porta 53 (UDP e TCP)

Porta 80 (TCP)

Porta 500 (UDP)

Porta 3544 (UDP)

Porta 4500 (UDP)

Vi um cara dizendo que tinha que reservar as portas com o comando src-nat mais não achei nada a respeito pela net!
Ja ativei o UPnP também e não resolveu.

[eduardomazolini]

Veja se não tem nat atrás de nat.
Eu tava com um cliente agora e resolvi isso.
Meu radio entrega um IP que é NAT do Publico então nem conta pra ele.
Tinha ativado no meu radio uPNP.
O problema é que dentro da casa ele tinha um roteador TP-LINK.

Eu acabei de pedir pra ele tirar o cabo da porta azul colocar na amarela, fiz os nat pra acessar o roteador TP-Link desativei o DHCP Server.

Agora o cliente pega o DHCP do SXT que esta com UPnP ativo e recebe o IP publico do meu NAT na borda.

[avatar52]

Então o UPnP resolveu teu caso? Tem um usuário PHD aqui que disse num tópico outro que andei lendo hoje que isso era burrice.

[JasonH]

Veja se não tem nat atrás de nat.
Eu tava com um cliente agora e resolvi isso.
Meu radio entrega um IP que é NAT do Publico então nem conta pra ele.
Tinha ativado no meu radio uPNP.
O problema é que dentro da casa ele tinha um roteador TP-LINK.

Eu acabei de pedir pra ele tirar o cabo da porta azul colocar na amarela, fiz os nat pra acessar o roteador TP-Link desativei o DHCP Server.

Agora o cliente pega o DHCP do SXT que esta com UPnP ativo e recebe o IP publico do meu NAT na borda.

Vou tentar aqui pra ver se dá certo

[JasonH]

Então o UPnP resolveu teu caso? Tem um usuário PHD aqui que disse num tópico outro que andei lendo hoje que isso era burrice.

Não resolveu! Ja pesquisei muito sobre esse assunto no forum mais não achei uma resposta concreta e que fucione !!

[eduardomazolini]

UPnP resolve sim. Burrice é fazer forward de porta onde da pra usar UPnP. Agora não adianta ativar UPnP no tplink e ter mais o nat da CPE. Desativa o dhcp do roteador do cliente, liga CPE na lan e ativa o UPnP na CPE.

[brunocemeru]

Amigos eu já tentei muitas soluções mas única que deu certo foi dedicar um IP válido ao cliente.
Observei que quando existe mais de xbox na rede sempre um fica restrito ou moderado.
Mesmo vale para PSN.Sendo que a PSN bloqueia vários acessos de um mesmo IP.
A pergunta sobre o upnp seria:adianta ativar se a rede é nateada e nesta existe vários games ?

[FernandoB]

Sim amigo, fui eu que falei da reserva de portas, mas isso implicaria em deixar apenas este cliente funcionando e os outros xbox não iriam funcionar, neste mesmo post que eu explico como dividir sua range de ip inteira com os clientes, esse problema com videogame tanto xbox quanto ps4 é a mesma coisa. O pessoal costuma colocar os link pra funcionar e tem um bloco de ip enorme e deixa apenas um funcionando, ai acontece esse tipo de coisa.

Dá uma olhada neste post onde eu explico como proceder.

https://under-linux.org/showthread.php?t=171702&page=3

[eduardomazolini]

Bom, se o IP não é dedicado, é nat atrás de nat, ai não resolve UPnP já tinha dito isso.

[eduardomazolini]

@FernandoB, vi seu post usou address list pra fazer NAT.
Procure sobre netmap, usa menos processamento que address-list, e ainda permite você mudar a porta de origem, assim você divide ranges de portas de origem diferentes pra cada cliente. Procure sobre CGNAT. Eu escrevi um post sobre CGNAT com netmap e CGNAT do wiki da mikrotik.

[gandhi]

Amigão so faz um dmz na sua rb, na antena do cliente libera dmz também e o no roteador dele faça uma dmz, e seta o dmz do roteador em um ip fixo que seja só do xbox, e coloque ip fixo também na sua rb e seja feliz.

[avatar52]

Quanto menos NAT usar, melhor.

E o UPnP foi criado pra isso, para evitar usar DMZ para um simples console e ainda ferrar com outras aplicações.

E o cara que falar que o UPnP não resolve ou não serve pra nada, ele não sabe ler ou não leu a RFC6970.

Já recomendo a leitura pra quem quiser: https://tools.ietf.org/html/rfc6970

[Treme]

Solução definitiva é entrega IP valido para o cliente, querendo ou não em algum momento irá te da dor de cabeça, a live vai ver " o esse ip aqui tem 20 xbox atras, vamos bloquia "
uma solução que deu certo no meu cenário, foi cria 40 NAT, cada um com ip valido de saida, minha gama de cliente toda vez que desconecta/conectava pega um classe valida diferente, bom tinha 1/40 para pega uma diferente, acabou minha dor de cabeça até então, 80% - MKSolution /mkpool, mais as vezes recebo ligações de reclamação desse tipo ainda, ai coloco ip valido temporário, depois eu tiro... e to levando.

[FernandoB]

@FernandoB, vi seu post usou address list pra fazer NAT.
Procure sobre netmap, usa menos processamento que address-list, e ainda permite você mudar a porta de origem, assim você divide ranges de portas de origem diferentes pra cada cliente. Procure sobre CGNAT. Eu escrevi um post sobre CGNAT com netmap e CGNAT do wiki da mikrotik.

Desculpe amigo, mas você deve estar equivocado, é impossível mudar uma porta de origem, você deve estar tentando dizer outra coisa, já que a porta de origem não diz respeito a nada que seja firewall e sim do sistema de origem imutável.

Quanto ao Netmap é sim uma solução que faz o mesmo que eu citei, só que é mais simples e exige menos raciocínio, como sempre deixei claro aqui no fórum não é minha intenção passar soluções mastigadas para ninguém e sim estimular o usuário a pensar mais e evoluir . Tem pessoas que vem aqui no fórum a vida toda sempre pedindo e sempre tendo respostas completas e prontas, simplesmente resolvem o problema muitas vezes sem nem entender nada...ou entendendo de forma errada, nossa responsabilidade é passar o conhecimento a diante e não apenas dar tudo de bandeja. No meu ponto de vista, disseminar o conhecimento de forma a obrigar que os outros também tenham que raciocinar e entender o processo.

[eduardomazolini]

Desculpe amigo, mas você deve estar equivocado, é impossível mudar uma porta de origem, você deve estar tentando dizer outra coisa, já que a porta de origem não diz respeito a nada que seja firewall e sim do sistema de origem imutável.

Quanto ao Netmap é sim uma solução que faz o mesmo que eu citei, só que é mais simples e exige menos raciocínio, como sempre deixei claro aqui no fórum não é minha intenção passar soluções mastigadas para ninguém e sim estimular o usuário a pensar mais e evoluir . Tem pessoas que vem aqui no fórum a vida toda sempre pedindo e sempre tendo respostas completas e prontas, simplesmente resolvem o problema muitas vezes sem nem entender nada...ou entendendo de forma errada, nossa responsabilidade é passar o conhecimento a diante e não apenas dar tudo de bandeja. No meu ponto de vista, disseminar o conhecimento de forma a obrigar que os outros também tenham que raciocinar e entender o processo.

Kkkkkk eu disse o que disse. Tenta ai.