Я установил роутер Airport Extreme и получил предупреждение о "Double NAT". Почему это плохо?

4870
Chris W. Rea

У меня относительно сложная сеть для домашнего офиса / небольшого офиса - я использую два маршрутизатора / брандмауэра NAT (преобразование сетевых адресов), чтобы предоставить DMZ (демилитаризованную зону) для дешевого жертвенного веб-сервера. По сути, я не хочу, чтобы компромисс (он же pwnage) веб-сервера позволял легко получать доступ к ПК в частной сети. Вот простая схема того, как я настраиваю вещи:

 ИНТЕРНЕТ --- Внешний маршрутизатор NAT --- Внутренний маршрутизатор NAT --- Частная локальная сеть  |  WWW сервер

Внешний маршрутизатор позволяет использовать порты 80 и 443, перенаправленные на веб-сервер. Внутренний маршрутизатор ничего не допускает . Теория: если веб-сервер скомпрометирован, персональные компьютеры локальной сети все еще защищены внутренним маршрутизатором.

Вперед: я недавно купил Apple Airport Extreme для замены существующего внутреннего маршрутизатора NAT. Когда я подключил новый Airport Extreme к внешнему маршрутизатору, утилита Airport во время настройки жаловалась, что я использую конфигурацию «Double NAT». Я был озадачен - я никогда не видел такого сообщения от маршрутизатора прежде и никогда не испытывал проблемы с двойной настройкой NAT. Я был на двойной настройке NAT в течение многих лет.

Итак, почему двойной NAT настолько плох, что мой Airport Extreme хочет предупредить меня об этом и предложить вместо этого использовать мостовой режим? Если оставить в стороне очевидные соображения относительно производительности и задержки, почему NAT на вершине NAT будет плохой вещью? Спасибо!

5

4 ответа на вопрос

5
David Rubin

На самом деле у меня недавно произошла аналогичная ошибка в моей настройке, когда я перенастроил ее из-за переключения передач.

Сообщение о двойном NAT разработано как предупреждение о возможной патологической настройке сети, но я думаю, что это не имеет значения, особенно если учесть, что вы уже некоторое время выполняли эту настройку. Фактически, многие интернет-провайдеры в наши дни используют NAT на своих DSL или кабельных модемах, где каждый клиент уже, так сказать, «отстает от маршрутизатора», даже с одним устройством, подключенным напрямую к модему. Как только клиент добавляет беспроводной маршрутизатор для своего дома, он оказывается в ситуации двойного NAT. И это, кажется, работает очень хорошо для большинства людей, очевидно.

Согласно моим исследованиям, кажется, что есть некоторые приложения, в основном VPN промышленного уровня и другие приложения, которые манипулируют данными на нижних уровнях стека OSI, что может привести к сбоям в работе, если они начнут копаться в пакетах. Конкретная настройка межсетевого экрана Cisco VPN + является одним из примеров, с которым я столкнулся . В качестве другого примера, надежность некоторых реализаций VoIP в среде с двойным NAT, по-видимому, является предметом некоторых дискуссий.

Как вы указываете, это почти наверняка внесет небольшую дополнительную задержку из-за дополнительного прыжка и работы, выполняемой каждым маршрутизатором, но если вы не являетесь конкурентоспособным игроком ... м-м.

Редактировать: Как указывает Кевин ниже, UPnP также, вероятно, взбесится в сценарии с двумя NAT, но Airport Extreme, который вызвал вопрос , в любом случае не поддерживает UPnP .

4
Kevin Panko

Эта конфигурация отключит любое приложение, использующее UPnP . Это дает прикладному программному обеспечению возможность запрашивать у маршрутизатора внешний IP-адрес и открывать порты на маршрутизаторе. Приложения, работающие во внутренней сети, не смогут «увидеть» второй маршрутизатор, чтобы открыть на нем порты.

Это, вероятно, не большая проблема для вас, так как вы пытаетесь убедиться, что ничто не может попасть в вашу внутреннюю сеть.

3
Axxmasterr

Устройствам домашнего класса очень трудно справиться с этим типом сценария, поскольку он эффективно меняет адреса на каждом маршрутизаторе.

Я бы порекомендовал перенастроить вашу сеть на несколько логических сегментов вместо того, чтобы пытаться поддерживать одно и то же адресное пространство.

Так что для вашего внешнего адреса, идущего в сеть, используйте то, что назначил вам ваш провайдер. Для вашей сети между двумя устройствами используйте подсеть, которая не используется в вашей частной сети.

Примером может служить отсутствие NAT между двумя устройствами. Используйте реальные частные адреса. Например, настройте каждый маршрутизатор на 172.16.1.1 для внутреннего интерфейса внешнего маршрутизатора и используйте 172.16.1.2 для внешнего интерфейса внутреннего маршрутизатора.

Затем настройте два устройства для маршрутизации друг к другу, убедившись в правильности указания следующего перехода.

Внешний маршрутизатор должен знать, как добраться до внутренней части вашей сети, а внутренний должен знать, куда направлять пакеты, идущие наружу. Вы все еще можете использовать NAT, но вы не хотите использовать NAT между двумя устройствами.

Я надеюсь, что это помогает некоторым

Почему это было бы "очень сложно" ..? Каждый маршрутизатор теоретически не знает другого. Что касается каждого, это единственный маршрутизатор, а интерфейс WAN - это Интернет, хотя это справедливо только для одного из маршрутизаторов. Итак ... все еще озадачен: почему два маршрутизатора NAT могут вызвать проблемы? Я, конечно, вижу, как ваше предлагаемое решение позволяет избежать двойного NAT, но я до сих пор не понимаю, почему двойной NAT был бы плох для начала. Chris W. Rea 15 лет назад 3
1
Ilya

In some cases, the Airport Extreme / Express identification of a Double NAT as a problem is plain wrong.

I'll explain:

I have an ATA (Analog Telephone Adapter) which is a VoIP-based landline which uses your existing Internet connection. The landline provider puts that ATA before your router, configures it to connect to the Internet, lets it do some QoS (take away some bandwidth so your phone calls will always come through) and gives the rest to your router. I've chained my Airport Express after such an ATA, and the Airport Express warned me of "Double NAT".

Actually, this wasn't a problem. The ATA will only give the Airport Express an IP address (192.168.2.2), which is mapped 1:1 to the real (external) IP address (1.2.3.4). All of the external ports of 1.2.3.4 are passed to the internal 192.168.2.2. When your Airport Express does NAT, there's nothing wrong. For example, if it wants to expose 10.0.0.5:5555 externally, then:

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

When Airport Express sees "192.168.x.x" on the WAN port, it automatically cries "Double NAT!". Whether it's a problem or not depends on the circumstances.

Похожие вопросы