Zainstalowałem router Airport Extreme i dostałem ostrzeżenie o „podwójnym NAT”. Dlaczego to takie złe?

5

Mam stosunkowo złożoną sieć biura domowego / małego biura - używam dwóch routerów NAT / zapory sieciowej (NAT), aby zapewnić strefę DMZ (strefa zdemilitaryzowana) dla taniego serwera sieciowego. Zasadniczo nie chcę, aby kompromis (inaczej pwnage) serwera WWW pozwalał na łatwy dostęp do komputerów w sieci prywatnej. Oto prosty schemat konfiguracji rzeczy:

  INTERNET --- Zewnętrzny router NAT --- Wewnętrzny router NAT --- Prywatna sieć LAN  
                         |  
                    Serwer WWW

Zewnętrzny router zezwala na porty 80 i 443, które są przekazywane do serwera WWW. Wewnętrzny router nie pozwala na nic . Teoria: w przypadku naruszenia bezpieczeństwa serwera WWW, prywatne komputery LAN są nadal chronione przez wewnętrzny router.

Przekaż: Niedawno kupiłem Apple Airport Extreme, aby zastąpić istniejący wewnętrzny router NAT. Kiedy podłączyłem nowy Airport Extreme do zewnętrznego routera, narzędzie Airport Utility narzekało podczas instalacji, że korzystam z konfiguracji „podwójnego NAT”. Byłem zaskoczony - nigdy wcześniej nie widziałem takiej wiadomości z routera i nigdy nie spotkałem się z problemem z podwójną konfiguracją NAT. Od lat korzystam z podwójnej konfiguracji NAT.

Dlaczego więc podwójne NAT jest wystarczająco złe, że mój Airport Extreme chce mnie o tym ostrzec i zasugerować użycie trybu pomostowego? Pomijając oczywiste względy wydajności / opóźnień, dlaczego NAT na NAT byłby czymś złym? Dzięki!

Chris W. Rea
źródło

Odpowiedzi:

5

Miałem ostatnio analogiczny błąd w mojej konfiguracji, kiedy ponownie go skonfigurowałem z powodu zamiany biegów.

Komunikat o podwójnej translacji NAT został zaprojektowany jako ostrzeżenie o możliwej patologicznej konfiguracji sieci, ale myślę, że jest nieistotny, szczególnie, gdy mówisz, że używasz tej konfiguracji od dłuższego czasu. W rzeczywistości wielu dostawców usług internetowych używa NAT w swoich modemach DSL lub kablowych, gdzie każdy klient jest już „za routerem”, że tak powiem, nawet z jednym urządzeniem podłączonym bezpośrednio do modemu. Gdy tylko klient doda router bezprzewodowy do swojego domu, znajduje się w sytuacji podwójnego NAT. I wydaje się, że to działa dobrze dla większości ludzi.

Według moich badań wydaje się, że istnieją pewne aplikacje, w większości VPN-y klasy przemysłowej i inne aplikacje, które manipulują danymi na niższych warstwach stosu OSI, które mogą mieć czkawkę, jeśli zaczną grzebać w pakietach. Konkretna konfiguracja Cisco VPN + Firewall jest jednym z przykładów, z którymi się spotkałem . Jako kolejny przykład wiarygodność niektórych implementacji VoIP w środowisku podwójnej NAT wydawała się być przedmiotem pewnej debaty.

Jak zauważyłeś, prawie na pewno wprowadzi niewielką opóźnienie z powodu dodatkowego przeskoku i pracy wykonywanej przez każdy router, ale chyba że jesteś konkurencyjnym graczem ... meh.

Edycja: Jak podkreśla Kevin poniżej, UPnP może również wystraszyć się w scenariuszu z podwójną translacją NAT, ale Airport Extreme, który spowodował pytanie, i tak nie obsługuje UPnP .

David Rubin
źródło
4

Ta konfiguracja uruchomiłaby dowolną aplikację korzystającą z UPnP . Daje to oprogramowaniu aplikacyjnemu możliwość zapytania routera o zewnętrzny adres IP i otwarcia portów routera. Aplikacje działające w sieci wewnętrznej nie będą mogły „zobaczyć” drugiego routera, aby otworzyć na nim porty.

Prawdopodobnie nie stanowi to dla ciebie większego problemu, ponieważ starasz się upewnić, że nic nie dostanie się do twojej wewnętrznej sieci.

Kevin Panko
źródło
3

Urządzeniom klasy domowej bardzo trudno jest poradzić sobie z tego typu scenariuszami, ponieważ skutecznie zmienia adresy na każdym routerze.

Zalecałbym zmianę konfiguracji sieci na kilka logicznych segmentów zamiast próby utrzymania tej samej przestrzeni adresowej.

Dlatego w przypadku adresu zewnętrznego kierowanego do sieci używaj tego, co twój dostawca usług internetowych ci przypisał. W swojej sieci między dwoma urządzeniami korzystaj z podsieci, która nie jest używana w prywatnej sieci LAN.

Przykładem może być brak NAT pomiędzy dwoma urządzeniami. Użyj prawdziwych adresów prywatnych. Na przykład skonfiguruj każdy router na 172.16.1.1 dla wewnętrznego interfejsu zewnętrznego routera i użyj 172.16.1.2 dla zewnętrznego interfejsu wewnętrznego routera.

Następnie skonfiguruj oba urządzenia, aby kierowały się do siebie, upewniając się, że poprawnie określono następny przeskok.

Zewnętrzny router musi wiedzieć, jak dotrzeć do wnętrza sieci, a wewnętrzny musi wiedzieć, gdzie kierować pakiety wychodzące na zewnątrz. Nadal możesz używać NAT, ale nie chcesz używać NAT między dwoma urządzeniami.

Mam nadzieję, że to pomaga niektórym

Axxmasterr
źródło
3
Dlaczego miałoby to być „bardzo trudne”…? Każdy router teoretycznie nie zna drugiego. Jeśli chodzi o każdy z nich, jest to jedyny router, a interfejsem WAN jest Internet, chociaż dotyczy to tylko jednego z routerów. Więc ... wciąż zdziwiony: dlaczego dwa routery NAT powodują problemy? Z pewnością widzę, jak proponowane rozwiązanie pozwala uniknąć podwójnego NAT, ale nadal nie jestem pewien, dlaczego podwójne NAT byłoby złe na początek.
Chris W. Rea
1

W niektórych przypadkach identyfikacja podwójnego NAT na lotnisku jako ekstremalna / ekspresowa jest błędna.

Wytłumaczę:

Mam ATA (analogowy adapter telefoniczny), który jest telefonem stacjonarnym opartym na VoIP, który wykorzystuje istniejące połączenie internetowe. Operator telefonii stacjonarnej stawia tę usługę ATA przed routerem, konfiguruje ją tak, aby łączyła się z Internetem, pozwala wykonywać QoS (zabiera część przepustowości, aby połączenia przychodziły zawsze) i oddaje resztę routerowi. Po takim ATA powiązałem mój Airport Express, a Airport Express ostrzegł mnie przed „Double NAT”.

Właściwie to nie był problem. ATA poda Airport Express jedynie adres IP (192.168.2.2), który jest mapowany 1: 1 na rzeczywisty (zewnętrzny) adres IP (1.2.3.4). Wszystkie zewnętrzne porty 1.2.3.4 są przekazywane do wewnętrznego 192.168.2.2. Kiedy Twój Airport Express robi NAT, nie ma nic złego. Na przykład, jeśli chce udostępnić 10.0.0.5:5555 zewnętrznie, to:

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

Kiedy Airport Express zobaczy „192.168.xx” na porcie WAN, automatycznie woła „Double NAT!”. To, czy jest to problem, czy nie, zależy od okoliczności.

Ilya
źródło