Я установил роутер Airport Extreme и получил предупреждение о "Double NAT". Почему это плохо?

Question

У меня относительно сложная сеть для домашнего офиса / небольшого офиса - я использую два маршрутизатора / брандмауэра NAT (преобразование сетевых адресов), чтобы предоставить DMZ (демилитаризованную зону) для дешевого жертвенного веб-сервера. По сути, я не хочу, чтобы компромисс (он же pwnage) веб-сервера позволял легко получать доступ к ПК в частной сети. Вот простая схема того, как я настраиваю вещи:

  INTERNET --- External NAT Router --- Internal NAT Router --- Private LAN  
                         |  
                    WWW Server

Внешний маршрутизатор позволяет использовать порты 80 и 443, перенаправленные на веб-сервер. Внутренний маршрутизатор ничего не позволяет. Теория: если веб-сервер скомпрометирован, персональные компьютеры локальной сети все еще защищены внутренним маршрутизатором.

Вперед: я недавно купил Apple Airport Extreme, чтобы заменить существующий внутренний маршрутизатор NAT. Когда я подключил новый Airport Extreme к внешнему маршрутизатору, утилита Airport во время настройки жаловалась, что я использую конфигурацию "Double NAT". Я был озадачен - я никогда не видел такого сообщения от маршрутизатора прежде и никогда не испытывал проблемы с двойной настройкой NAT. Я был на двойной настройке NAT в течение многих лет.

Итак, почему двойной NAT настолько плох, что мой Airport Extreme хочет предупредить меня об этом и предложить вместо этого использовать мостовой режим? Если оставить в стороне очевидные соображения относительно производительности и задержки, почему NAT на вершине NAT будет плохой вещью? Спасибо!

Answer 1

На самом деле у меня недавно произошла аналогичная ошибка в моей настройке, когда я перенастроил ее из-за переключения передач.

Сообщение о двойном NAT разработано как предупреждение о возможной патологической настройке сети, но я думаю, что это не имеет значения, особенно если учесть, что вы уже некоторое время выполняли эту настройку. Фактически, многие интернет-провайдеры в наши дни используют NAT на своих DSL или кабельных модемах, где каждый клиент уже, так сказать, "отстает от маршрутизатора", даже с одним устройством, подключенным напрямую к модему. Как только клиент добавляет беспроводной маршрутизатор для своего дома, он оказывается в ситуации двойного NAT. И это, кажется, работает очень хорошо для большинства людей, очевидно.

Согласно моим исследованиям, кажется, что есть некоторые приложения, в основном VPN промышленного уровня и другие приложения, которые манипулируют данными на нижних уровнях стека OSI, что может привести к сбоям в работе, если они начнут копаться в пакетах. Конкретная настройка межсетевого экрана Cisco VPN + является одним из примеров, с которым я столкнулся. В качестве еще одного примера, надежность некоторых реализаций VoIP в среде с двойным NAT, казалось, была предметом некоторых дискуссий.

Как вы указываете, это почти наверняка внесет небольшую дополнительную задержку из-за дополнительного прыжка и работы, выполняемой каждым маршрутизатором, но если вы не являетесь конкурентоспособным игроком ... м-м.

Редактировать: Как указывает Кевин ниже, UPnP также, вероятно, взбесится в сценарии с двумя NAT, но Airport Extreme, который вызвал вопрос , в любом случае не поддерживает UPnP .

Answer 2

Эта конфигурация отключит любое приложение, использующее UPnP. Это дает прикладному программному обеспечению возможность запрашивать у маршрутизатора внешний IP-адрес и открывать порты на маршрутизаторе. Приложения, работающие во внутренней сети, не смогут "увидеть" второй маршрутизатор, чтобы открыть на нем порты.

Это, вероятно, не большая проблема для вас, так как вы пытаетесь убедиться, что ничто не может попасть в вашу внутреннюю сеть.

Answer 3

Устройствам домашнего класса очень трудно справиться с этим типом сценария, поскольку он эффективно меняет адреса на каждом маршрутизаторе.

Я бы порекомендовал перенастроить вашу сеть на несколько логических сегментов вместо того, чтобы пытаться поддерживать одно и то же адресное пространство.

Так что для вашего внешнего адреса, идущего в сеть, используйте то, что назначил вам ваш провайдер. Для вашей сети между двумя устройствами используйте подсеть, которая не используется в вашей частной сети.

Примером может служить отсутствие NAT между двумя устройствами. Используйте реальные частные адреса. Например, настройте каждый маршрутизатор на 172.16.1.1 для внутреннего интерфейса внешнего маршрутизатора и используйте 172.16.1.2 для внешнего интерфейса внутреннего маршрутизатора.

Затем настройте два устройства для маршрутизации друг к другу, убедившись в правильности указания следующего перехода.

Внешний маршрутизатор должен знать, как добраться до внутренней части вашей сети, а внутренний должен знать, куда направлять пакеты, идущие наружу. Вы все еще можете использовать NAT, но вы не хотите использовать NAT между двумя устройствами.

Я надеюсь, что это помогает некоторым

Answer 4

В некоторых случаях, Airport Extreme / Express идентифицирует Double NAT как проблему совершенно неправильно.

Я объясню:

У меня есть ATA (аналоговый телефонный адаптер), который представляет собой стационарный телефон на основе VoIP и использует ваше существующее интернет-соединение. Оператор фиксированной связи помещает этот ATA перед вашим маршрутизатором, настраивает его для подключения к Интернету, позволяет ему выполнять некоторое QoS (убирает некоторую пропускную способность, чтобы ваши телефонные звонки всегда проходили), а остальное передает вашему маршрутизатору. Я заковал свой Airport Express после такой ATA, и Airport Express предупредил меня о "Двойном NAT".

На самом деле, это не было проблемой. ATA предоставит только Airport Express IP-адрес (192.168.2.2), который сопоставлен 1:1 с реальным (внешним) IP-адресом (1.2.3.4). Все внешние порты 1.2.3.4 передаются на внутренний 192.168.2.2. Когда ваш Airport Express делает NAT, в этом нет ничего плохого. Например, если он хочет выставить 10.0.0.5:5555 извне, то:

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

Когда Airport Express видит «192.168.xx» на порте WAN, он автоматически выдает «Double NAT!». Является ли это проблемой или нет, зависит от обстоятельств.