Как выявить и устранить проблемы с двойным NAT

Настройка и ошибки

Мы покажем вам, как устранить этот конфликт между вашим маршрутизатором и вашим широкополосным шлюзом.

Цифровой мир — это все, что связано с IP-адресами (интернет-протокол). Каждому устройству необходим IP-адрес для связи в Интернете или в частной сети. Учитывая, что общедоступных IP-адресов недостаточно для каждого подключенного к Интернету устройства (по крайней мере, с IPv4), эта маленькая штука, называемая NAT, становится чрезвычайно важной. Это расшифровывается как преобразование сетевых адресов (NAT) и представляет собой функцию, предоставляемую маршрутизаторами для обеспечения доступа нескольких устройств к Интернету через один общедоступный IP-адрес.

За каждым общедоступным IP-адресом могут скрываться сотни устройств со своими собственными частными IP-адресами, благодаря NAT. И почти все оборудование, обеспечивающее функцию NAT, включает брандмауэр для защиты частных IP-адресов и устройств от общедоступных IP-адресов и устройств в Интернете. Обычно также предлагаются другие сетевые службы, такие как DHCP (dynamic host control protocol) для выдачи частных IP-адресов устройствам, подключающимся к локальной сети.

Как происходит двойной NAT

Однако наличие более чем одного устройства, выполняющего NAT в частной сети, может вызвать проблемы с этой сетью. Некоторые пользователи могут никогда этого не заметить, что делает это для них не проблемой. Но другие могут столкнуться с головной болью при работе с определенными приложениями, службами и ситуациями. Таким образом, всегда полезно исключить double NAT, если он у вас есть.

Наличие более чем одного устройства NAT обычно происходит, когда вы подключаете свой собственный маршрутизатор к шлюзу, установленному вашим интернет-провайдером (ISP), который также включает функции NAT и маршрутизации. Некоторые интернет-провайдеры устанавливают только простой модем, в котором отсутствуют функции NAT и маршрутизации, что полностью устраняет проблему. Однако большинство интернет-провайдеров предполагают, что у их клиентов нет маршрутизаторов, поэтому они предоставят вам комбинированное устройство, хотите вы этого или нет.

Если вы не уверены, что дал вам интернет-провайдер, взгляните на коробку. Если есть только один порт Ethernet, скорее всего, это простой модем (он же широкополосный шлюз). Но если есть несколько портов Ethernet или если он поддерживает подключения Wi-Fi, он, скорее всего, также выполняет NAT и маршрутизацию.

Проблемы, которые может вызвать двойной NAT Когда в вашей сети используется двойной NAT, вы можете столкнуться с проблемами со службами, требующими поддержки UPnP (Universal Plug-and-Play) или ручной переадресации портов.

Это может включать онлайн-игры на компьютерах или консолях, удаленный рабочий стол на ваших компьютерах, подключение к VPN-серверу или доступ к каналам видеонаблюдения. Подобные службы иногда требуют, чтобы определенные порты были открыты в брандмауэре маршрутизатора и направлены на определенный компьютер или устройство в сети.

router port forwards Эрик Гейер

На этом скриншоте показано, как я настроил свой маршрутизатор для переадресации портов, чтобы я мог использовать удаленный SSH (Secure Shell) на сервере в моей локальной сети. Я не могу этого сделать, если мой шлюз также выполняет NAT (преобразование сетевых адресов).

Проблема с двойным NAT заключается в том, что если на первом маршрутизаторе в вашей сети не настроена переадресация портов, входящий трафик на нем остановится, даже если у вас настроена переадресация портов на втором маршрутизаторе. Или даже если у первого маршрутизатора есть порт forwards, он не может перенаправлять трафик на устройство, подключенное ко второму маршрутизатору. Он может перенаправлять трафик только на компьютеры и устройства, непосредственно подключенные к этому первому маршрутизатору, который может быть как беспроводным, так и проводным соединением.

Двойной NAT также может усложнить любой ручной или автоматический контроль качества обслуживания (QoS), который определяет приоритет трафика в вашей внутренней сети, чтобы гарантировать, что трафик, чувствительный к задержкам (игры, голос или видео), имеет более высокий приоритет, чем данные, связанные с передачей файлов. Это особенно актуально, если у вас есть устройства, подключенные к обоим маршрутизаторам, оба из которых имеют разные элементы управления QoS.

router qos Эрик Гейер

На этом скриншоте показаны элементы управления QoS (качеством обслуживания) моего маршрутизатора, которые я настроил для присвоения VoIP (передача голоса по интернет-протоколу) наивысшего приоритета.

Как обнаружить ситуацию с двойным NAT Я уже упоминал, как быстро определить, есть ли у шлюза интернет-провайдера возможности NAT и маршрутизации, но вы также можете захотеть проверить, действительно ли происходит двойной NAT, прежде чем тратить время на решение проблемы.

Иногда шлюзы обнаруживают двойной NAT и автоматически устраняют проблему для вас. Или иногда, если установщики интернет-провайдера хорошо осведомлены, они могут исправить это, когда выйдут устанавливать шлюз и увидят, что у вас есть свой собственный маршрутизатор.

Для двух способов, которые я покажу вам, как обнаружить ситуацию с двойным NAT, вам нужно будет проверить свои IP-адреса и узнать, являются ли они частными или общедоступными. Это просто: частные адреса обычно находятся в диапазоне от 192.168.0.0 до 192.168.255.255, от 172.16.0.0 до 172.31.255.255 или от 10.0.0.0 до 10.255.255.255. Адреса за пределами этих диапазонов будут общедоступными (интернет) адресами.

Одним из быстрых способов, который обычно показывает, существует ли двойной NAT, является traceroute, который позволяет вам пинговать сервер или устройство в Интернете и видеть путь, который он проходит между маршрутизаторами и серверами. Откройте командную строку (на ПК с Windows, подключенном к Интернету, щелкните меню “Пуск”, введите “cmd“ и нажмите Enter) и введите «tracert 8.8.8.8», чтобы увидеть трассировку к DNS-серверу Google. Если вы видите два частных IP-адреса, перечисленных в первых двух переходах, значит, у вас двойной NAT. Если вы видите только один личный адрес, а при втором переходе отображается общедоступный адрес, то у вас все в порядке.

traceroute double nat Эрик Гейер

Вот трассировка, показывающая двойной NAT, о чем свидетельствуют частные IP-адреса в первых двух переходах.

Другой способ проверить наличие двойного NAT — подключиться к веб-интерфейсу вашего маршрутизатора и посмотреть, подключена ли глобальная сеть (Интернет) IP-адрес является частным или общедоступным. Это должно быть публичное обращение. Если это частный адрес, то у вас двойной NAT.

router double nat Эрик Гейер

Еще одно свидетельство ситуации с двойным NAT: IP-адрес WAN моего маршрутизатора является частным, а не общедоступным.

Как вы можете это исправить

Если вы подтвердили, что у вас двойной NAT, есть способы это исправить. Один из простых способов — отключить любой дополнительный маршрутизатор и использовать только шлюз вашего интернет-провайдера. Если вы опытный пользователь и не можете расстаться со своим модным маршрутизатором, то этот вариант, вероятно, не для вас.

Если вы хотите сохранить свой маршрутизатор, посмотрите, можете ли вы перевести шлюз интернет-провайдера в режим моста или сквозной передачи. Это отключит функции NAT, брандмауэра и DHCP шлюза и сведет его к простому интернет-модему. Многие шлюзы предлагают эти настройки, но не все. Войдите в веб-графический интерфейс шлюза и проверьте настройки режима NAT, passhrough или bridge, но имейте в виду, что иногда он скрыт. Если вы этого не видите, поищите в Интернете подробную информацию о вашей конкретной модели или позвоните в службу технической поддержки вашего интернет-провайдера.

modem bridged mode Эрик Гейер

Мой шлюз Arris от TimeWarner (Spectrum) имеет свои параметры NAT в настройках локальной сети, но у других поставщиков он может быть в глобальной сети или в другой области.

Если шлюз вашего интернет-провайдера не предлагает никаких функций соединения, рассмотрите возможность размещения вашего маршрутизатора в DMZ (демилитаризованной зоне) шлюза. Если у шлюза есть DMZ, это в основном предоставит маршрутизатору прямое подключение к Интернету, минуя NAT шлюза, брандмауэр и DHCP, так что ваши сетевые устройства получат эти значения непосредственно от вашего маршрутизатора.

Чтобы использовать DMZ, вам необходимо войти в веб-интерфейс шлюза, найти настройки DMZ и ввести частный IP-адрес, назначенный вашему маршрутизатору. Кроме того, вам также следует посмотреть, можете ли вы установить резервирование IP-адреса для вашего маршрутизатора, чтобы ваш шлюз всегда предоставлял вашему маршрутизатору один и тот же частный IP-адрес. Если шлюз не поддерживает резервирование IP-адресов, вам следует войти в веб-интерфейс маршрутизатора и вручную назначить ему статический частный IP-адрес (тот же, который вы настраиваете в качестве хоста DMZ) самостоятельно для его подключения к глобальной сети (WAN; т.е. Интернет).

modem dmz Эрик Гейер

Мой шлюз имеет настройки DMZ в настройках брандмауэра, как это типично для шлюзов.

Другой вариант устранения двойного NAT при сохранении шлюза интернет-провайдера и вашего маршрутизатора заключается в прокладке кабеля ethernet от шлюза к одному из портов локальной сети вашего маршрутизатора вместо порта WAN (интернет) маршрутизатора. Это фактически превратит ваш маршрутизатор в коммутатор, и любые компьютеры, подключающиеся через маршрутизатор (проводной или без проводов), получат NAT, брандмауэр и DHCP от шлюза интернет-провайдера. Это хороший вариант, если вы используете дополнительный маршрутизатор для улучшения качества Wi-Fi или потому, что вам нужно больше портов Ethernet. Если, с другой стороны, вы хотите использовать другой маршрутизатор для лучшей переадресации портов или улучшения контроля качества обслуживания, этот подход не поможет.

Оцените статью
tehtonik.com - сетевые технологии
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я принимаю политику конфиденциальности.