Я установил Экстремальный маршрутизатор Аэропорта и получил предупреждение о “Двойном NAT”. Почему это плохо?
У меня есть относительно сложный домашний офис / сеть малого офиса - я использую два NAT (Преобразование сетевых адресов) маршрутизаторы/брандмауэры для обеспечения демилитаризованной зоны (Демилитаризованная зона) для дешевого жертвенного веб-сервера. В основном я не хочу, чтобы компромисс (иначе pwnage) веб-сервера легко предоставил доступ к ПК на частной сети. Вот простая схема того, как мне настраивали вещи:
INTERNET --- External NAT Router --- Internal NAT Router --- Private LAN
|
WWW Server
Внешний маршрутизатор позволяет порты 80 и 443 в, переданный веб-серверу. Внутренний маршрутизатор ничему не позволяет войти. Теория: если веб-сервер поставлен под угрозу, частная LAN, ПК все еще защищены внутренним маршрутизатором.
Передайте: Я недавно купил Экстремальное значение Аэропорта Apple для замены существующего внутреннего маршрутизатора NAT. Когда я включил новое Экстремальное значение Аэропорта во внешний маршрутизатор, Утилита Аэропорта жаловалась во время установки, что я использовал "Двойной NAT" конфигурация. Я был озадачен - я никогда не видел такое сообщение от маршрутизатора прежде и никогда не испытывал проблему с двойной установкой NAT. Я был на двойной установке NAT в течение многих лет.
Так, почему удваивает NAT плохо достаточно, что мое Экстремальное значение Аэропорта хочет предупредить меня об этом и предложить использовать режим моста вместо этого? Откладывание очевидных соображений производительности/задержки, почему был бы NAT сверху NAT быть плохой вещью?Спасибо!
3 ответа
У меня на самом деле была аналогичная ошибка, происходят в моей установке недавно, когда я реконфигурировал ее из-за подкачки механизма.
Сообщение двойного NAT разработано как предупреждение возможной патологической настройки сети, но я думаю, что это не важно, тем более, что Вы говорите выполнение этой установки некоторое время. На самом деле много ISPs используют NAT в эти дни на их DSL или кабельных модемах, где каждый клиент уже "позади маршрутизатора", если можно так выразиться, даже с единым устройством, подключенным непосредственно к модему. Как только клиент добавляет беспроводной маршрутизатор для их дома, они находятся в ситуации двойного NAT. И это, кажется, работает просто великолепно для большинства людей, очевидно.
Согласно моему исследованию, кажется, как будто существуют некоторые приложения, в основном промышленный класс VPNs и другие приложения, которые управляют данными на нижних уровнях стека OSI, который мог бы икать, если они начинают вводить по абсолютному адресу вокруг внутренней части пакеты. Конкретная Cisco VPN + установка Брандмауэра является одним примером, с которым я столкнулся. Как другой пример, надежность определенных реализаций VoIP в среде двойного NAT, казалось, была вопросом некоторых дебатов.
Как Вы указываете, это будет почти наверняка представлять некоторое небольшое количество дополнительной задержки из-за дополнительного перехода и работы, сделанной каждым маршрутизатором, но если Вы не будете конкурентоспособным геймером... meh.
Править: Как Kevin указывает ниже, UPnP, вероятно, будет, также волноваться в сценарии двойного NAT, но Экстремальное значение Аэропорта, которое запросило вопрос, не поддерживает UPnP так или иначе.
Для домашних устройств класса очень трудно смочь обработать этот тип сценария, потому что это эффективно изменяет адреса в каждом маршрутизаторе.
Я рекомендовал бы реконфигурировать Вашу сеть в несколько логических сегментов вместо того, чтобы пытаться поддержать то же адресное пространство.
Таким образом для Вашего внешнего адреса, идущего в сеть, используйте то, что Ваш ISP присваивает Вам. Поскольку Ваша сеть между этими двумя устройствами использует подсеть, которая не используется на Вашей частной LAN.
Примером было бы использование никакой NAT между этими двумя устройствами. Используйте реальные частные адреса. Например, настройте каждый маршрутизатор на 172.16.1.1 для внешнего маршрутизатора в интерфейсе и используйте 172.16.1.2 для внешнего интерфейса внутреннего маршрутизатора.
Затем настройте эти два устройства для маршрутизации друг другу берущему убеждающийся правильно указать следующий транзитный участок.
Внешний маршрутизатор должен знать, как достигнуть внутренней части Вашей сети и внутренних потребностей знать, где направить пакеты, идущие во внешнюю сторону. Можно все еще использовать NAT, но Вы хотите не использовать NAT между самими этими двумя устройствами.
Я надеюсь, что это помогает некоторым
Эта конфигурация сбила бы с толку любое приложение, которое использует UPnP. Это дает прикладному программному обеспечению способность спросить маршрутизатор, что внешний IP, и откройте порты на маршрутизаторе. Приложения, работающие на внутренней сети, не смогли бы "видеть" второй маршрутизатор для открытия портов на нем.
Это - вероятно, не большое беспокойство о Вас, так как Вы пытаетесь удостовериться, что ничто не может войти к Вашей внутренней сети.