Eu instalei um roteador Airport Extreme e recebi um aviso sobre "Double NAT". Por que isso é ruim?

Navegue suas respostas
5

Eu tenho uma rede relativamente pequena de home office / small office - eu uso dois NAT ( Tradução de endereços de rede) roteadores / firewalls para fornecer uma DMZ (zona desmilitarizada) para um servidor web sacrificial. Basicamente, eu não quero que o comprometimento (a.k.a. pwnage) do servidor web permita facilmente o acesso aos PCs na rede privada. Aqui está um diagrama simples de como tenho as coisas configuradas: 

  INTERNET --- External NAT Router --- Internal NAT Router --- Private LAN  
                         |  
                    WWW Server

O roteador externo permite as portas 80 e 443, encaminhadas para o servidor web. O roteador interno permite nada . Teoria: se o servidor da Web for comprometido, os PCs da LAN privada ainda estarão protegidos pelo roteador interno.

Encaminhar: Adquiri recentemente um Apple Airport Extreme para substituir o roteador NAT interno existente. Quando liguei o novo Airport Extreme no roteador externo, o Airport Utility reclamou durante a configuração que eu estava usando uma configuração "Double NAT". Fiquei intrigado - nunca vi uma mensagem dessas de um roteador antes e nunca tive um problema com uma configuração dupla de NAT. Eu estive em uma configuração NAT duplo por anos.

Então, por que o NAT duplo é ruim o suficiente para que meu Airport Extreme me avise sobre isso e sugira usar o modo de ponte? Colocando de lado as considerações óbvias de desempenho / latência, por que o NAT no topo do NAT seria uma coisa ruim? Obrigado!

    
por Chris W. Rea 29.07.2009 / 03:40

4 respostas

5

Na verdade, tive um erro análogo na minha configuração recentemente quando o reconfigurou devido a uma troca de engrenagem.

A mensagem de duplo NAT é projetada como um aviso de uma possível configuração de rede patológica, mas acho que é irrelevante, especialmente quando você diz que está executando essa configuração há algum tempo. De fato, muitos ISPs estão usando o NAT atualmente em seus modems DSL ou a cabo, onde cada cliente já está "atrás do roteador", por assim dizer, mesmo com um único dispositivo conectado diretamente ao modem. Assim que o cliente adiciona um roteador sem fio à sua casa, ele está em uma situação de NAT duplo. E isso parece estar funcionando muito bem para a maioria das pessoas, obviamente.

De acordo com minha pesquisa, parece que há alguns aplicativos, em grande parte VPNs de nível industrial e outros aplicativos que manipulam dados nas camadas inferiores da pilha OSI que podem soluçar se começarem a cutucar em torno dentro dos pacotes. Uma configuração particular do Cisco VPN + Firewall é um exemplo Eu me deparei com . Como outro exemplo, a confiabilidade de certas implementações de VoIP em um ambiente de NAT duplo parecia ser uma questão de debate.

Como você aponta, quase certamente introduzirá uma pequena quantidade de latência adicional devido ao salto extra e ao trabalho que está sendo feito por cada roteador, mas a menos que você seja um jogador competitivo ... meh.

Edit: Como Kevin aponta abaixo, a UPnP também deve surtar em um cenário de NAT duplo, mas o Airport Extreme, que provocou a pergunta não suporta UPnP mesmo assim.

    
por 19.08.2009 / 21:16
4

Essa configuração tropeçaria em qualquer aplicativo que use UPnP . Isso dá ao software aplicativo a capacidade de perguntar ao roteador qual é o IP externo e abrir portas no roteador. Os aplicativos em execução na rede interna não poderiam "ver" o segundo roteador para abrir as portas nele.

Esta provavelmente não é uma grande preocupação para você, já que você está tentando garantir que nada possa entrar na sua rede interna.

    
por 19.08.2009 / 23:47
3

É muito difícil para os dispositivos de classe doméstica serem capazes de lidar com esse tipo de cenário porque está efetivamente alterando os endereços em cada roteador.

Eu recomendaria reconfigurar sua rede em vários segmentos lógicos em vez de tentar manter o mesmo espaço de endereço.

Portanto, para o seu endereço externo ir para a rede, use o que seu ISP lhe atribuir. Para a sua rede entre os dois dispositivos, use uma sub-rede que não esteja em uso na sua lan privada.

Um exemplo seria não usar NAT entre os dois dispositivos. Use endereços privados reais. Por exemplo, configure cada roteador no 172.16.1.1 para a interface interna do roteador externo e use 172.16.1.2 para a interface externa do roteador interno.

Em seguida, configure os dois dispositivos para rotear um ao outro, certificando-se de especificar corretamente o próximo salto.

O roteador externo precisa saber como chegar ao interior de sua rede e o interior precisa saber para onde encaminhar os pacotes que vão para o exterior. Você ainda pode usar o NAT, mas não deseja usar o NAT entre os dois dispositivos.

Espero que isso ajude alguns

    
por 29.07.2009 / 03:52
1

Em alguns casos, a identificação Airport Extreme / Express de um Double NAT como um problema é totalmente errada.

Vou explicar:

Eu tenho um ATA (Analog Telephone Adapter) que é um telefone fixo baseado em VoIP que usa sua conexão de Internet existente. O provedor de linha fixa coloca esse ATA antes do seu roteador, configura-o para se conectar à Internet, permite que ele faça alguma QoS (retire alguma largura de banda para que as chamadas telefônicas sempre aconteçam) e fornece o restante para o roteador. Acorrentei meu Airport Express depois de um tal ATA, e o Airport Express me avisou de "Double NAT".

Na verdade, isso não foi um problema. O ATA só dará ao Airport Express um endereço IP (192.168.2.2), que é mapeado 1: 1 para o endereço IP real (externo) (1.2.3.4). Todas as portas externas de 1.2.3.4 são passadas para o 192.168.2.2 interno. Quando o seu Airport Express faz NAT, não há nada errado. Por exemplo, se quiser expor 10.0.0.5:5555 externamente, então: 

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

Quando o Airport Express vê "192.168.x.x" na porta WAN, ele automaticamente clama "Double NAT!". Se é um problema ou não, depende das circunstâncias.

    
por 02.03.2013 / 02:07

Tags

Clona apenas o espaço em uso no disco rígido Desejo expandir uma partição no meu SSD de inicialização, mas há uma Partição de Recuperação e uma Partição do Sistema EFI no caminho. Como posso resolver isso?