Ich habe einen Airport Extreme Router installiert und eine Warnung vor "Double NAT" erhalten. Warum ist das so schlimm?

5354
Chris W. Rea

Ich habe ein relativ komplexes Heimbüro / kleines Büronetzwerk - ich verwende zwei NAT- Router / Firewalls (Network Address Translation), um eine DMZ (DeMilitarized Zone) für einen billigen Opferserver bereitzustellen . Grundsätzlich möchte ich nicht, dass der Webserver einen Kompromiss eingeht, um den Zugriff auf die PCs im privaten Netzwerk zu ermöglichen. Hier ist ein einfaches Diagramm, wie ich die Dinge eingerichtet habe:

 INTERNET --- Externer NAT-Router --- Interner NAT-Router --- Privates LAN  |  WWW-Server

Der externe Router lässt die Ports 80 und 443 an den Webserver weiterleiten. Der interne Router lässt nichts zu. Theorie: Wenn der Webserver gefährdet ist, werden die privaten LAN-PCs weiterhin durch den internen Router geschützt.

Weiterleiten: Ich habe kürzlich einen Apple Airport Extreme gekauft, um den vorhandenen internen NAT-Router zu ersetzen. Als ich den neuen Airport Extreme an den externen Router angeschlossen habe, beklagte sich das Airport Utility beim Setup, dass ich eine "Double NAT" -Konfiguration verwendet habe. Ich war verwirrt - ich habe noch nie eine solche Nachricht von einem Router gesehen und habe noch nie ein Problem mit einem Double-NAT-Setup festgestellt. Ich habe seit Jahren ein doppeltes NAT-Setup.

Warum ist Double NAT so schlecht, dass mein Airport Extreme mich davor warnen möchte und stattdessen den Bridged-Modus vorschlägt? Abgesehen von den offensichtlichen Überlegungen zur Leistung / Latenz, warum sollte NAT zusätzlich zu NAT eine schlechte Sache sein? Vielen Dank!

5

4 Antworten auf die Frage

5
David Rubin

Ich hatte kürzlich einen analogen Fehler in meinem Setup, als ich ihn aufgrund eines Gangwechsels neu konfigurierte.

Die Doppel-NAT-Nachricht ist als Warnung vor einer möglichen pathologischen Netzwerkkonfiguration konzipiert, aber ich denke, es ist irrelevant, zumal Sie sagen, dass Sie diese Konfiguration für eine Weile ausgeführt haben. Tatsächlich verwenden viele ISPs heutzutage NAT für ihre DSL- oder Kabelmodems, bei denen sich jeder Kunde sozusagen "hinter dem Router" befindet, selbst wenn ein einzelnes Gerät direkt an das Modem angeschlossen ist. Sobald der Kunde einen WLAN-Router für sein Zuhause hinzufügt, befindet er sich in einer Situation mit zwei NATs. Und das scheint offensichtlich für die meisten Leute gut zu funktionieren.

Nach meinen Recherchen scheint es, als gäbe es einige Anwendungen, im Wesentlichen Industrie-VPNs und andere Anwendungen, die Daten in den unteren Schichten des OSI-Stapels manipulieren, die zu Problemen führen könnten, wenn sie innerhalb der Pakete herumstoßen. Ein spezielles Cisco VPN + Firewall-Setup ist ein Beispiel, auf das ich gestoßen bin . Als weiteres Beispiel schien die Zuverlässigkeit bestimmter VoIP-Implementierungen in einer Double-NAT-Umgebung Gegenstand einiger Debatten zu sein.

Wie Sie darauf hinweisen, führt dies mit großer Wahrscheinlichkeit zu einer geringfügigen zusätzlichen Latenz aufgrund des zusätzlichen Hops und der von jedem Router geleisteten Arbeit, es sei denn, Sie sind ein konkurrenzfähiger Spieler ... meh.

Edit: Wie Kevin unten erklärt, wird UPnP wahrscheinlich auch in einem Double-NAT-Szenario ausflippen, aber das Airport Extreme, das die Frage gestellt hat, unterstützt UPnP sowieso nicht.

4
Kevin Panko

Diese Konfiguration würde jede Anwendung, die UPnP verwendet, zum Absturz bringen . Dies gibt der Anwendungssoftware die Möglichkeit, den Router nach der externen IP-Adresse zu fragen und Ports am Router zu öffnen. Anwendungen, die im internen Netzwerk ausgeführt werden, können den zweiten Router nicht "sehen", um Ports zu öffnen.

Dies ist wahrscheinlich kein großes Problem für Sie, da Sie versuchen, sicherzustellen, dass nichts in Ihr internes Netzwerk gelangen kann.

3
Axxmasterr

Es ist sehr schwierig für Geräte der Heimklasse, mit dieser Art von Szenario umzugehen, da die Adressen an jedem Router effektiv geändert werden.

Ich würde empfehlen, Ihr Netzwerk in mehrere logische Segmente zu rekonfigurieren, anstatt zu versuchen, den gleichen Adressraum zu erhalten.

Verwenden Sie also für Ihre externe Adresse, die Sie ins Netz gehen, das, was Ihnen Ihr ISP zuweist. Verwenden Sie für Ihr Netzwerk zwischen den beiden Geräten ein Subnetz, das in Ihrem privaten LAN nicht verwendet wird.

Ein Beispiel wäre die Verwendung von NAT zwischen den beiden Geräten. Verwenden Sie echte private Adressen. Konfigurieren Sie beispielsweise jeden Router auf der Schnittstelle 172.16.1.1 für die interne Schnittstelle des externen Routers, und verwenden Sie 172.16.1.2 für die externe Schnittstelle des internen Routers.

Konfigurieren Sie dann die beiden Geräte so, dass sie miteinander routen, und stellen Sie sicher, dass der nächste Hop korrekt angegeben wird.

Der externe Router muss wissen, wie er das Innere Ihres Netzwerks erreicht, und das Innere muss wissen, wo Pakete nach außen geleitet werden sollen. Sie können NAT weiterhin verwenden, möchten jedoch kein NAT zwischen den beiden Geräten verwenden.

Ich hoffe das hilft einigen

Warum wäre es "sehr schwierig" ..? Jeder Router kennt den anderen theoretisch nicht. Für jeden ist dies der einzige Router, und die WAN-Schnittstelle ist das Internet, auch wenn dies nur für einen der Router gilt. Also ... noch immer verwirrt: Warum verursachen zwei NAT-Router Probleme? Ich sehe sicherlich, wie Ihre vorgeschlagene Lösung das doppelte NAT vermeidet, aber ich bin mir immer noch nicht klar, warum das doppelte NAT anfangs schlecht wäre. Chris W. Rea vor 15 Jahren 3
1
Ilya

In manchen Fällen ist die Identifizierung eines Double NAT als Problem durch Airport Extreme / Express eindeutig falsch.

Ich erkläre es:

Ich habe einen ATA (Analog Telephone Adapter), einen VoIP-Festnetzanschluss, der Ihre bestehende Internetverbindung verwendet. Der Festnetzanbieter stellt den ATA vor Ihren Router, konfiguriert ihn für die Verbindung mit dem Internet, lässt QoS ausführen (nehmen Sie etwas Bandbreite weg, damit Ihre Anrufe immer durchkommen), und geben Sie den Rest an Ihren Router weiter. Ich habe meinen Airport Express nach einem solchen ATA angekettet, und der Airport Express hat mich vor "Double NAT" gewarnt.

Eigentlich war das kein Problem. Der ATA gibt dem Airport Express nur eine IP-Adresse (192.168.2.2), die 1: 1 der realen (externen) IP-Adresse (1.2.3.4) zugeordnet ist. Alle externen Ports von 1.2.3.4 werden an den internen 192.168.2.2 übergeben. Wenn Ihr Airport Express NAT macht, gibt es nichts auszusetzen. Wenn Sie beispielsweise 10.0.0.5:5555 extern anzeigen möchten, gilt Folgendes:

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

Wenn Airport Express am WAN-Port "192.168.xx" sieht, wird automatisch "Double NAT!" Ob es ein Problem ist oder nicht, hängt von den Umständen ab.

Verwandte Probleme