Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5

Podwójny NAT Niebezpieczeństwo konfiguracji CGNAT oszczędny dostawca i lamerski admin

#1
Jeśli masz jakiekolwiek problemy z siecią, zwłaszcza zbudowaną niedawno sprawdź, czy czasem w sieci jakiś harcownik administrator nie założył podwójnego NATa.

Operatorzy internetu wypaczają definicję Internetu i udostępniają internet wychodzący bez adresu publicznego - robią tak zwany CGNAT - Carrier Grade Nat. CGNAT objawia się tym, że od operatora dostajemy adres z klasy prywatnej A B lub C.Połączenia przychodzące do adresów publicznych są ubijane z definicji na firewallu.

Czasy są takie, że na mocnym routerze nieogarnięty admin może wyklikać NAT w kilka minut, a żeby routing podsieci zrobić, to już trzeba coś wiedzieć, na temat tego, jak to wszystko działa.

CGNAT od operatora i NAT od nieogarniętego admina skutkuje konfiguracją podwójnego NATu.

Użytkownik traci na podwójnym NAT. Jakiekolwiek "chrupnięcie" (chwilowe wysycenie procesora) na routerach robiących wielokrotny NAT będzie bardzo odczuwalne dla połączeń.  Routery mają priorytet połączeń routowanych (stąd nazwa router) a nie natowanych. Przy przeglądaniu stron wygląda to tak, że po otwarciu nowej strony zostaje pustka, nic się nie ładuje, a przycisk odśwież bez problemu powoduje wyświetlenie pożądanej strony. To jest jedne z objawów podwójnengo NAT.


Drugim objawem podwójnego NATa jest brak działania usług, które normalnie powinny działać. Są takie usługi, które z definicji nie działają na podwójnym nacie Są to:
  • FTP (aktywny) - nie działa w ogóle, bo adres IP jest wysyłany wewnątrz pakietu!
  • VOIP protokół SIP - nie działa wcale, albo rozłącza się po 30 sekundach
  • Programy typu PC Anywhere (Anydesk i pewnie inne)- nie działa lub rozłącza co kilka minut. Nie zawsze tak jest, czasem udaje się, że działa.

Sposoby roziwązywania problemu:
  • FTP pasywny - po to powstał, żeby omijać NAT, ten pojedyńczy!
  • VOIP SIP - trzeba włączyć STUN
  • PC Anywhere (Anydesk i pewnie inne) - brak rozwiązania. Za pojedynczym NAT zawsze działa. Za podwójnym - raz działa, a raz nie.

Dodajcie tutaj inne usługi, z którymi są problemy za podwójnym NAT.

//Poprawka PC Anywhere
#2
Dziękuję ci bardzo za opisanie tego. PC Anywhere świętej pamięci Symanteca ktoś tego jeszcze używa?
Zgodnie z rozmową poprawiłem u góry PC Anywhere i inne podobne uruchamiające usługę i nawiązujące na zewnątrz połączenie do zdalnej administracji - Anydesk i inne
Większość ludzi tak naprawdę nie chce prawdy. Pragną jedynie ciągłego upewniania się, że to, w co wierzą, jest prawdą. Madaleine Albright
#3
I co robić wtedy, jeśli dostaniemy adresację prywatną? Dostajemy z routera adresy z dhcp, routwać nie można bo prywatne, NAT-ować nie można bo już natowane. Czarna rozpacz Big Grin Spotkałem się CG-NAT u komórkowców, ale żeby tak w normalnej sieci. Na telefonie jeden adres był do obsłużenia Wink

//Temat PVLAN oddzielony Element ukryty. Rejestracja zajmie tylko minutę!.
#4
@Sobota, opisujesz to w dwóch miejscach, wydzielę te pvlany do nowego wątku i tam będzie trzeba poprawić, ok?

Podwójny nat jest dość powszechny, nigdy się nad tym nie zastanawiałem.
Zostawienie operatorowi natowania to dziura i dlatego natuje się drugi raz.

Co do FTP za NAT, to na linuksie tryb aktywny działa po załadowaniu modułu do kernela ip_nat_ftp. OpenWRT obsługuje ten moduł i wszyscy za nat mają tryb aktywny. Sprawdzałem dawno temu.
#5
No właśnie nie trzeba drugi raz natować. Teraz są uplinki gigabitowe, żeby przenatować gigabit to dużo procesora/prądu trzeba. Lamerska konfiguracja urągająca ekologii.

Transparent filtering bridge Element ukryty. Rejestracja zajmie tylko minutę!. To tylko przykład.
#6
OK dzięki. Przedyskutowaliśmy to wczoraj i ma to sens.  Człowiek się uczy całe życie Smile
Zakładam Element ukryty. Rejestracja zajmie tylko minutę!.
#7
Ciekawe, twórcze podejście, ale podwójny NAT jest standardem. Żeby przerobić gigabit, to routery mają sprzętowy NAT, który wyrabia i tak tylko, jak jest mało reguł. Takie czasy.
  


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  VLANY na jednej klasie warstwy trzeciej PVLAN - sposób na CGNAT [oddzielony] wfm 5 215 29.01.2024 14:16
Ostatni post: wfm
  Adres prywatny od operatora - przeźroczysty filtrujący bridge zamiast podwójnego NAT wfm 1 99 24.01.2024 18:59
Ostatni post: Kingg

Skocz do:


Użytkownicy przeglądający ten wątek:
1 gości