Ich habe einen Airport Extreme-Router installiert und eine Warnung zu "Double NAT" erhalten. Warum ist das so schlimm?

Ich habe ein relativ komplexes Heimbüro / kleines Büronetzwerk - ich verwende zwei NAT (Network Address Translation) -Router / Firewalls, um eine DMZ (DeMilitarized Zone) für einen billigen Opfer-Webserver bereitzustellen . Grundsätzlich möchte ich keine Kompromisse (auch bekannt als pwnage) des Webservers eingehen, um den Zugriff auf die PCs im privaten Netzwerk zu ermöglichen. Hier ist ein einfaches Diagramm, wie ich Dinge eingerichtet habe:

  INTERNET --- Externer NAT-Router --- Interner NAT-Router --- Privates LAN  
                         |  
                    WWW-Server

Der externe Router lässt die Ports 80 und 443 zu, die an den Webserver weitergeleitet werden. Der interne Router lässt nichts zu. Theorie: Wenn der Webserver kompromittiert wird, sind die privaten LAN-PCs weiterhin durch den internen Router geschützt.

Vorwärts: Ich habe kürzlich einen Apple Airport Extreme gekauft, um den vorhandenen internen NAT-Router zu ersetzen. Als ich das neue Airport Extreme an den externen Router anschloss, beklagte sich das Airport Utility während des Setups, dass ich eine "Double NAT" -Konfiguration verwende. Ich war verwirrt - ich habe noch nie eine solche Nachricht von einem Router gesehen und hatte noch nie ein Problem mit einem Double-NAT-Setup. Ich bin seit Jahren auf einem Double-NAT-Setup.

Warum ist Double NAT so schlecht, dass mein Airport Extreme mich warnen und stattdessen den Bridged-Modus vorschlagen möchte? Abgesehen von den offensichtlichen Überlegungen zu Leistung und Latenz ist NAT eine schlechte Sache. Vielen Dank!

Tatsächlich ist kürzlich ein analoger Fehler in meinem Setup aufgetreten, als ich es aufgrund eines Gangwechsels neu konfiguriert habe.

Die Doppel-NAT-Nachricht ist als Warnung vor einer möglichen pathologischen Netzwerkeinrichtung gedacht, aber ich halte sie für irrelevant, insbesondere, weil Sie sagen, dass Sie diese Einrichtung schon eine Weile ausgeführt haben. Tatsächlich verwenden heutzutage viele ISPs NAT auf ihren DSL- oder Kabelmodems, wobei jeder Kunde sozusagen bereits "hinter dem Router" sitzt, selbst wenn ein einzelnes Gerät direkt an das Modem angeschlossen ist. Sobald der Kunde einen WLAN-Router für sein Zuhause hinzufügt, befindet er sich in einer Double-NAT-Situation. Und das scheint offensichtlich für die meisten Menschen gut zu funktionieren.

Meiner Recherche nach scheint es einige Anwendungen zu geben, hauptsächlich industrietaugliche VPNs und andere Anwendungen, die Daten auf den unteren Ebenen des OSI-Stapels manipulieren und möglicherweise Probleme verursachen, wenn sie in den Paketen herumstöbern. Ein bestimmtes Cisco VPN + Firewall-Setup ist ein Beispiel, auf das ich gestoßen bin . Als weiteres Beispiel schien die Zuverlässigkeit bestimmter VoIP-Implementierungen in einer Double-NAT-Umgebung umstritten zu sein.

Wie Sie bereits erwähnt haben, wird dies mit ziemlicher Sicherheit zu einer gewissen zusätzlichen Latenz führen, da jeder Router zusätzlichen Hop und zusätzliche Arbeit leistet. Es sei denn, Sie sind ein konkurrenzfähiger Gamer.

Bearbeiten: Wie Kevin weiter unten ausführt, ist es wahrscheinlich, dass UPnP in einem Double-NAT-Szenario ausfällt, aber das Airport Extreme, das zu dieser Frage geführt hat, unterstützt UPnP sowieso nicht.

Diese Konfiguration würde alle Anwendungen auslösen , die UPnP verwenden . Auf diese Weise kann die Anwendungssoftware den Router nach der externen IP-Adresse fragen und Ports auf dem Router öffnen. Anwendungen, die im internen Netzwerk ausgeführt werden, können den zweiten Router nicht "sehen", um Ports darauf zu öffnen.

Dies ist wahrscheinlich kein großes Problem für Sie, da Sie sicherstellen möchten, dass nichts in Ihr internes Netzwerk eindringen kann.

Für Heimgeräte ist es sehr schwierig, mit diesem Szenario fertig zu werden, da die Adressen an jedem Router effektiv geändert werden.

Ich würde empfehlen, Ihr Netzwerk in mehrere logische Segmente zu rekonfigurieren, anstatt zu versuchen, den gleichen Adressraum beizubehalten.

Verwenden Sie für Ihre externe Adresse, die ins Internet geht, die von Ihrem ISP zugewiesenen Werte. Verwenden Sie für Ihr Netzwerk zwischen den beiden Geräten ein Subnetz, das in Ihrem privaten LAN nicht verwendet wird.

Ein Beispiel wäre, kein NAT zwischen den beiden Geräten zu verwenden. Verwenden Sie echte Privatadressen. Konfigurieren Sie beispielsweise jeden Router auf dem 172.16.1.1 für die interne Schnittstelle des externen Routers und verwenden Sie 172.16.1.2 für die externe Schnittstelle des internen Routers.

Konfigurieren Sie dann die beiden Geräte für die gegenseitige Weiterleitung, und geben Sie dabei den nächsten Hop korrekt an.

Der externe Router muss wissen, wie er das Innere Ihres Netzwerks erreicht, und der interne muss wissen, wohin Pakete nach außen geleitet werden sollen. Sie können NAT weiterhin verwenden, möchten jedoch NAT nicht zwischen den beiden Geräten selbst verwenden.

Ich hoffe das hilft einigem

In einigen Fällen ist die Identifizierung eines Double-NAT-Problems durch Airport Extreme / Express eindeutig falsch.

Ich erkläre es:

Ich habe einen ATA (Analog Telephone Adapter), einen VoIP-basierten Festnetzanschluss, der Ihre bestehende Internetverbindung nutzt. Der Festnetzanbieter stellt diesen ATA vor Ihren Router, konfiguriert ihn für die Verbindung mit dem Internet, lässt ihn eine gewisse QoS durchführen (nimmt etwas Bandbreite weg, damit Ihre Telefonanrufe immer durchkommen) und gibt den Rest an Ihren Router weiter. Ich habe meinen Airport Express nach einem solchen ATA angekettet und der Airport Express hat mich vor "Double NAT" gewarnt.

Eigentlich war das kein Problem. Der ATA gibt dem Airport Express nur eine IP-Adresse (192.168.2.2), die 1: 1 der realen (externen) IP-Adresse (1.2.3.4) zugeordnet ist. Alle externen Ports von 1.2.3.4 werden an den internen 192.168.2.2 übergeben. Wenn Ihr Airport Express NAT ausführt, ist nichts falsch. Wenn beispielsweise 10.0.0.5:5555 extern verfügbar gemacht werden soll, gilt Folgendes:

1.2.3.4:555 —(ATA)→ 192.168.2.2:5555 —(router)→ 10.0.0.5:5555

Wenn Airport Express am WAN-Port "192.168.xx" erkennt, wird automatisch "Double NAT!" Ob es ein Problem ist oder nicht, hängt von den Umständen ab.