Povolit nat co. Překlad síťových adres (NAT) a SIP

NAT(Network Address Translation) je standard IETF (Internet Engineering Task Force), který umožňuje více počítačům v privátní síti (se soukromými adresami v rozsazích jako 10.0.xx, 192.168.xx, 172.xxx) sdílet jednu IPv4 adresu. přístup k WAN. Hlavní důvod rostoucí popularity NAT souvisí s rostoucím nedostatkem IPv4 adres. Mnoho internetových bran také aktivně používá NAT, zejména pro připojení k širokopásmovým sítím, například přes DSL nebo kabelové modemy.

Nastavení NAT

Aby server fungoval jako router, musí mít 2 síťová rozhraní. Internet a samotná síť, která musí být spuštěna do Internetu. Moje síťová připojení se nazývají LAN_1 (internet) a LAN_2 (místní síť).

Dovolte mi říci, že služba Brána firewall systému Windows/sdílení připojení k Internetu (ICS) by měl být deaktivován.

Začněme tedy s instalací:

Nastavení NAT

Síťová rozhraní jsme tedy nainstalovali, nyní je nakonfigurujeme.

Nejprve se pojďme nastavit Externí rozhraní (LAN_1):

192.168.0.2 - IP adresa uživatele, který bude přistupovat k síti přes náš server

10.7.40.154 - externí IP adresa serveru

Přístupem k internetu pomocí této technologie budete mít IP adresu 10.7.40.154. Existují různé způsoby nastavení, adresy můžete rezervovat pro každý stroj zvlášť. V rezervaci můžete zadat více než jeden rozsah adres nebo neuvést vůbec, pak bude jakákoli IP v místní síti moci surfovat po internetu přes server.

Nastavení klientského počítače

Jdeme do Vlastnosti pak místní síťová karta Vlastnosti TCP/IP. Předepisujeme klientovi IP, masku, in Výchozí brána zadejte IP adresu serveru. V polích DNS musíte zadat IP adresu poskytovatele DNS nebo IP adresu nainstalovaného lokálního DNS serveru.

Všechno! Tím je instalace a konfigurace dokončena.

Typy překladačů síťových adres (NAT)

Překladače adres jsou rozděleny do 4 typů:
1. Plný kužel
2. Omezený kužel
3. Port Restricted Cone
4. Symetrické

V prvních třech typech NAT mohou různé IP adresy externí sítě komunikovat s adresou z místní sítě pomocí stejného externího portu. Čtvrtý typ používá samostatný externí port pro každou adresu a port.
NAT nemají statické mapování mezi adresami a porty. Mapování se otevře, když je první paket odeslán z místní sítě ven přes NAT a platí určitá doba (obvykle 1-3 minuty), pokud přes tento port neprocházejí žádné pakety, je port odstraněn z vyhledávání stůl. Obvykle NAT přidělují externí porty dynamicky, používá se rozsah nad 1024.

Plný kužel

Při použití full cone NAT je externí mapovaný port otevřený pro pakety přicházející z libovolné adresy. Pokud chce v tuto chvíli někdo z externího internetu poslat paket klientovi umístěnému za NATem, pak mu stačí znát externí port, přes který je spojení navázáno. Například počítač za NAT s IP adresou 10.0.0.1 odesílá a přijímá pakety na portu 8000, který se mapuje na externí IP adresu a port 212.23.21.25:12345, pak na tento 212.23.21.25 může posílat pakety kdokoli na internetu: 12345 a tyto pakety skončí na klientském počítači na 10.0.0.1:8000.

Omezený kužel

NAT s omezeným kuželem otevře externí port, jakmile místní počítač odešle data na konkrétní externí IP adresu. Pokud například klient odešle paket na externí počítač 1, NAT mapuje klienta 10.0.0.1:8000 na 212.23.21.25:12345 a externí počítač 1 může odesílat pakety zpět do tohoto cíle. NAT však bude blokovat pakety z počítače 2, dokud klient neodešle paket na IP adresu tohoto počítače. Když se tak stane, oba externí počítače 1 a 2 budou moci posílat pakety zpět klientovi a oba budou mít stejné mapování NAT.

Port Restricted Cone

Omezený cone port NAT je téměř totožný s omezeným cone NAT. Pouze v tomto případě NAT zablokuje všechny pakety, pokud klient předtím neodeslal paket na IP adresu a port počítače, který pakety klientovi posílá. Pokud tedy klient odešle 1 externímu počítači na portu 5060, pak NAT propustí paket ke klientovi pouze tehdy, když pochází z 212.33.35.80:5060. Pokud klient odeslal pakety na více IP adres a portů, mohou klientovi odpovědět na stejné mapované IP adrese a portu.

Symetrický

Symetrický NAT se zásadně liší od prvních tří ve způsobu mapování interní IP adresy a portu na externí adresu a port. Toto mapování závisí na IP adrese a portu počítače, na který je odesílaný paket určen. Pokud například klient odesílá z adresy 10.0.0.1:8000 do počítače 1, může být současně zobrazena jako 212.23.21.25:12345, pokud odesílá ze stejného portu (10.0.0.1:8000) na jinou IP adresu se zobrazuje jinak (212.23.21.25:12346).

Počítač 1 může poslat odpověď pouze na 212.23.21.25:12345 a Počítač 2 může odpovědět pouze na 212.23.21.25:12346. Pokud se kterýkoli z nich pokusí odeslat pakety na port, ze kterého pakety nepřijal, budou tyto pakety ignorovány. Externí IP adresa a port se otevře pouze tehdy, když interní počítač odešle data na zadanou adresu.

NAT a internetová telefonie pomocí protokolu SIP

Procházení NAT hovorů pomocí protokolu SIP má tři hlavní problémy.
1. Dostupnost lokálních adres v SIP signalizaci.

FRAGE:

Mein Spiel zeigt mir an, mein NAT sei Strict or Moderate. Jak mohu otevřít NAT?

ODPOVĚĎ:

Ein Strict or Moderate NAT cann dazu führen, dass Sie no alle Features Ihres Online-Mehrspieler-Spiels genenießen können.

NAT steht für Network Address Translation (Netzwerkadressübersetzung). Grob gesagt es eine Methode, den Verkehr aus dem Internet (z Beispiel einer Webseite, einem Spielserver nebo einem P2P-Netzwerk) zum richtigen Gerät (z Beispiel Computer, Konsole, Tablet) v Ihrem we lokalen Netzwerk. Diese Methode zieht sowohl das Gerät als auch den Ursprung des Verkehrs in der "Unterhaltung" in Betracht und das kann dazu führen, dass Sie für manche Dienste nebo Spiele Open NAT haben und Strict NAT für andere.

Die Hardware, die in einem Netzwerk für NAT verantwortlich ist, ist der Router. Ihr Anfangspunkt beim NAT-Troubleshooting isllte daher Ihr Router and Seine Konfigurace vlastní, auch wenn andere Faktoren Ihr NAT negativní beeinflussen können.

Das kann gut oder schlecht sein:

Einige Router sind leichter zu konfigurieren als andere
- Wenn Sie eine gemeinschaftliche Internetverbindung benutzen (zum Beispiel in einem Wohnheim, einer Militärbasis, einem Krankenhaus) haben Sie vielleicht keinen Zugang zu Ihrem Router
- Manche Internetanbieter bieten Ihnen einen Router für zuhause an, aber organisieren das Netzwerk tak, dass Sie hinter einem weiteren Router sedí, zu dem Sie keinen Zugang haben. (Ihr Router je tak nict direkt mit dem Internet Verbunden, Sondern mit einem zweiten "lokalen" Netzwerk. Dieses Szenario nennt man.)

Řešení problémů-FAQs für Verbindungsprobleme für die meisten Ubisoft-Spiele zusammengestellt. Um diese zu finden, klicken Sie auf die Suchleiste oberhalb von diesem FAQ, wählen Sie Ihr Spiel und Ihre Plattform und geben Sie ein Verbindungsschwierigkeiten. Die Suche zeigt Ihnen das passende Verbindungs-FAQ für Ihr Spiel an, mit dem Sie NAT-Schwierigkeiten sowie andere Verbindungsprobleme beheben können.

IP adresy jsou vzácným zdrojem. ISP může mít adresu /16 (dříve třída B), která umožňuje připojení 65 534 hostitelů. Pokud je zákazníků více, začínají se objevovat problémy. Hostitelům, kteří se příležitostně připojují k internetu přes pevnou linku, lze dynamicky přidělovat IP adresy pouze po dobu trvání připojení. Jedna /16 adresa pak obslouží až 65 534 aktivních uživatelů, což může stačit ISP s několika stovkami tisíc zákazníků. Po ukončení komunikační relace je novému připojení přiřazena adresa IP. Taková strategie může vyřešit problémy poskytovatelů s malým počtem soukromých vytáčených zákazníků, ale nepomůže poskytovatelům s velkou klientelou organizací.

Firemní klienti totiž preferují neustálé připojení k internetu alespoň během pracovního dne. Jak v malých kancelářích, např. cestovních kancelářích, skládajících se ze tří zaměstnanců, tak ve velkých korporacích existují lokální sítě skládající se z řady počítačů. Některé počítače jsou pracovní stanice zaměstnanců, některé slouží jako webové servery. Obecně platí, že LAN router je připojen k ISP prostřednictvím pronajaté linky, aby bylo zajištěno trvalé připojení. Toto řešení znamená, že každý počítač má po celý den přiřazenou jednu IP adresu. Ve skutečnosti ani všechny počítače vlastněné firemními klienty dohromady nemohou blokovat IP adresy dostupné poskytovateli. Pro adresu délky /16 je tato hranice, jak jsme již poznamenali, 65 534. Pokud má však ISP desítky tisíc firemních zákazníků, pak bude této hranice dosaženo velmi rychle.

Problém je umocněn tím, že stále větší počet soukromých uživatelů chce mít ADSL nebo kabelové připojení k internetu. Vlastnosti těchto metod jsou následující:

a) uživatelé obdrží trvalou IP adresu;

b) neexistuje žádná časová platba (účtuje se pouze měsíční předplatné).

Uživatelé tohoto typu služby mají trvalé připojení k internetu. Vývoj v tomto směru vede k nárůstu nedostatku IP adres. Přidělování IP adres za chodu, jako je tomu u telefonního připojení, je zbytečné, protože počet aktivních adres v daném okamžiku může být mnohonásobně větší, než má poskytovatel.

Situaci často dále komplikuje skutečnost, že mnoho uživatelů ADSL a kabelového internetu má doma dva nebo více počítačů (například jeden pro každého člena rodiny) a chtějí, aby všechny stroje měly přístup k internetu. Co dělat - vždyť existuje pouze jedna IP adresa udělená poskytovatelem! Řešení je toto: musíte nainstalovat router a připojit všechny počítače k ​​místní síti. Z pohledu poskytovatele bude v tomto případě rodina fungovat jako obdoba malé firmy s několika počítači. Vítejte v Pupkin Corporation!

Problém nedostatku IP adres není v žádném případě teoretický a nepatří do vzdálené budoucnosti. Už je aktuální a musíme s tím bojovat tady a teď. Dlouhodobý projekt zahrnuje celkový převod celého internetu na protokol IPv6 se 128bitovým adresováním. Tento přechod je opravdu pozvolný, ale proces je tak pomalý, že se vleče roky. Když to viděli, mnozí si uvědomili, že je naléhavé najít nějaké řešení, alespoň pro blízkou budoucnost. Takové řešení bylo nalezeno ve formě metody překladu síťových adres, NAT (překlad síťových adres), popsaný v RFC 3022. Jeho podstatě se budeme věnovat později a více informací lze nalézt v (Butcher, 2001).

Základní myšlenkou překladu síťových adres je přidělit každé společnosti jednu IP adresu (nebo alespoň malý počet adres) pro internetový provoz. V rámci firmy obdrží každý počítač jedinečnou IP adresu, která se používá ke směrování interního provozu. Jakmile však paket opustí areál společnosti a zamíří k poskytovateli, provede se překlad adresy. Pro realizaci tohoto schématu byly vytvořeny tři rozsahy tzv. privátních IP adres. Mohou být použity v rámci společnosti podle vlastního uvážení. Jediným omezením je, že pakety s takovými adresami se nikdy nesmí objevit na samotném internetu. Tyto tři vyhrazené rozsahy jsou:

10.0.0.0 – 10.255.255.255/8 (16 777 216 hostitelů)

172.16.0.0 – 172.31.255.255/12 (1 048 576 hostitelů)

192.168.0.0 -192.168.255.255/16 (65 536 hostitelů)

Činnost metody překladu síťových adres je znázorněna na následujícím diagramu. V rámci území společnosti má každý stroj svoji unikátní adresu ve tvaru 10.x.y.z. Když však paket opustí společnost, projde blokem NAT, který převede interní zdrojovou IP adresu (10.0.0.1 na obrázku) na skutečnou IP adresu přijatou společností od poskytovatele (198.60.42.12 pro náš příklad ). NAT box je obvykle jedno zařízení s firewallem, které poskytuje zabezpečení tím, že přísně sleduje příchozí a odchozí provoz společnosti. NAT box lze integrovat s firemním routerem.

Zatím jsme obešli jeden malý detail: když přijde odpověď na požadavek (například z webového serveru), je adresována na 198.60.42.12. Jak NAT blok pozná, kterou interní adresou má nahradit veřejnou adresu společnosti? Toto je hlavní problém při používání překladu síťových adres. Pokud by v hlavičce IP paketu bylo volné pole, mohlo by být použito k zapamatování adresy osoby, která požadavek odeslala. V hlavičce však zůstává nevyužit pouze jeden bit. V zásadě by bylo možné vytvořit takové pole pro skutečnou zdrojovou adresu, ale to by vyžadovalo změnu IP kódu na všech strojích v celém internetu. To není nejlepší řešení, zvláště pokud chceme najít rychlé řešení nedostatku IP adres.

Ve skutečnosti se to stalo. Návrháři NAT si všimli, že většina užitečného zatížení IP paketů je buď TCP nebo UDP. Oba formáty mají záhlaví obsahující čísla zdrojového a cílového portu. Čísla portů jsou 16bitová celá čísla označující, kde začíná a končí připojení TCP. Umístění úložiště čísel portů se používá jako pole požadované pro fungování NAT.

Když si proces přeje navázat TCP spojení se vzdáleným procesem, naváže se na volný TCP port na svém vlastním počítači. Tento port se stane zdrojovým portem, který sděluje kódu TCP, kam má posílat pakety na tomto připojení. Proces také určuje cílový port. Cílový port říká, komu má být paket na vzdálené straně odeslán. Porty 0 až 1023 jsou vyhrazeny pro známé služby. Port 80 je například používán webovými servery, takže na ně mohou cílit vzdálení klienti. Každá odchozí zpráva TCP obsahuje informace o zdrojovém portu a cílovém portu. Společně slouží k identifikaci procesů na obou koncích pomocí spojení.

Nakreslíme přirovnání, které trochu objasní princip použití portů. Řekněme, že společnost má jedno sdílené telefonní číslo. Když ji lidé vytočí, uslyší hlas operátora, který se ptá, s kým přesně by se chtěli spojit, a spojí je na číslo příslušné pobočky. Hlavní telefonní číslo je analogické s IP adresou společnosti a rozšíření na obou koncích jsou analogické s porty. Adresování portů používá 16bitové pole, které identifikuje proces, který přijímá příchozí paket.

Pomocí pole Zdrojový port můžeme vyřešit problém mapování adres. Když odchozí paket dorazí do NAT bloku, je zdrojová adresa ve tvaru 192.168.c.d nahrazena skutečnou IP adresou. Kromě toho je pole zdrojového portu TCP nahrazeno indexem překladové tabulky bloků NAT obsahující 65 536 položek. Každý záznam obsahuje zdrojovou IP adresu a číslo zdrojového portu. Nakonec jsou kontrolní součty TCP a IP hlavičky přepočítány a vloženy do paketu. Musíte změnit pole Zdrojový port, protože počítače s místními adresami 10.0.0.1 a 10.0.0.2 mohou chtít náhodou použít stejný port (například 5000). Pro jednoznačnou identifikaci procesu odesílatele jednoho pole Port zdroje to tedy nestačí.

Když paket dorazí do bloku NAT poskytovatele internetových služeb, získá se hodnota pole Zdrojový port v hlavičce TCP. Používá se jako index k tabulce mapování bloků NAT. Záznam v této tabulce určuje interní IP adresu a skutečný zdrojový port TCP. Tyto dvě hodnoty jsou vloženy do balíčku. Poté se přepočítají kontrolní součty TCP a IP. Paket je předán hlavnímu směrovači společnosti k normálnímu doručení s adresou jako 192.168.y.z.

V případě ADSL nebo kabelového internetu lze při řešení nedostatku adres použít překlad síťových adres. Adresy přiřazené uživatelům vypadají jako 10.x.y.z. Jakmile paket opustí areál poskytovatele a dostane se do internetu, dostane se do bloku NAT, který převede interní adresu na skutečnou IP adresu poskytovatele. Na zpáteční cestě se provede obrácená operace. V tomto smyslu je pro zbytek internetu poskytovatel se svými klienty využívající ADSL a cable:connection prezentován jako jedna velká společnost.

Ačkoli výše popsané schéma částečně řeší problém nedostatku IP adres, mnoho přívrženců IP považuje NAT za nějaký druh nákazy, která se šíří po Zemi. A lze je pochopit.

Za prvé, samotný princip překladu síťových adres nezapadá do architektury IP, což znamená, že každá IP adresa jednoznačně identifikuje pouze jeden stroj na světě. Na využití této skutečnosti je postavena celá programová struktura internetu. S překladem síťových adres se ukazuje, že tisíce strojů mohou mít (a skutečně mají) adresu 10.0.0.1.

Za druhé, NAT transformuje internet ze sítě bez připojení na něco jako síť orientovanou na připojení. Problém je v tom, že blok NAT musí udržovat mapovací tabulku pro všechna připojení, která přes něj procházejí. Zapamatování stavu připojení je záležitostí sítí orientovaných na připojení, nikoli sítí bez připojení. Pokud se blok NAT rozbije a jeho mapovací tabulky se ztratí, všechna TCP spojení, která přes něj procházejí, mohou být zapomenuta. Při absenci překladu síťových adres nemá selhání routeru žádný vliv na aktivitu TCP. Proces odesílání jednoduše počká několik sekund a znovu odešle všechny nepotvrzené pakety. S NAT se internet stává stejně náchylným k selhání jako síť s přepojováním okruhů.

Za třetí, NAT porušuje jedno ze základních pravidel pro vytváření vícevrstvých protokolů: vrstva k by neměla dělat žádné předpoklady o tom, co přesně vrstva k + 1 vkládá do pole užitečného zatížení. Tento princip určuje nezávislost úrovní na sobě. Pokud TCP-2 někdy nahradí TCP, který má jiný formát záhlaví (například 32bitové adresování portu), překlad síťových adres selže. Celá myšlenka vrstvených protokolů spočívá v tom, že změny v jedné z vrstev nemohou žádným způsobem ovlivnit ostatní vrstvy. NAT tuto nezávislost ničí.

Za čtvrté, procesy na internetu nemusí používat pouze TCP nebo UDP. Pokud se uživatel stroje A rozhodne vymyslet nový protokol transportní vrstvy pro komunikaci s uživatelem stroje B (lze to udělat např. pro nějakou multimediální aplikaci), bude se muset nějak vypořádat s tzv. skutečnost, že blok NAT nemůže správně zpracovat pole zdrojového portu TCP.

Za páté, některé aplikace vkládají IP adresy do textu zpráv. Příjemce je odtud získá a následně zpracuje. Protože NAT o této metodě adresování nic neví, nebude schopen správně zpracovat pakety a veškeré pokusy o použití těchto adres vzdálenou stranou selžou. Protokol přenosu souborů, FTP (File Transfer Protocol), používá právě takovou metodu a nemusí fungovat s překladem síťových adres, pokud nejsou přijata zvláštní opatření. Podobnou vlastnost má také protokol internetové telefonie H.323. Metodu NAT je možné vylepšit a zajistit, aby fungovala správně s H.323, ale není možné ji upřesňovat pokaždé, když se objeví nová aplikace.

Za šesté, protože pole Zdrojový port má 16 bitů, lze na IP adresu namapovat přibližně 65 536 adres lokálních strojů. Ve skutečnosti je toto číslo poněkud menší: prvních 4096 portů je vyhrazeno pro potřeby služeb. Obecně platí, že pokud existuje více IP adres, pak každá z nich může podporovat až 61 440 lokálních adres.

Tyto a další problémy související s NAT jsou diskutovány v RFC 2993. Odpůrci NAT obvykle tvrdí, že řešení nedostatku IP adres vytvořením dočasné opravy pouze brzdí skutečný evoluční proces migrace na IPv6. Pokud se ale vrátíme do reality, uvidíme, že NAT je ve většině případů prostě nenahraditelná věc, zvláště pro malé kanceláře s množstvím počítačů od několika do několika desítek. NAT lze implementovat interně na operačním systému Linux pomocí