Как узнать, использует ли провайдер nat

Обновлено: 21.11.2024

При возникновении проблем с IP-подключением в среде NAT часто бывает трудно определить причину проблемы. Во многих случаях NAT ошибочно обвиняют, когда на самом деле существует основная проблема. В этом документе показано, как проверить работу NAT с помощью инструментов, доступных на маршрутизаторах Cisco. В этом документе также показано, как выполнять основные действия по устранению неполадок с NAT и как избежать типичных ошибок при устранении неполадок с NAT.

Предпосылки

Требования

Для этого документа нет особых требований.

Используемые компоненты

Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.

Информация в этом документе была получена с устройств в специальной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Условия

Дополнительную информацию об условных обозначениях документов см. в технических советах Cisco. Условные обозначения.

Как исключить NAT

Когда вы пытаетесь определить причину проблемы с подключением по IP, полезно исключить NAT. Выполните следующие действия, чтобы убедиться, что NAT работает должным образом:

Основываясь на конфигурации, четко определите, чего должен достичь NAT. На этом этапе вы можете определить, что возникла проблема с конфигурацией. Справку по настройке NAT см. в разделе Настройка трансляции сетевых адресов: начало работы.

Убедитесь, что в таблице переводов существуют правильные переводы.

Используйте команды show и debug, чтобы убедиться, что перевод выполняется.

Подробно проверьте, что происходит с пакетом, и убедитесь, что маршрутизаторы имеют правильную информацию о маршрутизации для перемещения пакета.

Ниже приведены некоторые примеры проблем, в которых мы используем описанные выше шаги, чтобы определить причину проблемы.

Пример проблемы: можно пропинговать один маршрутизатор, но не пропинговать другой

На этой схеме сети маршрутизатор 4 может пинговать маршрутизатор 5 (172.16.6.5), но не маршрутизатор 7 (172.16.11.7):

Ни один из маршрутизаторов не использует протоколы маршрутизации, а маршрутизатор 4 использует маршрутизатор 6 в качестве шлюза по умолчанию. Маршрутизатор 6 настроен с помощью NAT следующим образом:

Во-первых, убедитесь, что NAT работает правильно. Из конфигурации вы знаете, что IP-адрес маршрутизатора 4 (10.10.10.4) должен быть статически преобразован в 172.16.6.14. Вы можете использовать команду show ip nat translation на маршрутизаторе 6, чтобы убедиться, что перевод существует в таблице перевода:

Теперь убедитесь, что это преобразование происходит, когда маршрутизатор 4 получает IP-трафик. Это можно сделать двумя способами с маршрутизатора Router 6: запустив отладку NAT или отслеживая статистику NAT с помощью команды show ip nat Statistics. Поскольку команды отладки всегда следует использовать в крайнем случае, начните с команды show.

Намерение здесь состоит в том, чтобы отслеживать счетчик обращений, чтобы увидеть, увеличивается ли он по мере того, как мы отправляем трафик с маршрутизатора 4. Счетчик обращений увеличивается каждый раз, когда преобразование в таблице преобразования используется для преобразования адреса. Сначала очистите статистику, затем отобразите статистику, попробуйте пропинговать маршрутизатор 7 с маршрутизатора 4, а затем снова отобразите статистику.

После того как вы используете команду ping 172.16.11.7 на маршрутизаторе 4, статистика NAT на маршрутизаторе 6 выглядит следующим образом:

По командам show видно, что количество обращений увеличилось на пять. При успешном эхо-запросе от маршрутизатора Cisco количество попаданий должно увеличиться на десять. Пять эхо-сигналов протокола управляющих сообщений Интернета (ICMP), отправленных маршрутизатором-источником (маршрутизатором 4), должны быть преобразованы, а также должны быть преобразованы пять пакетов эхо-ответа от маршрутизатора назначения (маршрутизатор 7), всего десять попаданий. Пять пропущенных обращений, скорее всего, связаны с тем, что эхо-ответы не переводятся или не отправляются с маршрутизатора 7.

Посмотрите, сможете ли вы найти какую-либо причину, по которой маршрутизатор 7 не будет отправлять пакеты эхо-ответа на маршрутизатор 4. Сначала проверьте, что NAT делает с пакетом. Маршрутизатор 4 отправляет эхо-пакеты ICMP с адресом источника 10.10.10.4 и адресом получателя 172.16.11.7. После выполнения NAT пакет, полученный маршрутизатором 7, имеет адрес источника 172.16.6.14 и адрес получателя 172.16.11.7. Маршрутизатору 7 необходимо ответить на адрес 172.16.6.14, а поскольку адрес 172.16.6.14 не подключен напрямую к маршрутизатору 7, для ответа ему требуется маршрут для этой сети. Проверьте таблицу маршрутизации Router 7, чтобы убедиться, что маршрут существует.

Вы видите, что в таблице маршрутизации Router 7 нет маршрута для 172.16.6.14. Как только вы добавите этот маршрут, ping будет работать нормально.

Обзор проблемы

Сначала вы определили, что должен делать NAT. Затем вы проверили наличие статической записи NAT в таблице преобразования и ее точность. Вы убедились, что трансляция действительно выполнялась, отслеживая статистику NAT.Там вы обнаружили проблему, которая заставила вас проверить информацию о маршрутизации на маршрутизаторе 7, где вы обнаружили, что маршрутизатору 7 требуется маршрут к внутреннему глобальному адресу маршрутизатора 4.

Обратите внимание, что в этой простой тестовой среде полезно отслеживать статистику NAT с помощью команды show ip nat Statistics. Однако в более сложной среде NAT, когда выполняется несколько трансляций, эта команда show становится бесполезной. В этом случае может потребоваться запуск отладки на маршрутизаторе. Следующий сценарий проблемы демонстрирует использование команд отладки.

Пример проблемы: внешние сетевые устройства не могут обмениваться данными с внутренними маршрутизаторами

В этом сценарии маршрутизатор 4 может отправлять эхо-запросы как к маршрутизатору 5, так и к маршрутизатору 7, но устройства в сети 10.10.50.0 не могут обмениваться данными с маршрутизатором 5 или маршрутизатором 7 (в тестовой лаборатории мы эмулируем это, получая эхо-запросы от интерфейса замыкания на себя с помощью IP-адрес 10.10.50.4). Посмотрите на схему сети:

Во-первых, четко укажите ожидаемое поведение NAT. Из конфигурации маршрутизатора 6 вы знаете, что NAT должен динамически преобразовывать 10.10.50.4 в первый доступный адрес в «тестовом» пуле NAT. Пул состоит из адресов 172.16.11.70 и 172.16.11.71. Из того, что вы узнали в приведенной выше задаче, вы можете сделать вывод, что пакеты, которые получают маршрутизаторы 5 и 7, имеют исходный адрес либо 172.16.11.70, либо 172.16.11.71. Эти адреса находятся в той же подсети, что и маршрутизатор 7, поэтому маршрутизатор 7 должен иметь маршрут с прямым подключением, однако маршрутизатору 5 нужен маршрут к подсети, если он еще не создан.

Вы можете использовать команду show ip route, чтобы увидеть, что в таблице маршрутизации Router 5 указан адрес 172.16.11.0:

Вы можете использовать команду show ip route, чтобы увидеть, что в таблице маршрутизации Router 7 указано 172.16.11.0 как подсеть с прямым подключением:

Теперь, когда вы четко указали, что должен делать NAT, вам нужно убедиться, что он работает правильно. Начните с проверки таблицы трансляции NAT и убедитесь, что ожидаемая трансляция существует. Поскольку интересующий вас перевод создается динамически, вы должны сначала отправить IP-трафик с соответствующего адреса. После отправленного эхо-запроса, полученного с адреса 10.10.50.4 и направленного на адрес 172.16.11.7, таблица трансляции на маршрутизаторе 6 показывает следующее:

Поскольку ожидаемый перевод находится в таблице преобразования, вы знаете, что эхо-пакеты ICMP транслируются надлежащим образом, но как насчет пакетов эхо-ответа? Как упоминалось выше, вы можете отслеживать статистику NAT, но это не очень полезно в сложной среде. Другой вариант — запустить отладку NAT на маршрутизаторе NAT (маршрутизатор 6). В этом случае вы должны включить отладку ip nat на маршрутизаторе 6, пока вы отправляете ping с 10.10.50.4 на 172.16.11.7. Результаты отладки приведены ниже.

Примечание. Когда вы используете любую команду отладки на маршрутизаторе, вы можете перегрузить маршрутизатор, что приведет к его неработоспособности. Всегда соблюдайте предельную осторожность и, если возможно, никогда не запускайте отладку критически важного производственного маршрутизатора без присмотра инженера службы технической поддержки Cisco.

Как видно из приведенного выше вывода отладки, первая строка показывает исходный адрес 10.10.50.4, преобразованный в 172.16.11.70. Во второй строке показан адрес назначения 172.16.11.70, преобразованный обратно в 10.10.50.4. Этот шаблон повторяется на протяжении всей оставшейся части отладки. Это говорит о том, что маршрутизатор 6 транслирует пакеты в обоих направлениях.

Теперь более подробно рассмотрим, что именно должно происходить. Маршрутизатор 4 отправляет пакет с адреса 10.10.50.4 на адрес 172.16.11.7. Маршрутизатор 6 выполняет NAT для пакета и пересылает пакет с источником 172.16.11.70 и пунктом назначения 172.16.11.7. Маршрутизатор 7 отправляет ответ с источником 172.16.11.7 и пунктом назначения 172.16.11.70. Маршрутизатор 6 выполняет NAT для пакета, в результате чего получается пакет с адресом источника 172.16.11.7 и адресом назначения 10.10.50.4. В этот момент маршрутизатор 6 должен направить пакет на адрес 10.10.50.4 на основе информации, содержащейся в его таблице маршрутизации. Вам нужно использовать команду show ip route, чтобы убедиться, что Router 6 имеет необходимый маршрут в своей таблице маршрутизации.

Обзор проблемы

Сначала вы четко определили, что должен делать NAT. Во-вторых, вы проверили наличие необходимых переводов в таблице переводов. В-третьих, вы использовали команды отладки или показа, чтобы убедиться, что трансляция действительно выполняется. Наконец, вы более подробно рассмотрели, что происходит с пакетом и что требуется маршрутизаторам для пересылки пакета или ответа на него.

Контрольные списки для устранения неполадок

Теперь, когда у вас есть базовая процедура для поиска причин проблем с подключением, вот несколько контрольных списков для устранения распространенных проблем.

Перевод не установлен в таблице переводов

Если вы обнаружите, что соответствующий перевод не устанавливается в таблицу переводов, убедитесь, что:

Конфигурация правильная.Заставить NAT выполнить то, что вы хотите, иногда может быть сложно. Справку по настройке см. в разделе Настройка преобразования сетевых адресов: начало работы.

Нет никаких списков входящего доступа, запрещающих пакетам проходить через NAT-маршрутизатор.

Маршрутизатор NAT имеет соответствующий маршрут в таблице маршрутизации, если пакет идет изнутри наружу. Дополнительную информацию см. в разделе Порядок работы NAT.

Список доступа, на который ссылается команда NAT, разрешает все необходимые сети.

В пуле NAT достаточно адресов. Это должно быть проблемой только в том случае, если NAT не настроен на перегрузку.

Что интерфейсы маршрутизатора должным образом определены как NAT внутри или снаружи.

В случае преобразования полезной нагрузки пакетов системы доменных имен (DNS) убедитесь, что преобразование выполняется по адресу в IP-заголовке пакета. Если этого не происходит, то NAT не просматривает полезную нагрузку пакета.

Используется неправильная запись перевода

Если правильная запись перевода установлена ​​в таблице переводов, но не используется, проверьте следующее:

Убедитесь, что нет никаких списков входящего доступа, запрещающих пакетам проходить через NAT-маршрутизатор.

Для пакетов, идущих изнутри наружу, убедитесь, что существует маршрут к месту назначения, так как он проверяется перед трансляцией. Дополнительную информацию см. в разделе Порядок работы NAT.

NAT работает правильно, но проблемы с подключением все еще есть

Если NAT работает правильно, начните устранение проблемы с подключением следующим образом:

Проверьте подключение уровня 2.

Проверьте информацию о маршрутизации уровня 3.

Поиск фильтров пакетов, которые могут быть причиной проблемы.

Преобразование NAT для порта 80 не работает

Преобразование NAT для порта 80 не работает, но преобразование для других портов работает нормально.

Чтобы решить эту проблему, выполните следующие действия:

Запустите команды debug ip nat translations и debug ip packet, чтобы убедиться, что переводы верны и правильная запись перевода установлена ​​в таблице переводов.

Убедитесь, что сервер отвечает.

Очистите таблицы NAT и ARP.

%NAT: система занята. Попробуйте позже

%NAT: система занята. Сообщение об ошибке "Попробуйте позже" появляется при выполнении команды show, связанной с NAT, команды show running-config или записи в память. Эта проблема связана с увеличением размера таблицы NAT. Когда размер таблицы NAT увеличивается, маршрутизатору не хватает памяти.

Перезагрузите маршрутизатор, чтобы решить эту проблему. Если сообщение об ошибке появляется при настройке HSRP SNAT, настройте эти команды, чтобы решить проблему:

Большая таблица перевода увеличивает нагрузку на ЦП

Хост может отправлять сотни переводов, что, в свою очередь, приводит к высокой загрузке ЦП. Другими словами, он может сделать таблицу настолько большой, что заставит ЦП работать на 100 процентов. Команда ip nat translation max-entries 300 устанавливает ограничение в 300 на хост или совокупный предел количества трансляций на маршрутизаторе. Обходной путь — использовать команду ip nat translation max-entries all-hosts 300.

% общедоступных IP-адресов уже сопоставлены (внутренний IP-адрес -> общедоступный IP-адрес)

Это сообщение появляется, когда вы пытаетесь настроить два внутренних IP-адреса на один общедоступный IP-адрес, прослушивающий одни и те же порты.

Чтобы связать общедоступный IP-адрес с двумя внутренними IP-адресами, используйте два общедоступных IP-адреса в DNS.

Нет записей в таблице ARP

Это результат использования параметра no-alias для записей NAT. Параметр no-alias означает, что маршрутизатор не отвечает за адреса и не устанавливает запись ARP. Если другой маршрутизатор использует пул NAT в качестве внутреннего глобального пула, состоящего из адресов в присоединенной подсети, для этого адреса создается псевдоним, чтобы маршрутизатор мог отвечать на запросы протокола разрешения адресов (ARP) для этих адресов. Это приводит к тому, что у маршрутизатора есть записи ARP для поддельных адресов.

Заключение

Приведенные выше проблемы показали, что NAT не всегда является причиной проблем с IP-подключением. Во многих случаях причиной является нечто иное, чем NAT, и это требует дальнейшего изучения. В этом документе объясняются основные шаги, которые необходимо предпринять при устранении неполадок и проверке работы NAT. Эти шаги включают:

Четко определите, чего должен достичь NAT.

Убедитесь, что в таблице переводов существуют правильные переводы.

Используйте команды show и debug, чтобы убедиться, что перевод выполняется.

Подробно проверьте, что происходит с пакетом, и убедитесь, что маршрутизаторы имеют правильную информацию о маршрутизации для перемещения пакета.

Неверный токен 0, требуется TOK_NUMBER|TOK_PUNCT

Это сообщение об ошибке носит информационный характер и не влияет на нормальную работу устройства.

Эта ошибка означает, что NAT пытается выполнить исправление уровня 4 для адреса в открытом FTP и не может найти IP-адреса, необходимые для преобразования в пакете.

Причина, по которой сообщение включает маркеры, заключается в том, что IP-адреса в пакете находятся путем поиска маркера или набора символов в IP-пакете, чтобы найти детали, необходимые для перевода.

Когда инициируется сеанс FTP, он согласовывает два канала: канал команд и канал данных. Это оба IP-адреса с разными номерами портов. FTP-клиент и сервер согласовывают второй канал данных для передачи файлов. Пакет, которым обмениваются через канал управления, имеет формат «PORT,i,i,i,i,p,p», где i,i,i,i — четыре байта IP-адреса, а p,p — порт. NAT пытается сопоставить этот шаблон и при необходимости преобразовать адрес/порт. NAT должен преобразовывать схемы адресации обоих каналов. NAT ищет числа в потоке команд, пока не решит, что нашла команду порта, требующую перевода. Он пытается разобрать перевод, который рассчитывается по шаблону, как описано ранее.

Если пакет поврежден или FTP-сервер или клиент использует неверные команды, NAT не может правильно рассчитать преобразование и выдает эту ошибку. Рекомендуется настроить FTP-клиент на «пассивный», чтобы он инициировал оба канала. Иногда это помогает при работе с FTP через NAT.

Новости об аренде, покупке или продаже адресов IPv4.

Что такое NAT операторского класса? Как проверить, использует ли провайдер CGN в Windows 10

Сегодня в мире используется около 4,3 млрд IPv4-адресов. За последние несколько лет в разных регионах стало не хватать IPv4, и 25 ноября 2019 года RIPE NCC произвела окончательное выделение IPv4 /22 из последних оставшихся адресов в доступном пуле, и адреса IPv4 официально закончились. Решением этой проблемы является использование адресов IPv6. Но поскольку это может занять некоторое время, поставщики услуг предложили NAT операторского класса большому количеству клиентов, чтобы решить эту проблему.

Что такое NAT операторского класса?

Существует два типа технологий перехода IPv6. Это NAT операторского класса, также известный как CGN или CGNAT, и крупномасштабная трансляция сетевых адресов или NAT, также известная как LSN. Эти технологии помогают расширить доступность IPv4-адресов с помощью частного IPv4-адреса в сетях поставщиков услуг. NAT операторского класса является расширением преобразования сетевых адресов. Его основная функция — расширить возможности использования адреса IPv4 и обеспечить беспрепятственный переход на адрес IPv6. Он в основном используется крупными сетями и поставщиками услуг.

В частности, NAT операторского класса был создан для того, чтобы поставщики услуг могли использовать общедоступный IP-адрес для поддержки большего числа клиентов. Он предлагает NAT444, который помогает преобразовать частный IP-адрес в общедоступный IP-адрес. С помощью CGN можно поменять местами общедоступный IP-адрес с частным IP-адресом на устройстве CPE. В этом направлении многие клиентские сети могут использовать один общедоступный IP-адрес.

Как проверить NAT операторского класса в Windows 10?

Если вам нужно узнать, использует ли ваш интернет-провайдер NAT операторского класса в Windows 10 или нет, вы можете воспользоваться приведенными ниже советами.

<р>1. Вам нужно начать с поиска вашего общедоступного адреса в Интернете. Для этого вы можете открыть любой браузер в своей компьютерной системе, такой как Google Chrome, Mozilla Firefox, Microsoft Edge и т. д. После того, как вы открыли браузер, вам нужно перейти в поисковую систему Google. Теперь перейдите в текстовое поле и введите «Мой IP-адрес». Вы будете перенаправлены на новую страницу, где будет указан ваш IP-адрес. Вам нужно записать этот адрес, так как он понадобится вам позже. Если указанный выше шаг кажется более длинным, вы можете нажать на эту ссылку.

<р>2. Найдя свой IP-адрес, вам нужно вернуться на рабочий стол или домашний экран вашего компьютера. Оказавшись там, нажмите клавиши Ctrl и X вместе. Вы увидите выпадающее меню на экране. Прокрутите вниз и найдите параметр Windows PowerShell (Admin)». Теперь нажмите на это, чтобы открыть PowerShell.

<р>3. На экране появится новое синее окно. В окне PowerShell вам нужно ввести «tracert your public IP» (например: tracert 162.104.45.36). Нажмите Enter после ввода команды. Дождитесь результата. На коробке появится нумерованный список. Если вы видите две или более двух линий, это означает, что ваш интернет-провайдер использует NAT операторского класса.

<р>4. Если после ввода «трассировать ваш общедоступный IP-адрес» в окне PowerShell вы видите только одну строку, это означает, что ваш интернет-провайдер не использует NAT операторского класса.

Для людей, которые часто сталкиваются с такими проблемами, как баны, проблемы с хостингом серверов и VoIP, очень важно связаться с вашим интернет-провайдером. CGNAT может повлиять на функциональность пользователя в сети. Это может не иметь значения, если вы пользуетесь Интернетом для непродолжительного просмотра веб-страниц, а также для отправки или получения электронных писем, но все, что выходит за рамки этого, может вызывать беспокойство.

Как правило, интернет-провайдер отключает вас от CGNAT без дополнительной оплаты. Но в некоторых случаях вас могут попросить переключиться на деловую связь. Вы также можете использовать виртуальную частную сеть или VPN.

В настоящее время многие операторы в своих оптоволоконных сетях реализовали функциональные возможности CG-NAT , также известного как CGN или NAT операторского класса , предоставляя своим клиентам немаршрутизируемую частную адресацию в Интернете вместо общедоступной адресации. который маршрутизируется в Интернете. Если вы находитесь за CG-NAT, вы не сможете использовать любой тип сервера в своем доме, так как для использования этого типа услуг вам нужно будет сделать переадресацию портов, а с CG-NAT вы не сможете сделайте это, потому что у вас будет два NAT, NAT, предоставленный домашним маршрутизатором, и дополнительный NAT, предоставленный оператором. Сегодня в этой статье мы шаг за шагом объясним, как узнать, дает ли мне оператор общедоступный IP-адрес или адрес CG-NAT.

Что такое CG-NAT и почему его используют некоторые операторы?

CG-NAT, также известная как NAT операторского класса или преобразование сетевых адресов операторского класса, представляет собой технологию, которую операторы внедряют в своих сетях для сохранения адресов IPv4, которые уже исчерпаны. Из-за истощения общедоступных IP-адресов операторы годами предоставляют частную IP-адресацию в сетях 3G / 4G и 5G, потому что обычно на смартфонах или планшетах мы не собираемся размещать какие-либо серверы. Однако уже несколько лет они также передают эту технологию CG-NAT в свои оптоволоконные сети, предоставляя клиентам определенный частный адрес, который не маршрутизируется через Интернет, это означает, что мы не сможем получить доступ к FTP-серверам, VPN или сервер любого другого типа, который есть у нас дома.

Знать, предоставил ли мне мой оператор общедоступный IP-адрес или я нахожусь за CG-NAT, очень важно, особенно для пользователей, у которых дома есть сервер NAS для размещения разных серверов, если мы хотим получить доступ к VPN. сервер, который у нас есть в локальной сети, и другие довольно распространенные способы использования, такие как настройка нашего собственного частного облака с помощью Nextcloud. Мы не сможем сделать все эти использования, потому что оператор предоставит нашему роутеру приватный адрес в диапазоне 100.64.0.0/10, поэтому, даже если мы откроем порты на роутере (port-forwarding или port forwarding) мы не будет, у нас будет сквозное подключение.

Поскольку этот частный адрес зарезервирован для CG-NAT 100.64.0.0/10, первый IP-адрес изменится с 100.64.0.1 на 100.127.255.254, поэтому у нас будет около 4 миллионов частных IP-адресов, которые мы можем предоставить наши клиенты, однако, обычно имеют меньшие подсети с меньшим количеством клиентов, использующих один и тот же общедоступный IP-адрес.

Хотя мы выполняем «переадресацию портов» на домашних маршрутизаторах, которые есть у нас дома, мы не сможем сделать это на маршрутизаторе CGN, принадлежащем оператору. По этой причине важно знать, есть ли у нашего оператора я в CG-NAT или у меня есть общедоступный IP-адрес, чтобы иметь доступ ко всем службам нашего дома (FTP-сервер, NAS, VPN и т. д.).

Как узнать, есть ли у моего оператора я в CG-NAT или у меня публичный IP

Мы можем узнать, предоставил ли нам наш оператор общедоступный IP-адрес или, тем не менее, он использует нас за CG-NAT с помощью нескольких методов, которые мы подробно объясним. Любой из методов, которым мы собираемся научить вас дальше, скажет нам, есть ли у нас общедоступный IP-адрес, или, тем не менее, наш оператор поместил нас внутрь CG-NAT. Кроме того, мы могли бы без проблем использовать один или несколько методов одновременно, чтобы точно проверить, есть ли у нас общедоступный IP-адрес в нашем доме или у нас его нет.

Просмотр IP-адреса WAN на маршрутизаторе

На экране состояния маршрутизатора появится раздел, где написано «IP-адрес WAN», «IP-адрес WAN» или подобное, то есть мы должны посмотреть, какой IP-адрес получает интерфейс WAN маршрутизатора Интернет. На следующем снимке экрана вы можете увидеть Digi-соединение с использованием CG-NAT, как показано в разделе «IP-адрес».

Чтобы узнать, является ли наш IP-адрес общедоступным или находится в CG-NAT, достаточно узнать, находится ли тот IP-адрес, который указывает маршрутизатор, в диапазоне CG-NAT или он не имеет к нему никакого отношения. Если IP-адрес находится в подсети 100.64.0.0/10, то есть в диапазоне от 100.64.0.1 до 100.127.255.254, то мы можем убедиться, что находимся в CG-NAT, поскольку этот диапазон принадлежит этой технологии и зарезервирован.

Сравните IP-адрес маршрутизатора в глобальной сети с общедоступным IP-адресом, полученным в Интернете

Еще один очень полезный способ узнать, находится ли наш IP-адрес в CG-NAT или у нас есть общедоступный IP-адрес, — это сравнить «IP-адрес WAN», который отображается в нашем маршрутизаторе, с общедоступным IP-адресом, через который мы можем пройти. веб-сайты, такие как «Какой у меня IP». Если IP-адрес, указанный на этом веб-сайте, точно совпадает с IP-адресом, указанным в WAN-адресе нашего маршрутизатора, то мы можем убедиться, что оператор предоставил нам общедоступный IP-адрес, и мы не находимся в CG-NAT.< /p>

Этот метод, чтобы узнать, находимся ли мы в CG-NAT или нет, является одним из самых простых, поскольку нам нужно будет только сравнить два IP-адреса, не зная, находится ли он в диапазоне CG-NAT 100.64. .0.0/10 как у нас. объяснялось выше.

Создайте трассировку или трассировку для нашего общедоступного IP-адреса

Если вы заходите на веб-страницу What is my IP и в Интернете сообщается, что ваш общедоступный IP-адрес — 150.150.150.150, вы открываете командную строку в Windows (клавиша Windows, вводите в поисковую систему «cmd» и нажимаете введите), и вы ставите:

  • Если у нас есть переход, мы можем убедиться, что IP-адрес является общедоступным и он есть у маршрутизатора.
  • Если у нас есть два прыжка, мы можем убедиться, что находимся в CG-NAT

Мы надеемся, что с помощью этих шагов вы сможете легко и быстро узнать, находимся ли мы с общедоступной IP-адресацией или, наоборот, вы находитесь под CG-NAT.

сообщить об этом объявлении

В цифровом мире все зависит от IP-адресов (интернет-протокола). Каждому устройству нужен IP-адрес для связи в Интернете или в частной сети. Учитывая, что общедоступных IP-адресов для каждого устройства, подключенного к Интернету, недостаточно (по крайней мере, с IPv4), эта маленькая вещь, называемая NAT, становится чрезвычайно важной. Это означает преобразование сетевых адресов (NAT) и представляет собой функцию, предоставляемую маршрутизаторами, позволяющую нескольким устройствам получать доступ к Интернету через один общедоступный IP-адрес.

За каждым общедоступным IP-адресом могут стоять сотни устройств с собственными частными IP-адресами благодаря NAT. И почти все оборудование, обеспечивающее функцию NAT, включает в себя брандмауэр для защиты частных IP-адресов и устройств от общедоступных IP-адресов и устройств в Интернете. Также обычно предлагаются другие сетевые службы, такие как DHCP (протокол динамического управления хостом), чтобы выдавать частные IP-адреса устройствам, которые подключаются к локальной сети.

Как происходит двойной NAT

Однако наличие нескольких устройств, использующих NAT в частной сети, может вызвать проблемы с этой сетью. Некоторые пользователи могут этого даже не заметить, поэтому для них это не проблема. Но другие могут столкнуться с головной болью с определенными приложениями, службами и ситуациями. Так что всегда полезно отказаться от двойного NAT, если он у вас есть.

Наличие нескольких устройств NAT обычно происходит, когда вы подключаете собственный маршрутизатор к шлюзу, установленному вашим интернет-провайдером (ISP), который также включает функции NAT и маршрутизации. Некоторые интернет-провайдеры устанавливают только простой модем, в котором отсутствуют функции NAT и маршрутизации, что полностью устраняет проблему. Но большинство интернет-провайдеров предполагают, что у их клиентов нет маршрутизаторов, поэтому они предоставят вам комбинированное устройство, хотите вы этого или нет.

Если вы не уверены, что дал вам интернет-провайдер, взгляните на коробку. Если есть только один порт Ethernet, скорее всего, это простой модем (он же широкополосный шлюз). Но если есть несколько портов Ethernet или если он поддерживает соединения Wi-Fi, он, вероятно, также выполняет NAT и маршрутизацию.

Проблемы, которые может вызвать двойной NAT

Если в вашей сети используется двойной NAT, вы можете столкнуться с проблемами со службами, требующими поддержки UPnP (Universal Plug-and-Play) или ручной переадресации портов. Это может включать в себя онлайн-игры на компьютерах или консолях, удаленный рабочий стол на ваших компьютерах, подключение к VPN-серверу или доступ к каналам с камер наблюдения. Подобные службы иногда требуют, чтобы определенные порты были открыты в брандмауэре маршрутизатора и направлены на определенный компьютер или устройство в сети.

На этом снимке экрана показано, как я настроил свой маршрутизатор для переадресации портов, чтобы я мог использовать удаленный SSH (Secure Shell) на сервере в моей локальной сети. Я не могу этого сделать, если мой шлюз также выполняет NAT (преобразование сетевых адресов).

Проблема с двойным NAT заключается в том, что если на первом маршрутизаторе в вашей сети не настроена переадресация портов, входящий трафик будет останавливаться там, даже если на втором маршрутизаторе настроена переадресация портов. Или даже если первый маршрутизатор имеет порт для переадресации, он не может перенаправить трафик на устройство, подключенное ко второму маршрутизатору. Он может перенаправлять трафик только на компьютеры и устройства, напрямую подключенные к этому первому маршрутизатору, который может быть проводным или беспроводным.

Двойной NAT также может усложнить любые ручные или автоматические средства контроля качества обслуживания (QoS), которые определяют приоритетность трафика во внутренней сети, чтобы гарантировать, что чувствительный к задержкам трафик (игры, голос или видео) получает более высокий приоритет, чем данные, связанные с трансляторы файлов. Это особенно актуально, если у вас есть устройства, подключенные к обоим маршрутизаторам, каждый из которых имеет разные элементы управления QoS.

На этом снимке экрана показаны элементы управления QoS (качество обслуживания) моего маршрутизатора, которые я настроил для присвоения VoIP (передачи голоса по интернет-протоколу) наивысшего приоритета.

Как обнаружить ситуацию с двойным NAT

Я уже упоминал, как быстро определить, есть ли на шлюзе интернет-провайдера возможности NAT и маршрутизации, но вы также можете проверить, действительно ли происходит двойной NAT, прежде чем тратить время на эту проблему. Иногда шлюзы обнаруживают двойной NAT и автоматически устраняют проблему. Или иногда, если установщики интернет-провайдера хорошо осведомлены, они могут исправить это, когда придут установить шлюз и увидят, что у вас есть собственный маршрутизатор.

Для двух способов, которые я покажу вам, как обнаружить ситуацию с двойным NAT, вам нужно будет проверить свои IP-адреса и узнать, являются ли они частными или общедоступными. Это просто: частные адреса обычно находятся в диапазоне от 192.168.0.0 до 192.168.255.255, от 172.16.0.0 до 172.31.255.255 или от 10.0.0.0 до 10.255.255.255. Адреса за пределами этих диапазонов будут общедоступными (интернет-адресами).

Один из быстрых способов, который обычно показывает наличие двойного NAT, – это трассировка маршрута, которая позволяет проверить связь с сервером или устройством в Интернете и увидеть путь, который проходит между маршрутизаторами и серверами. Откройте командную строку (на ПК с Windows, подключенном к Интернету, щелкните меню «Пуск», введите «cmd» и нажмите «Ввод») и введите «tracert 8.8.8.8», чтобы увидеть трассировку к DNS-серверу Google. Если вы видите два частных IP-адреса, перечисленных в первых двух прыжках, значит, у вас двойной NAT. Если вы видите только один частный адрес, а на втором прыжке отображается публичный адрес, значит, все в порядке.

Вот трассировка, показывающая двойной NAT, о чем свидетельствуют частные IP-адреса на первых двух переходах.

Еще один способ проверить наличие двойного NAT — подключиться к веб-интерфейсу маршрутизатора и посмотреть, является ли IP-адрес в глобальной сети (интернет) частным или общедоступным. Это должен быть публичный адрес. Если это частный адрес, то у вас двойной NAT.

Еще одно свидетельство ситуации с двойным NAT: IP-адрес WAN моего маршрутизатора является частным, а не общедоступным.

Как это исправить

Если вы подтвердили, что у вас двойной NAT, есть способы это исправить. Один простой способ — отключить любой дополнительный маршрутизатор и использовать только шлюз вашего интернет-провайдера. Если вы опытный пользователь и не можете расстаться со своим модным роутером, то этот вариант, вероятно, не для вас.

Если вы хотите сохранить свой маршрутизатор, проверьте, можете ли вы перевести шлюз интернет-провайдера в режим моста или сквозной передачи. Это отключит функции NAT, брандмауэра и DHCP шлюза и уменьшит его до простого интернет-модема. Многие шлюзы предлагают эти настройки, но не все. Войдите в веб-интерфейс шлюза и проверьте настройки режима NAT, сквозного доступа или моста, но имейте в виду, что иногда они скрыты. Если вы его не видите, поищите в Интернете информацию о вашей конкретной модели или позвоните в службу технической поддержки вашего интернет-провайдера.

Мой шлюз Arris от TimeWarner (Spectrum) имеет свои параметры NAT в настройках локальной сети, но у других поставщиков он может быть в глобальной сети или в другой области.

Если шлюз вашего поставщика услуг Интернета не поддерживает какие-либо функции моста, рассмотрите возможность размещения маршрутизатора в демилитаризованной зоне (демилитаризованной зоне) шлюза. Если шлюз имеет демилитаризованную зону, он, по сути, предоставит маршрутизатору прямое подключение к Интернету в обход NAT, брандмауэра и DHCP шлюза, чтобы сетевые устройства получали эти значения непосредственно от маршрутизатора.

Чтобы использовать DMZ, вы должны войти в веб-интерфейс шлюза, найти настройку DMZ и ввести частный IP-адрес, назначенный вашему маршрутизатору. Кроме того, вы также должны проверить, можете ли вы установить резервирование IP-адреса для своего маршрутизатора, чтобы ваш шлюз всегда предоставлял один и тот же частный IP-адрес вашему маршрутизатору. Если шлюз не поддерживает резервирование IP-адресов, вам следует войти в графический веб-интерфейс маршрутизатора и вручную назначить ему статический частный IP-адрес (тот же, который вы настраиваете в качестве хоста DMZ) для подключение к WAN (глобальной сети, т. е. к Интернету).

Эрик Гайер

Мой шлюз имеет настройки DMZ в настройках брандмауэра, что типично для шлюзов.

Еще один вариант устранения двойного NAT при сохранении шлюза интернет-провайдера и вашего маршрутизатора – это проложить кабель Ethernet от шлюза к одному из портов LAN вашего маршрутизатора, а не к порту WAN (интернет) маршрутизатора. Это в основном превратит ваш маршрутизатор в коммутатор, и любые компьютеры, подключающиеся через маршрутизатор (проводное или беспроводное), получат NAT, брандмауэр и DHCP от шлюза интернет-провайдера. Это хороший вариант, если вы используете дополнительный маршрутизатор для улучшения качества Wi-Fi или если вам нужно больше портов Ethernet. Если, с другой стороны, вы хотите использовать другой маршрутизатор для лучшей переадресации портов или улучшенного контроля качества обслуживания, этот подход не поможет.

Читайте также: