Nat loopback что это такое в роутере

Обновлено: 25.06.2024

У меня возникают проблемы с размещением общедоступного игрового сервера (с переадресацией портов) при одновременном доступе к серверу с другого компьютера в моей подсети. Похоже, проблема связана с поддержкой NAT Loopback.

Пример:
Сервер Linux, на котором размещена игра: 192.168.128.100:27165 (порты переадресованы)
Рабочий стол пытается подключиться: 192.168.128.110

Однако сервер не будет отображаться при поиске в другой сети (скажем, через сотовую связь), он появится.

Чужой не поддерживает заколку? Или я что-то пропустил?

Ответ службы поддержки: "К сожалению, маршрутизатор Alien не поддерживает функцию Loopback, также известную как "закрепление". Я обязательно передам ее в качестве запроса на добавление функции команде разработчиков".

Разочаровывающий Wi-Fi-маршрутизатор стоимостью более 400 долларов не поддерживает довольно простую функцию.

Меня это тоже удивляет. Нередко доступ к вашему собственному NAS или к таким приложениям, как cURL, которые выполняют запросы обратной связи.

Удивлен, что я не могу сделать это на HD.

Nummerelf, у меня такая же проблема. WiFi-LAN работает, но устройства LAN-LAN не работают.

Я клянусь, что это работало несколько месяцев назад, так как я успешно использовал NAT Hairpinning несколько месяцев назад

@Robert-Pivac Насколько мне известно, это никогда не работало, поскольку никогда не было функцией линейки AmpliFi. Хотя хотелось бы, чтобы это произошло. Nextcloud в настоящее время насыщает загрузку моей глобальной сети устройствами в локальной сети, загружающими через глобальную сеть на сервер в локальной сети из-за отсутствия шпильки NAT. Полное безумие.

Не уверен насчет Amplifi HD, но, похоже, он работает на Alien после некоторого устранения неполадок с помощью nummerelf (и теперь, когда я знаю, что есть известная проблема, я также работал над ее решением, подключая устройства к разным портам на Alien.< /p>

Привет @Robert-Pivac, у вас есть что-нибудь новое по этому вопросу?

Я планирую купить Amplifi Alien, но это действительно мешает мне его купить.

@Jean-Squillari NAT Loopback AKA Hairpinning работает, но только при подключении к разным сетевым портам на Amplifi.

Например:
Amplifi LAN Port 1 работает на сервере. Amplifi LAN Port 2, на котором запущен клиент, оба могут подключаться с использованием общедоступного IP-адреса и NAT Hairpinning.

Однако не работает несколько устройств, подключенных к одному и тому же порту LAN.

Например: порт Amplifi LAN 1 подключен к коммутатору. Переключите порт 1, на котором запущен сервер. Переключите порт 2 с запущенным клиентом. Закрепление NAT не работает, поскольку и сервер, и клиент используют порт 1 локальной сети.

Чтобы обойти это, мне пришлось разместить свои серверы на порту LAN за коммутатором. А затем мои клиентские устройства, такие как ПК, на порту 2 локальной сети за другим коммутатором.

При такой настройке большинство вещей работает нормально.

@Robert-Pivac Я проверил это на своем Чужом, я не думаю, что это решение решило мою проблему. Мой Nextcloud подключен к коммутатору, который идет к порту 4 на Alien, а Rpi подключен к порту 3. Не могу получить доступ к общедоступному домену.

Хотя даже если это сработало на моем Чужом, я подозреваю, что оно будет работать только с проводными устройствами.

Во всяком случае, я заработал, используя Pi-hole. Я добавил публичный домен в запись DNS (в Pi-hole). Теперь петля работает.


Определите функцию во многих маршрутизаторах SOHO, которая разрешает доступ к службе через общедоступный IP-адрес или доменное имя из локальной сети. Это устраняет необходимость использования отдельного разрешения доменных имен для хостов внутри сети, а не для общедоступной сети для веб-сайта.

Пример:

Общедоступный адрес: 202.96.128.5. Это адрес WAN-интерфейса маршрутизатора.

Внутренний адрес роутера: 192.168.2.1

Адрес сервера: 192.168.2.10 внешний порт: 80

Адрес локального компьютера: 192.168.2.3


Если пакет отправляется на общедоступный адрес с компьютера 192.168.2.3, пакет обычно направляется на шлюз по умолчанию (маршрутизатор), если в таблицах маршрутизации компьютера не задан явный маршрут. Маршрутизатор с функцией обратной связи NAT определяет, что 202.96.128.5 является адресом его интерфейса WAN, и обрабатывает пакет так, как будто он исходит от этого интерфейса. Он определяет пункт назначения для этого пакета на основе правил DNAT (переадресации портов) для пункта назначения. Если данные были отправлены на порт 80 и существует правило DNAT для порта 80, направленное на 192.168.2.10, то узел по этому адресу получает пакет.

Если применимое правило DNAT недоступно, маршрутизатор отбрасывает пакет. Может быть отправлен ответ ICMP Destination Unreachable. Если присутствовали какие-либо правила DNAT, преобразование адресов все еще действует; маршрутизатор по-прежнему перезаписывает исходный IP-адрес в пакете. Локальный компьютер (192.168.2.3) отправляет пакет как от 192.168.2.3, но сервер (192.168.2.10) принимает его как от 202.96.128.5. Когда сервер отвечает, процесс идентичен для внешнего отправителя. Таким образом, возможна двусторонняя связь между хостами внутри сети LAN через общедоступный IP-адрес.

Устранение неполадок:

1. Проверьте и убедитесь, что сервер доступен внутри локальной сети. Получите доступ к серверу с хоста внутри сети, используя LAN IP + Port

2. Проверьте, не заблокирован ли сервер брандмауэром или недействительна ли переадресация портов

> Доступ к серверу с хоста за пределами сети, используя WAN IP + порт

> Отключите брандмауэр на сервере и повторите попытку, если не удалось получить доступ к серверу

> Попробуйте включить DMZ и повторите попытку

3. Проверьте, правильно ли работает петля NAT

> Получите доступ к серверу с хоста внутри сети, используя доменное имя WAN + порт

> Доступ к серверу с хоста внутри сети с помощью WAN IP + порт

> Если не удалось получить доступ к серверу через доменное имя, но удалось получить доступ к серверу через WAN IP, используйте команду ping, чтобы проверить правильность IP-адреса, разрешенного доменным именем сервера

>Если не удалось получить доступ к серверу как по имени домена, так и по IP-адресу WAN, проверьте, допустима ли переадресация портов, чтобы обратиться к этому FAQ

Обмен обращениями:

У клиента есть FTP-сервер и почтовый сервер, IP-адрес в локальной сети 192.168.1.100, он может подключаться через WAN-адрес вдали от сети.

Однако, если он попытается подключиться к серверу, находясь в локальной сети, это не сработает.

FTP-сервер работает нормально после изменения внешнего порта с 21 на 2121. Мы обнаруживаем, что внешний порт 21 конфликтует с портом службы FTP 21 маршрутизатора. После изменения внешнего порта на 2121 клиент может получить доступ к серверу.

Петля NAT позволяет пользователю в доверенных или дополнительных сетях подключаться к общедоступному серверу с общедоступным IP-адресом или доменным именем сервера, если сервер находится на том же физическом интерфейсе Firebox. Чтобы помочь вам понять, как настроить петлю NAT при использовании NAT 1-to-1, мы приводим следующий пример:

Для этого примера мы предполагаем существующую конфигурацию NAT 1-to-1:

Пример конфигурации NAT 1-to-1 имеет следующие настройки:

Интерфейс — внешний. База NAT — 203.0.113.5, реальная база — 10.0.1.5

Снимок экрана с настройками конфигурации NAT 1-к-1

s
Существующая конфигурация NAT 1-to-1 в веб-интерфейсе Fireware

Снимок экрана диалогового окна


Существующая конфигурация 1-к-1 в диспетчере политик

Чтобы включить замыкание на себя NAT для всех пользователей, подключенных к доверенному интерфейсу, необходимо:

  1. Убедитесь, что для каждого интерфейса, используемого трафиком, существует запись NAT 1-к-1, когда внутренние компьютеры получают доступ к общедоступному IP-адресу 203.0.113.5 с петлевым подключением NAT.

Для этого примера необходимо добавить еще одно сопоставление NAT 1-к-1 для применения к трафику, который начинается с доверенного интерфейса. Новое сопоставление 1-к-1 такое же, как и предыдущее, за исключением того, что для интерфейса установлено значение «Доверенный», а не «Внешний».

Скриншот конфигурации NAT 1-to-1 — Trusted


Сопоставление NAT 1-к-1 в веб-интерфейсе Fireware

Снимок экрана диалогового окна


Сопоставление NAT 1-к-1 в диспетчере политик

После того, как вы добавите вторую запись NAT 1-к-1, Firebox будет иметь два сопоставления NAT 1-к-1; один для внешнего и один для доверенного.

Интерфейс — внешний, база NAT — 203.0.113.5, реальная база — 10.0.1.5
Интерфейс — доверенный, база NAT — 203.0.113.5, реальная база — 10.0.1.5

  1. Добавьте запись Dynamic NAT для каждой сети на интерфейсе, к которому подключен сервер.
  • Поле From для записи Dynamic NAT — это сетевой IP-адрес сети, из которой компьютеры получают доступ к IP-адресу NAT 1-к-1 с обратной связью NAT.
  • Поле "Кому" для записи Dynamic NAT – это базовый адрес NAT в сопоставлении NAT 1 к 1.

На вкладке Dynamic NAT конфигурации NAT добавьте два правила динамического NAT:

10.0.1.0/24 – 203.0.113.5
192.168.2.0/24 – 203.0.113.5

Снимок экрана диалогового окна


Конфигурация динамического NAT в диспетчере политик

Если вы планируете использовать петлю NAT с большим количеством IP-адресов, вы можете указать диапазон IP-адресов или подсеть в поле Кому правила динамического NAT.

  1. Добавьте политику, позволяющую пользователям вашей доверенной сети использовать общедоступный IP-адрес или доменное имя для доступа к общедоступному серверу в доверенной сети. Для этого примера:

Снимок экрана диалогового окна


Политика замыкания на себя NAT в диспетчере политик

Скриншот примера настроек политики замыкания на себя NAT


Политика замыкания на себя NAT в веб-интерфейсе Fireware

Общедоступный IP-адрес, к которому хотят подключиться пользователи, — 203.0.113.5.

См. также

© WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

Некоторые маршрутизаторы DSL предотвращают замыкание на себя NAT. В качестве причины иногда называют безопасность. Является ли петля NAT действительно проблемой безопасности? И если да, то как это используется?

Закольцовывание NAT. где машина в локальной сети может получить доступ к другой машине в локальной сети через внешний IP-адрес локальной сети/маршрутизатора (с настроенной на маршрутизаторе переадресацией портов для направления запросов на соответствующую машину в локальной сети). Без обратной связи NAT вы должны использовать внутренний IP-адрес устройства в локальной сети.

EDIT: упоминания о безопасности, по общему признанию, взяты из неофициальных источников, поэтому я хотел бы уточнить это.

Это не ошибка. Большинство маршрутизаторов не будут отправлять и получать данные через один и тот же интерфейс (петля), так как это представляет угрозу безопасности.

Как сетевой инженер, я ежедневно работаю с маршрутизаторами Cisco и Brocade, и они не допускают замыкания на себя из-за присущих им проблем с безопасностью. BT приняла подход, согласно которому безопасность очень важна, и, как и в случае с маршрутизаторами корпоративного класса, петля не разрешена.

Многие DSL-маршрутизаторы/модемы предотвращают петлевые соединения из соображений безопасности.

Честно говоря, до сих пор я всегда предполагал, что отказ от поддержки замыкания на себя NAT был просто сбоем в оборудовании/прошивке, а не «функцией безопасности»?! Это упущение - гораздо большая проблема, ИМХО. (Если вы не догадались, мой маршрутизатор не поддерживает петлю NAT.)

Без конкретного сценария атаки, четко определенной угрозы, четко определенного события, которое должно не произойти . это утверждение о «безопасности» не имеет никакого смысла.

«по общему признанию, из неофициальных источников» проблема здесь не в неофициальном. Проблема в том, что "не будет отправлять и получать данные через один и тот же интерфейс (Loopback), так как это представляет угрозу безопасности" - это бред. Какое устройство не "отправляет и получает данные через один и тот же интерфейс".

@IsziRoryorIsznti "loopback" не имеет ничего общего с "LAND", спуфингом исходного адреса или любой другой атакой IP. Сеанс обратной связи на устройстве NAT запускается пакетом TCP или UDP с адресом назначения, который является внешним (обычно общедоступным, Интернет) IP-адресом устройства NAT, и исходным IP-адресом, который является внутренним (обычно частным, не- Интернет) адрес

Бит "безопасность", вероятно, относится к bogon-трафику; теоретически, если интерфейсы in и out одинаковы, то ваш маршрутизатор вообще не должен видеть трафик. Строго говоря, это не так, но некоторые люди притворяются, что это так.

3 ответа 3

Большинство маршрутизаторов потребительского класса не имеют никаких запретов на это, они просто не работают.

Представьте себе следующий сценарий. Это не гипотетически, просто запустите tcpdump на своем компьютере, и вы увидите, как это происходит прямо сейчас. Снято из моего ddwrt Buffalo несколько минут назад, просто для проверки.

Игроки: [Маршрутизатор: 10.0.0.1] [Компьютер1: 10.0.0.3] [Компьютер2: 10.0.0.4]
Внешний IP-адрес: 99.99.99.99, переадресован на Компьютер2

Компьютер 1 – маршрутизатор [10.0.0.3 -> 99.99.99.99]

Маршрутизатор использует DNAT для изменения пункта назначения на 10.0.0.4 и отправляет его обратно в локальную сеть:
Маршрутизатор на компьютер2 [10.0.0.3 -> 10.0.0.4]

Компьютер2 пытается ответить на пакет, отправив его на исходный IP-адрес.
Компьютер2 на Компьютер1 [10.0.0.4 -> 10.0.0.3]

Компьютер1: Какого черта?
Компьютер 1 ожидал ответа от 99.99.99.99, а получил ответ от 10.0.0.4. Адреса не совпадают, ошибка подключения, пакет RST отправлен обратно.

Теперь вы спросите, почему маршрутизатор не подключает SNAT-соединение от компьютера1 к внутреннему IP-адресу маршрутизатора, когда он подключает его к компьютеру2? Потому что правило SNAT испортит весь остальной трафик, который не соответствует описанному выше шаблону.

На самом деле SNAT следует использовать только в одном направлении, если только вы не готовы тратить много времени и усилий на создание и поддержку набора правил NAT, который вас не укусит.

И чтобы упредить любого, кто говорит, как насчет этого:

Я хотел бы отметить, что это правило повлияет не только на трафик NAT-loopback, но и на трафик bridge (например, между сетью WiFi и проводной сетью), что приведет к поломке маршрутизатора WiFi. Правило должно быть настроено так, чтобы оно соответствовало ТОЛЬКО петлевому трафику, что немного сложнее и, вероятно, включает маркировку пакетов. Не невозможно, но это не тот вид проектирования и отладки, который используется в большинстве маршрутизаторов; и, безусловно, таит в себе опасность.

Глоссарий:
SNAT = NAT источника (изменение IP-адреса источника)
DNAT = NAT назначения (изменение IP-адреса назначения)
NAT = преобразование сетевых адресов< /p>

Читайте также: