Динамический[править]
Есть пул белых адресов, например, провайдер выделил сеть 198.51.100.0/28 с 16-ю адресами. Два из них (первый и последний) — адрес сети и широковещательный, ещё два адреса назначаются на оборудование для обеспечения маршрутизации. Двенадцать оставшихся адресов можно использовать для NAT и выпускать через них своих пользователей.
Ситуация похожа на статический NAT — один приватный адрес транслируется на один внешний, — но теперь внешний не чётко зафиксирован, а будет выбираться динамически из заданного диапазона. Проблема подхода такая же, как и в случае со статическим NAT — не решается проблема ограниченности белых адресов.
UDP hole punching[править]
Алгоритм установления UDP сессии между 2 хостами находящимися за NATправить
Hole punching предполагает, что два клиента, и , уже имеют UDP сессию с сервером . Когда клиент начинает сессию с , сервер сохраняет две пары значений для этого клиента: пару IP адрес и UDP порт, которые клиент указывает при отправке пакета в поле отправителя, чтобы говорить с , и пару IP адрес и UDP порт отправителя, которые сервер наблюдает при получении пакета. Первую пару будем называть приватным адресом, а вторую публичным. Приватный адрес сервер может получить от самого клиента в теле сообщения в поле регистрации клиента, а публичный адрес клиента он может посмотреть в поле отправителя в заголовках IP и UDP этого сообщения. Если клиент не за NAT, то его приватный и публичный адрес должны совпадать.
Предположим , что клиент хочет установить UDP сессию непосредственно с клиентом . Hole punching происходит следующим образом :
- изначально не знает , как связаться с , поэтому просит помощи у в создании UDP сессии с .
- отвечает сообщением , содержащим приватный и публичный адрес . В то же время, отправляет сообщение с запросом на соединение, содержащее приватный и публичный адрес . После того, как эти сообщения будут получены, и знают приватные и публичный адреса друг друга.
- Когда получает приватный и публиный адреса от , начинает посылать UDP пакеты по обоим адресам, и фиксирует как правильный тот адрес, с которого первым пришел ответ от . Аналогичным образом, когда получает приватный и публичный адрес , он начинает посылать UDP пакеты по обоим адресам. Порядок и время доставки этих сообщений не имеет решающего значения, так как они являются асинхронными.
Если и находятся за одним и тем же NAT-ом, то они соединятся через приватные адреса, иначе через публичные. На картинке показан пример, когда и находятся за разными NAT-ами.
Альтернативные решения
A10 Networks Thunder
Среди плюсов пользователи называют демократичное ценообразование без внезапных изменений. Также клиентам нравится высокая надежность решения, редкие отказы, простота использования, интуитивно понятный графический интерфейс, подробная и логичная документация. Среди минусов пользователи называют проблемы решения с отслеживанием одновременного использования нескольких портов.
F5 BIG-IP
Здесь пользователям нравится простота использования, хорошая система защиты от несанкционированного проникновения извне и большое количество доступных и гибких в настройке функций. Среди минусов говорят об иногда проседающей скорости и периодически возникающих проблемах с подключением. Также отмечается, что решение дает мало информации в случае возникновения проблем — не очень ясно, как именно можно исправить ситуацию.
Cisco ASR 9000
В качестве плюсов пользователи отмечают знакомую и привычную многим экосистему Cisco, надежность и простоту в использовании. Из минусов озвучивают не очень хорошую документацию, а также иногда встречающиеся ошибки во внутренней архитектуре.
При желании, вы можете потратить время своих технических специалистов и реализовать CG-NAT самостоятельно. На тематических информационных ресурсах есть примеры успешных кейсов такого рода. Из плюсов можно отметить полный контроль решения с вашей стороны — ваши инженеры, скорее всего, будут точно понимать его устройство. Главный же минус здесь в том, создание функциональности CG-NAT своими силами — это постоянная тяжелая работа, требующая ресурсов. Скорее всего, для очень многих компаний более оправданно будет воспользоваться готовым решением. Например, Carrier Grade NAT от VAS Experts, которое мы сейчас и рассмотрим.
SNAT по запросу при использовании нескольких IP-адресов для масштабирования
NAT использует «преобразование сетевых адресов портов» (PNAT или PAT), которое рекомендуется для большинства рабочих нагрузок. Динамические или дивергентные рабочие нагрузки можно легко разместить с помощью выделения исходящего потока по запросу. Исключается расширенное предварительное планирование, предварительное распределение и, как следствие, избыточная подготовка исходящих ресурсов. Ресурсы портов SNAT являются общими, доступны во всех подсетях, использующих конкретный ресурс шлюза NAT, и предоставляются при необходимости.
По одному общедоступному IP-адресу NAT можно выполнять до 64 000 параллельных потоков UDP и TCP соответственно.
Ресурс шлюза NAT может использовать следующее:
- Общедоступный IP-адрес
- Префикс общедоступного IP-адреса
Оба типа могут быть связаны с шлюзом NAT.
Можно использовать один IP-адрес и вертикально увеличить масштаб до 16 IP-адресов.
Подсети в виртуальной сети связаны с шлюзом NAT для обеспечения исходящих подключений. Шлюз NAT будет использовать для подключений все IP-адреса, связанные с ресурсом.
Шлюз NAT позволяет создавать потоки из виртуальной сети в Интернете. Возврат трафика из Интернета разрешен только в ответ на активный поток.
В отличие от исходящих SNAT-подключений подсистемы балансировки нагрузки, шлюз NAT не имеет ограничений на то, какой частный IP-адрес экземпляра виртуальной машины может устанавливать исходящие подключения. С помощью основного и дополнительного IP-адресов можно создавать исходящие подключения с NAT.
Настройки NAT, как сделать его открытым
Чтобы настроить NAT в роутере, нужно зайти в браузер, набрать 192.168.1.1 или 192.168.0.1 (адрес роутера) после чего потребуется ввести логин с паролем (обычно Admin/Admin). Затем находится поле Configuration (настройки), потом Network (сеть) и Routing (маршруты или маршрутизация). В новом окне выбирают Policy Routing (новое правило). Здесь задаются условия маршрутизации. Выбрать можно по различным свойствам, таким, как: пользователи, интерфейсы, IP-адрес источников или получателей, порт назначения.
Задаем условия трафика, там есть несколько назначений: Auto перенаправит трафик в глобальный интерфейс, который указан по умолчанию, Gateway на адрес, имеющийся в настройках, Trunk — на несколько интерфейсов, Interface – на тот интерфейс, который указан.
На сервере настраивается следующим образом: в начале находится Диспетчер сервера, на который щёлкают мышкой, потом в новом окошке на добавить роли и компоненты, затем далее, устанавливают удалённый доступ, потом добавить компоненты и продолжить. Затем выбирают службы ролей и отмечают маршрутизация, нажимают на далее. В самом конце на закрыть.
Работа с дисками в Windows
После подключения компьютера к серверу необходимо его настроить в NAT. В меню пуск находится окно администрирование — маршрутизация и удалённый доступ. Для активации нужно нажать на «включить маршрутизацию и удалённый доступ». Затем на «далее» и выбрать преобразование сетевых адресов NAT. Потом нажимаем на интернет и включаем базовые службы назначения. Продолжаем несколько раз нажимать на «далее» и последний раз на «готово».
Сделать NAT открытым может помочь провайдер с которым клиент заключил договор на поставку интернет услуг, просто необходимо обратиться к нему с этим вопросом.
Types
There are 4 types of NAT that can be used to address different kinds of situations and scenarios. Below are the description and samples for reference:
Overloading or Port Address Translation (PAT)
Port Address Translation is one of the most common NAT systems in use. Multiple connections from a various internal hosts are multiplexed to create a single public IP address that makes use of different source port numbers. A maximum of 65,536 internal connections can be be translated into a single public IP. This makes it very efficient for situations where a service provider has assigned only a single public IP address.
Dynamic NAT
A Dynamic NAT relies on a pool of different public IP addresses that are used for specific private networks. These are assigned by the local internet service provider. For this type of NAT, any internal host that wants to access the internet will have its private IP address translated by the NAT router to the first available public IP in the public pool.
Еще немного про порты и другие нюансы
Многие программы (не только лишь все) имеют вшитые порты без возможности перенастройки, либо, к примеру, у вас есть два Веб-сервера на винде (так называемый IIS), которые работают на 80 порту каждый и вам нужно дать доступ из интернета на оба сервера.
Здесь вы откроете на роутере одному серверу порт 80, а оставшемуся вам придется выбрать другой порт (например 8080).
Итого, на роутере мы настраиваем порты таким образом:
Имя | Приложение | Внутренний IP | Внутренний порт | Внешний IP | Внешний порт |
Сервер 1 | Teamspeak | 192.168.1.2 | 9987* | 87.123.41.12 | 9987 |
Сервер 2 | FTP сервер | 192.168.1.3 | 21* | 87.123.41.12 | 21000 |
Сервер 3 | Веб-сервер | 192.168.1.4 | 80* | 87.123.41.12 | 80 |
Сервер 3 | Веб-сервер | 192.168.1.4 | 443* | 87.123.41.12 | 444 |
ПК 1 | uTorrent | 192.168.1.10 | 26000 | 87.123.41.12 | 26000 |
ПК 2 | Bit-Torrent | 192.168.1.20 | 26100 | 87.123.41.12 | 26100 |
ПК 2 | Game Server | 192.168.1.20 | 27015* | 87.123.41.12 | 27015 |
ПК 1 | RDP | 192.168.1.10 | 3389** | 87.123.41.12 | 33891 |
ПК 2 | RDP | 192.168.1.20 | 3389** | 87.123.41.12 | 33892 |
Где * — стандартный порт, который использует программа (т.е. вы ее установили и ничего не настраивали);
** — стандартный порт, который использует сервис и который нельзя сменить.
Наглядная схемка ниже:
Теперь я постараюсь объяснить почему я написал именно эти порты.
Список официальных нац
Традиционные подношения бананов и кокосов в храме нат.
Ме Вунна со своими сыновьями Мин Ги и Мин Лэй на горе Попа
Король Анорахт Багана (1044-1077) назначен официальный пантеон 37 Great Nats после того, как он не смог обеспечить соблюдение запрета на физ поклонения. Его уловка включения в конечном итоге увенчалась успехом: принесение натов в пагоду Швезигон изображало поклонение Гаутаме Будде и привлечение Шакры , буддийского защитного божества , во главе пантеона над натами Махагири в качестве Тагьямина . Семь из 37 великих натов, по-видимому, напрямую связаны с жизнью и временами Анаврахты.
Официальный пантеон состоит преимущественно из тех , кто из королевских домов бирманской истории , но также содержит Nats из тайского (Юна Бейина) и Shan (Maung Po Tu) происхождения; на их иллюстрациях они изображены в бирманских королевских платьях. В списке в надлежащем порядке они:
- Тагьямин ( သိကြားမင်း )
- Мин Махагири ( မင်း မဟာ ဂီရိ )
- Hnamadawgyi ( နှမ တော်ကြီး )
- Шве Набай ( ရွှေ နံ ဘေး )
- Тонбанхла ( သုံး ပန် လှ )
- Таунгу Мингаунг ( တောင်ငူ မင်းခေါင် )
- Минтара ( မင်း တရား )
- Тандавган ( သံ တော် ခံ )
- Шве Наврахта ( ရွှေ နော် ရ ထာ )
- Аунгзвамаги ( အောင် စွာ မ ကြီး )
- Нгази Шин ( ငါး စီး ရှင် )
- Аунг Пинле Синбюшин ( အောင်ပင်လယ် ဆင်ဖြူ ရှင် )
- Таунгмаги ( တောင် မ ကြီး )
- Маунгминшин ( မောင်မင်း ရှင် )
- Шиндо ( ရှင် တော် )
- Ньяунгинь ( ညောင် ချင်း )
- Табиншвехти ( တ ပင် ရွှေ ထီး )
- Минье Аунгдин ( မင်း ရဲ အောင် တင် )
- Шве Ситтин ( ရွှေ စစ် သင် )
- Медо Швезага ( မယ်တော် ရွှေ စကား )
- Маунг По Ту ( မောင် ဘိုးတူ )
- Юнь Баин ( ယွန်း ဘုရင် )
- Маунг Минбю ( မောင်မင်း ဖြူ )
- Мандалай Бодау ( မန္တလေး ဘိုးတော် )
- Шве Хпьин Наунгдо ( ရွှေ ဖျင်း နောင်တော် )
- Шве Хпин Ньидо ( ရွှေ ဖျင်း ညီတော် )
- Минта Маунгшин ( မင်းသား မောင်ရှင် )
- Htibyuhsaung ( ထီး ဖြူ ဆောင်း )
- Htibyuhsaung Medaw ( ထီး ဖြူ ဆောင်း မယ်တော် )
- Парейнма Шин Мингаунг ( ပ ရိမ္ မရှင် မင်းခေါင် )
- Мин Ситу ( မင်း စည်သူ )
- Мин Кьяузва ( မင်း ကျော်စွာ )
- Мяухпет Шинма ( မြောက်ဘက် ရှင် မ )
- Анаук Мибая ( အနောက် မိ ဘုရား )
- Сингон ( ရှင် ကုန်း )
- Шингва ( ရှင် ကွ )
- Шин Неми ( ရှင် နဲ မိ )
Функционирование
Преобразование адреса методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника (англ. source) при прохождении пакета в одну сторону и обратной замене адреса назначения (англ. destination) в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.
Принимая пакет от локального компьютера, роутер смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Но ведь обратным адресом в пакете указан локальный адрес компьютера, который из интернета будет недоступен. Поэтому роутер «на лету» транслирует (подменяет) обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, роутер сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, роутер сотрет у себя в таблице запись об n-ом порте за сроком давности.
Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет) часто применяется также destination NAT, когда обращения извне транслируются межсетевым экраном на компьютер пользователя в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).
Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).
Статический NAT — Отображение незарегистрированного IP-адреса на зарегистрированный IP-адрес на основании один к одному. Особенно полезно, когда устройство должно быть доступным снаружи сети.
Динамический NAT — Отображает незарегистрированный IP-адрес на зарегистрированный адрес из группы зарегистрированных IP-адресов. Динамический NAT также устанавливает непосредственное отображение между незарегистрированными и зарегистрированными адресами, но отображение может меняться в зависимости от зарегистрированного адреса, доступного в пуле адресов, во время коммуникации.
Перегруженный NAT (NAPT, NAT Overload, PAT, маскарадинг) — форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation). При перегрузке каждый компьютер в частной сети транслируется в тот же самый адрес, но с различным номером порта.
Типы NAT
Классификация NAT, часто встречающаяся в связи с VoIP. Термин «соединение» использован в значении «последовательный обмен пакетами UDP».
Симметричный NAT (Symmetric NAT) — трансляция, при которой каждое соединение, инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом инициация соединения из публичной сети невозможна. [источник не указан 800 дней]
Cone NAT, Full Cone NAT — Однозначная (взаимная) трансляция между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).
Address-Restricted cone NAT, Restricted cone NAT — Постоянная трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
Port-Restricted cone NAT — Трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на внутренний хост только с одного порта публичного хоста — того, на который внутренний хост уже посылал пакет.
Настройка NAT на маршрутизаторе
Что такое NAT в роутере, целесообразность его использования и проблемы, которые он может создать было описано выше, теперь можно перейти непосредственно к реализации задачи. Настройка службы на роутере зависит от его модели, используемой прошивки и других параметров. Но достаточно понять механизм, чтобы не возникало сложностей и вопросов по настройке отдельного устройства. Для настройки выполняются следующие действия (в качестве примера настройки выполняются на роутере Zyxel на прошивке v1):
- В браузере зайти на страницу настроек роутера.
- Перейти в меню «Network – Routing» на вкладку «Policy routing».
Открывшаяся страница и будет той, которая управляет политиками доступа и маршрутизацией. Здесь необходимо включить службу, активировав переключатель в положение «Enable». Сами настройки выполняются в группе «Criteria». Выбираются параметры NAT по нескольким категориям фильтров:
- User — трансляция по определенному пользователю.
- Incoming — по сетевому интерфейсу.
- Source Address — подмена адреса по адресу источника.
- Destination Address — по адресу конечного получателя
- Service — по конкретному порту службы.
В качестве объекта перенаправления можно выбрать следующие варианты:
- Auto — автоматический выбор объекта назначения. По умолчанию установлен Wan интерфейс.
- Gateway — шлюз, указанный заранее в настройках.
- VPN Tunel — соответственно через VPN туннель.
- Trunk — диапазон интерфейсов, настроенных на совместную работу.
- Interface — конкретный интерфейс по выбору.
В каждом отдельно взятом роутере настройки и название пунктов меню может отличаться, но принцип построения NAT остается неизменным.
Типы NAT
Static NAT
Как правило, не используется физическими лицами для их потребностей, а применяется компаниями, в которых есть много IP адресов с необходимостью, чтобы они для некоторых серверов оставались постоянными и были доступны из вне. Чтобы открыть какой-нибудь сервис (почта, сайт и т.д.) необходимо знать 2 параметра: IP адрес (DNS имя) и порт. При этом порт обычно не вводится (если он не был изменен), поскольку программы вводят его автоматически и, следовательно, пользователь даже не задумывается о его наличии. Для того чтобы другие пользователи глобальной паутины могли работать с определённым компьютером, им необходимы знать его IP (DNS имя) и порт сервиса.
Если у человека статический Network Address Translation и один компьютер в сети, то знать порт не обязательно, достаточно будет знания IP. Чтобы ограничить доступ, нужна установка межсетевого экрана.
Чтобы было понятнее, можно провести такую аналогию: IP адрес — это чей-то дом, а порт – его квартира. Чтобы человека нашли, нужно знать и то и другое.
Как это работает. Допустим, провайдер выдал 4 IP для 3-х серверов. Роутеру назначается первый, а остальные достаются серверам. Чтобы на них смогли попасть достаточно указать внешние IP, например, второй, а роутер всё равно перенаправит на первый сервер. Человек попадает на сервер, работает на нём, но не знает, что его адрес иной. Запись будет храниться об этом в таблице NAT.
Есть положительные моменты: адреса пользователя не видны, но он сам виден из интернета. Минусы: любому другому пользователю будет просто совершить попытку взлома его компьютера.
Программы для очистки компьютера от мусора
Dynamic NAT
В отличие от статического имеет одно исключение: из глобальной паутины нет возможности увидеть сервера, с которыми производится работа. Клиент получает несколько IP, но здесь их распределяет роутер. Когда клиент находится в интерне, роутер сам выбирает среди полученных один адрес, выдаёт его и заносит в таблицу Network Address Translation. Но сама запись долго не хранится, когда пользователь вышел из интернета она вытирается из таблицы.
Большим недостатком является то, что необходимое число входов в глобальную паутину не может быть больше количества IP адресов, которые выдал провайдер. Пока не найдутся свободные, новые пользователи не смогут подключиться к компьютеру. Но по сравнению с первым типом есть большое превосходство, другие пользователи не смогут свободно зайти на жёсткий диск компьютера, так как адреса постоянно меняются. Также самим клиентам не надо распределять IP адреса, их распределит роутер.
Port Address Translation (PAT), NAT Overload и Masquerading
Данный тип актуальнее физическому лицу, поскольку выдается единственный внешний адрес, а пользователь только назначает порт любому серверу. Скажем, кому-то необходимо, чтобы к нему могли зайти в торрент, для этого понадобятся не только внутренние, но и внешние порты. Программой используется внутренний порт только на компьютере, на котором она установлена. С других же машин будут подключаться к внешнему порту, находящемуся на роутере. Очень часто, но не всегда они совпадают.
У данного метода есть преимущество: доступ открыт для определённой программы, все остальное закрыто. А недостаток в том, что очень часто порты нужно настраивать вручную.
Популярные нац фестивали
Гора Попа и Таунг Калат слева от снимка, вид издалека через высохшее русло реки
Предложения спирта и спиртных напитков до Min Kyawzwa в виде физ PWE в Амарапуру
Самое важное нац место паломничества в Бирме гор Поп , потухший вулкан с многочисленными храмами и реликтовыми участками на вершине горы 1300 метров , расположенной рядом с Баган в центральной Бирме. Ежегодный фестиваль проводится в полнолуние месяца Натдау (декабрь) по бирманскому календарю
Таунгбёне, к северу от Мандалая в городке Мадайя , является еще одним крупным местом, где фестиваль проводится каждый год, начиная с одиннадцатого дня растущей луны и включая полнолуние в месяце Вагаунг (август). Яданагу в Амарапуре , проводимый неделей позже в честь Попа Медо («Мать Попы»), которая была матерью Таунгбёне Мин Ньинаунг («Братья Лорды»), также является популярным фестивалем нат.
Натам приписываются человеческие характеристики, желания и потребности; они ошибочны, поскольку их желания считаются унизительными и аморальными в господствующем буддизме. Во время физ PWE , что фестиваль , во время которого Nats умиротворены, Nat kadaw с ( နတ်ကတော် «жена духа», то есть « среда , шаман ») танцуют и воплощают в нац . Исторически профессия нат кадау передавалась по наследству от матери к дочери. До 80-х годов ХХ века было немного мужчин. С 1980-х годов эти роли все чаще выполняли люди, которых посторонние считали транс-женщинами .
Музыка, часто сопровождаемая hsaing waing («оркестр»), значительно усиливает настроение nat pwè , и многие приходят в восторг . Люди приезжают издалека, чтобы принять участие в празднествах в различных святынях, называемых нат кун или нат наан , напиться пальмового вина и дико танцевать в припадках экстаза под дикие ритмы саинг-музыки, одержимой натами .
Принимая во внимание, что nat pwè s — это ежегодные мероприятия, посвященные определенному члену 37 великих натов, считающемуся опекуном духа в местном регионе в пределах местного сообщества, с семейными хранителями места и традиций и с королевским покровительством в древние времена, следовательно, вызывающими воспоминания о королевской власти. ритуалы, есть также nat kannah pwès, когда люди устанавливают павильон по соседству, и ритуал обычно связан со всем пантеоном натсов
Физ kadaw S в качестве независимой профессии появилась во второй половине 19 — го века в качестве медиумов, и физ kannah s является более городским явлением , которое эволюционировало , чтобы удовлетворить потребности людей , которые мигрировали из сельской местности в города и города , но которые хотели бы продолжить свои традиции или йо-я в мольбе ми hsaing гП hsaing опекунских божеств их родные места.
Настройка NetMap
После создания VPN интерфейса, можно приступить к настройке
Важно заметить, что вы можете настроить на любом протоколе VPN, будь то PPTP, SSTP или даже EoIP. Создадим фейковые маршруты. Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24
А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24
Роутер первого офиса, будет думать, что второго офиса это 192.168.102.0/24. А роутер второго офиса, будет думать, что сеть первого – 192.168.101.0/24.
Параметры маршрутизации Office-1.
Параметры маршрутизации Office-2.
Финт ушами с маршрутизацией только начало. Далее настраиваем NAT правила (IP-Firewall-NAT).
Создаем второе правило.
Переключимся на второй офис и сделаем обратные правила.
Аналогично второе правило.
То же самое, но в CLI
На Office-1:
На Office-2:
Проверим, отправив эхо-запросы с Office-1-PC.
Посмотрим, что происходит внутри туннеля.
На восприятие для первого раза сложновато. Логика, следующая:
Когда Office-1-PC отправляет пакет с src 192.168.0.10 и dst 192.168.102.10, принимая роутер на Office-1 подменяет src на 192.168.101.10 и отправляет в трубу. Когда роутер на Office-2 принимает пакет с dst 192.168.102.10/24, то подменяет на 192.168.0.10. Далее Office-2-PC отвечает на 192.168.101.10, пакет прилетает на роутер Office-2, подменяет src адрес 192.168.0.10 на 192.168.102.10, отправляет в трубу. Последний, приняв пакет с dst 192.168.101.10 подменяет на 192.168.0.10, и такая процедура создает бесконечность, благодаря Packet Flow Diagram v6. Весь секрет успеха кроется в том, что SRC проверяется в Prerouting, а DST в Postrouting.
Как вы видите, данная технология подменяет адрес сети, ориентируясь на значение маски, а все что идет после нее, оставляет неизменным. Теперь, вы понимаете, что такое и как работает NetMap и чем он отличается от DST-NAT, такой принцип не только на Микротик но и на других сетевых устройствах.
NAT: общие определения
NAT (network address translation) или трансляция сетевых адресов — это процесс перевода внутренних или локальных адресов во внешние. NAT используется абсолютно всеми маршрутизаторами независимо от их конфигурации, назначения и стоимости. По умолчанию роутер запрещает напрямую обращаться к любому устройству, находящимися внутри сети. Он блокирует доступ на любые порты для входящих соединений поступающие из интернета.
Но NAT и Firewall это суть разные понятия. Firewall просто запрещает доступ к ресурсу по определенному TCP или UDP порту, может устанавливаться на локальной машине для ограничения доступа только к ней или же на сервере для фильтрации трафика по всей локальной сети. Перед NAT задача стоит более развернуто. Сервис запрещает или разрешает доступ внутри сети по конкретному IP адресу или диапазону адресов. Таким образом клиент, который обращается к ресурсу не видит действительного IP адреса ресурса. NAT переводит внутренний IP в адрес, который будет виден из интернета.
Чтобы проверить находится ли компьютер за NAT или транслирует в интернет реальный адрес можно следующим образом:
- в Windows нужно нажать «Пуск — Выполнить — cmd» и прописать ipconfig и нажать «Ввод»;
- в Linux и MacOS в терминале выполняется ifconfig.
Вывод команды показывает следующие данные:
- IP — реальный, действительный адрес компьютера;
- Subnet mask — маска подсети;
- Gateway — адрес шлюза маршрутизатора.
Как теперь разобрать является ли адрес локальным или же напрямую «смотрит» в интернет. Согласно спецификации, существует четыре диапазона адресов, которые ни при каких обстоятельствах не используются в интернете, а являются исключительно локальными:
- 0.0.0 — 10.255.255.255
- Х.0.0 — 172.Х.255.255, где Х в диапазоне от 16 до 31.
- 168.0.0 — 192.168.255.255
- 254.0.0 — 169.254.255.255
В том случае, когда адрес машины попадает в один из этих диапазонов, следует считать, что компьютер находится в локальной сети или «за» NAT. Можно также дополнительно использовать специальные службы, которых есть множество в интернете для определения реального IP адреса. Теперь стало понятнее находится ли компьютер за NAT в роутере что это за сервис, и за то он отвечает.
Краткие выводы
Главное отличие команды ip nat outside source list (динамическое преобразование NAT) от команды ip nat outside source static (статическое преобразование NAT) состоит в том, что записи в таблице преобразования отсутствуют до тех пор, пока маршрутизатор (настроенный для NAT) не проверит критерии преобразования пакета. В вышеуказанном примере пакет с SA-адресом 172.16.88.1 (поступающий из внешнего интерфейса маршрутизатора 2514X) соответствует списку доступа 1. Эти критерии используется командой ip nat outside source list . По этой причине пакеты, исходящие из внешней сети, должны существовать прежде, чем пакеты из внутренней сети смогут взаимодействовать с интерфейсом loopback0 маршрутизатора 2514W.
Обратите внимание на два важных момента в этом примере. Во-первых, когда пакет поступает из внешней сети во внутреннюю, сначала происходит трансляция, а потом для определения места назначения проверяется таблица маршрутизации
Когда пакет поступает из внутренней сети во внешнюю, сначала для определения места назначения проверяется таблица маршрутизации, а потом происходит трансляция
Во-первых, когда пакет поступает из внешней сети во внутреннюю, сначала происходит трансляция, а потом для определения места назначения проверяется таблица маршрутизации. Когда пакет поступает из внутренней сети во внешнюю, сначала для определения места назначения проверяется таблица маршрутизации, а потом происходит трансляция.
Во-вторых, необходимо определить, какая часть IP-пакета преобразуется при использовании каждой из описанных выше команд. В следующей таблице даны рекомендации:
Команда |
Действие |
---|---|
ip nat outside source list |
|
ip nat inside source list |
|
Из вышесказанного понятно, что существует несколько способов трансляции пакета. В зависимости от конкретных требований следует задать способ определения интерфейсов NAT (внутренний или внешний), а также какие маршруты должна содержать таблица маршрутизации до или после трансляции. Помните, что часть преобразуемого пакета зависит от направления передачи пакета и от настройки NAT.