- Вопрос или проблема
- Ответ или решение
- Теория: Нюансы NAT и двойной NAT
- Пример: Ваш текущий сценарий
- Применение: Решение проблемы
- 1. Перевод маршрутизатора Archer C6 в режим точки доступа (AP):
- 2. Настройка статического IP для сервера:
- 3. Корректировка правил проброса портов на ISP-модеме:
- 4. Проверка подключения и диагностика:
- Заключение
Вопрос или проблема
Я новичок в сетевых технологиях, и уже несколько дней борюсь с настройкой сервера в моей локальной сети: что бы я ни делал, я не могу получить к нему доступ, используя мой публичный IP. У меня есть модем Technicolor TC7200 от провайдера и маршрутизатор TP-LINK Archer C6, к которым я оба имею доступ.
На стороне моего маршрутизатора (Archer C6):
- Я настроил доступ к WAN, используя статический IP 192.168.0.24
- Сделал резервирование DHCP для ПК, который хостит сервер
- Создал виртуальный сервер на порту 25501 для TCP/UDP, используя локальный IP зарезервированного ПК.
На стороне моего ПК:
- Я создал правила брандмауэра (входящий и исходящий) для разрешения трафика на 25501 для TCP и UDP
- Использую динамический IP для сети, не должен ли мне понадобиться статический IP от Windows из-за резервирования DHCP?
На стороне модема провайдера:
- Я открыл 25501 для TCP и UDP с внутренним IP маршрутизатора (192.168.0.24). Внешний IP оставил 0.0.0.0, но я пробовал использовать и мой публичный IP, ничего не изменилось.
- В качестве альтернативы я попробовал настроить DMZ-хост для моего маршрутизатора (192.168.0.24), но это тоже не сработало.
Есть идеи, какие настройки могут быть важными и которые я мог бы пропустить или неправильно настроить? Я использую онлайн-инструмент проверки открытых портов, а также пытаюсь получить доступ к серверу, используя мой публичный IP, но безуспешно.
На стороне маршрутизатора и модема я не смог найти подробные журналы трафика, так что я даже не уверен, как определить, какое из двух устройств является проблемой. Я могу получить доступ к серверу с моего ПК по IP, так что предполагаю, что здесь все в порядке. Любая помощь в этом направлении была бы признательна.
EDIT: Предоставляю больше информации по запросу:
Я пытался получить доступ через мобильную сеть, но не удалось. Также инструмент проверки открытых портов сообщает, что порт недоступен.
ПК (который хостит сервер)
IP: Автоматический (DHCP) – полагается на резервирование DHCP, зарезервирован на 192.168.1.103
Что касается маски и шлюза, насколько мне известно, это не относится к ПК, только к маршрутизаторам/модемам?
Информация о Archer C6:
Подключение: Статический IP IP: 192.168.0.24 (под значком LAN указано IP 192.168.1.1, и это то, что я использую в браузере для доступа к настройкам маршрутизатора)
Подсеть: 255.255.255.0
Шлюз по умолчанию: 192.168.0.1
Насколько я понимаю, 192.168.0.24 должен быть IP, который видит модем провайдера, и это то, что я использовал для настройки NAT на стороне модема.
Информация о модеме:
IP: 192.168.0.1 (шлюз такой же)
Подсеть: 255.255.255.0
На модеме я перенаправляю 25501 на 192.168.0.24, на archer c6 я добавляю виртуальный сервер для 25501 на 192.168.1.103.
Вы используете NAT за NAT, что вызывает проблемы, такие как эта, с которой вы столкнулись.
Было бы намного проще изменить вашу настройку так, чтобы у вас была только одна внутренняя сеть, например 192.168.0.0.
- Переключите ваш Archer в режим точки доступа (AP), вместо того чтобы использовать его как еще один маршрутизатор. Возможно, есть настройка для этого, но если нет, вы можете сделать это вручную. Установите статический LAN-адрес для Archer, отключите DHCP и используйте один из портов LAN для подключения его к маршрутизатору провайдера. Таким образом, только ваш маршрутизатор будет выдавать адреса в диапазоне 192.168.0/24.
- Перезагрузите ваш сервер/ПК, чтобы получить новый IP-адрес. Или, что лучше, дайте ему статический IP-адрес.
- Перенастройте правила переадресации на маршрутизаторе провайдера для переадресации на новый IP-адрес сервера. Убедитесь, что правила переадресации на Archer не активны.
Теперь ваша сеть выглядит примерно так:
- Маршрутизатор провайдера 192.168.0.1, DHCP включен, переадресация на сервер включена
- Archer C6 в режиме точки доступа. Статический IP-адрес 192.168.0.x (.24 был нормальным) Без DHCP, без маршрутизации/переадресации
- Ваш ‘сервер’. В идеале, также дайте ему статический IP, чтобы ваши правила переадресации оставались актуальными, и вам не пришлось бы их менять, если IP изменится. например, IP 192.168.0.50, МАСКА 255.255.255.0, ШЛЮЗ 192.168.0.1
- Другие устройства в вашей сети. Они получают свои IP динамически от DHCP
Если у вас нет особой необходимости в отдельных сетях, я выбрал бы этот способ, чтобы избежать подобных проблем в будущем.
Добавлено в ответ на комментарий:
Выбор вашего собственного маршрутизатора
Это будет зависеть от вашего провайдера. Если ваш провайдер и его маршрутизатор поддерживают это, устройство можно перевести в режим моста. В этом режиме оно будет работать только как модем, и все его возможности Wi-Fi, маршрутизации и т.д. будут отключены. Ваш собственный маршрутизатор получит WAN-адрес от провайдера и будет управлять всем оттуда. (режим моста не следует путать с Wi-Fi мостом)
Почему не стоит использовать двойной NAT
Вы уже узнали! Помимо усложнения задач для вас, администратора, некоторые (в основном старые) программы совсем откажутся функционировать должным образом. Несмотря на то, что двойной NAT должен работать для вас (так, как вы его настроили), он не работает, и когда не работает, это сущий ад выяснить, почему. Ваша проблема может даже не быть связана с двойным NAT!
Что еще может вызвать проблему?
NAT Hairpinning: вы пытаетесь получить доступ к своему серверу через внешний подключение, находясь внутри своей собственной сети. То есть с ПК внутри 192.168 пытаетесь подключиться к своему собственному WAN.IP. Некоторые маршрутизаторы с этим не справляются.
CG-NAT: Carrier-Grade NAT. Поскольку у провайдеров дефицит IPv4-адресов, они тоже могут использовать некоторые технологии NAT и размещать нескольких людей под одним WAN IP. Когда это случается, вам в основном не повезло.
Попробуйте
Перенесите ПК в вашу самую высокую сеть, а именно 192.168.0.x и попробуйте тогда переадресацию портов. Это минимальное количество работы, чтобы проверить с минимумом усилий, сработает ли это. Если сработает, можно либо переходить на одну сеть (что я все еще предлагаю), либо разобраться с настройкой двойного NAT.
Ответ или решение
Подключение к локальному серверу через интернет с использованием сложных архитектур сети, как NAT за NAT, может представлять значительные трудности. Проблема заключается в корректной настройке маршрутизации и сетевых правил, чтобы обеспечить доступ извне к вашему локальному устройству. Для прояснения ситуации мы попробуем разобраться в текущей архитектуре сети, приведем примеры, и предложим практические шаги для решения проблем.
Теория: Нюансы NAT и двойной NAT
NAT (Network Address Translation) – это стандартный метод маршрутизации, который преобразует локальные IP-адреса во внешний IP-адрес для выхода в интернет. Однако проблема возникает, когда у вас настраивается двойной NAT – это двойная трансляция, когда один NAT используется вашим интернет-провайдером (ISP), а второй настроен на вашем маршрутизаторе.
Двойной NAT может вызывать различные проблемы, такие как невозможность корректного выполнения проброса портов (Port Forwarding) или нарушения в работе старых программных средств. Двойной NAT также усложняет конфигурацию сети для администратора из-за множества потенциальных точек отказа и нюансов совместимости.
Пример: Ваш текущий сценарий
Для конкретизации, рассмотрим, как ваш сетевой трафик проходит через устройства:
-
ISP Модем (Technicolor TC7200):
- Локальный IP: 192.168.0.1
- Ваша настройка: Проброс портов TCP/UDP 25501 на IP-запрос 192.168.0.24 (IP вашего маршрутизатора TP-LINK Archer C6).
-
Маршрутизатор TP-LINK Archer C6:
- Локальный IP: 192.168.1.1
- WAN IP: 192.168.0.24 (в подсети модема)
- Настройка виртуального сервера: Проброс портов TCP/UDP 25501 на 192.168.1.103 (IP сервера).
Применение: Решение проблемы
Чтобы разрешить проблемы, связанные с двойным NAT и неправильной маршрутизацией, предложим следующий подход:
1. Перевод маршрутизатора Archer C6 в режим точки доступа (AP):
Этот шаг позволит избежать использования двойного NAT и сделает вашу сеть более управляемой и простой. Процесс включает:
- Установка статического LAN-адреса для Archer C6, например, 192.168.0.24.
- Отключение DHCP на Archer C6.
- Подключение Archer C6 к ISP-модему через LAN-порт (а не WAN).
- Теперь все IP-адреса в сети будут выдаваться вашим ISP-модемом в подсети 192.168.0.x.
2. Настройка статического IP для сервера:
Назначение статического IP для сервера (например, 192.168.0.50) обеспечит стабильность правил проброса портов. Статическая конфигурация может выглядеть следующим образом:
- IP: 192.168.0.50
- Маска: 255.255.255.0
- Шлюз: 192.168.0.1
3. Корректировка правил проброса портов на ISP-модеме:
На модеме Technicolor TC7200 настройте проброс портов 25501 TCP/UDP напрямую на статический IP вашего сервера 192.168.0.50.
4. Проверка подключения и диагностика:
- После настроек, перезагрузите все сетевые устройства и снова попробуйте проверить доступность сервера с внешней сети.
- Убедитесь, что попытка подключения с внешнего IP-адреса ведется через мобильный интернет или другую внешнюю сеть для исключения проброса через NAT-технологии типа NAT Hairpinning.
- Если проблема сохраняется, учитывайте фактор использования CG-NAT вашим ISP, что может потребовать обращения за услугой выделенного IP-адреса.
Заключение
Использование одного слоя NAT с переводом маршрутизатора Archer C6 в режим точки доступа значительно упростит управление сетью и уменьшит количество потенциальных проблем с доступом. Такой подход не только упростит архитектуру сети, но и обеспечит стабильное и предсказуемое функционирование механизма порт-форвардинга, необходимого для доступа к вашему локальному серверу из интернета.