sticky Idee Das leidige Thema Doppeltes NAT


  • bender
  • benders Avatar Autor
  • Offline
  • Moderator
  • Moderator
  • sudo apt-get install brain_2.0
Mehr
17 Feb 2012 12:39 - 09 Feb 2014 12:47 #40025 von bender
Das leidige Thema Doppeltes NAT wurde erstellt von bender
Hi,

ich habe mich mal ne Stunde hingesetzt und versucht zu beleuchten, was doppeltes NAT bedeutet, wo es herkommt und was man sich damit einhandelt.

lg
bender

Das doppelte NAT
geschrieben von bender ät dieschmids dot at – 2/2012

Immer wieder erreichen uns Hilferufe wegen Problemen mit Spielkonsolen und nicht
funktionierenden Portforwardings. Ziemlich oft liegt das Problem in einem Router,
der zusätzlich zum Modem im heimischen Netzwerk hängt.
Doch wie kommt das so oft zustande? Die Ursprünge liegen in der Zeit, als die
Internet Service Provider (ISP), also die Telekom Austria (TA), Inode, UPC und wie
sie alle hießen, an die Endverbraucher fast ausschließlich reine Modems ausgegeben
haben und es ausdrücklich nicht erlaubt war, mehr als einen PC an einem Anschluß
zu betreiben. Bei der TA waren das das 1000er ADSL, das Speedtouch Home, diverse
Speedtouch USB und etwas später das Speedtouch 510 (letzteres konnte übrigens
schon Router spielen, das Speedtouch Home nur mit einigen Verrenkungen). Etliche
davon kann man z.B. hier bewundern.
Wer mehr wollte, mußte sich damals einen sündhaft teuren Business-Zugang nehmen.
Und selbst da war man dann teilweise auf eine bestimmte Anzahl Endgeräte
beschränkt. Je mehr desto goldene Nase.
Damals wurden die Router so langsam erschwinglich und man hatte auch immer öfter
mehr als einen PC zu Hause stehen. Es wurde fast schon zum Volkssport, dem ISP
eins auszuwischen und mehr als einen Rechner zu betreiben. Entweder man nahm
einen alten ausgedienten PC, spendierte ihm eine zweite Netzwerkkarte und bügelte
IPCop drauf, oder man kaufte sich einen D-Link, Netgear oder Linksys.
Und so setzte es sich in den Köpfen der Endverbraucher und der Geizmarktverkäufer
fest, daß man um sein Netzwerk zu erweitern unbedingt einen (WLAN-)ROUTER
braucht. Die Dinger fanden und finden derart reißenden Absatz, daß sie billiger zu
haben sind als WLAN-Accesspoints, die ja eigentlich weniger können als WLAN-
ROUTER, in 99% aller Fälle aber den Anforderungen vollkommen genügen. Das
Problem ist, daß die meisten Bedürftigen gar nicht wissen, daß es Accesspoints
überhaupt gibt und daß die Verkäufer sofort zum Router greifen – das paßt ja immer,
wenns um WLAN geht.
Der springende Punkt bei der ganzen Geschichte ist aber, daß die ISPs schon seit
Jahren keine reinen Modems mehr ausgeben, sondern Modemrouter mit WLAN.
Schauen wir uns mal an, was passiert, wenn man einen Router hinter einen Router
hängt.

Hier sehen wir ein Standard-LAN mit symbolischen 4
Rechnern. WLAN kann man sich dazu denken, es
spielt in diesem Fall eigentlich keine Rolle, da es um
das NAT geht.
Dieses Modem ist außerdem ein Router, das NATet.
Ach ja: NAT: Network Address Translation.
Das Modem hat eine öffentliche IP-Adresse und zum
LAN hin eine Private.
So sollte es normalerweise aussehen. Hier kann man
sich wie gesagt einen WLAN-Accesspoint dazu
denken. Dieser würde an dem Adressbereich nichts verändern, da er kein NAT macht,
alles bewegt sich im Adressbereich 10.0.0.x (x im Bereich 1 bis 254 ohne 138, das ist
das Modem).

Schauen wir mal, was passiert, wenn man einen zweiten Router einbaut:

Hier haben wir nun das Modem-/Router-Kastl vom ISP.
Sagen wir mal, das WLAN reicht nicht bis in das letzte
Eck. Man könnte jetzt mit DLAN arbeiten oder auch
einen Accesspoint dran hängen. Nö, Router sind ja viel
cooler.
Also:
Modemrouter ISP: NAT auf 10.0.0.138. Der Traffic
wird weitergereicht an den Baumarktrouter mit
10.0.0.1. Der macht jetzt seinerseits nochmal ein NAT
auf 192.168.0.1. So weit so naja.
Jetzt kommt der lustige Teil, nämlich wenn ein NAS
von extern erreichbar sein soll. Nur so als Beispiel.
FTP, Port 21.
Portöffnung Baumarktrouter: Port 21 → IP des NAS
Reicht natürlich nicht:
Portöffnung Modemrouter ISP: Port 21 → 10.0.0.1
So, das geht vielleicht noch. Jetzt kommt die PS3 mit
NAT Typ Strict. Viel Spaß! Ach ja, das Pirelli kann nur
das direkt anliegende Netz bedienen :)

Wenn ihr glaubt, es geht nicht schlimmer, dann schaut euch mal das an:

Jetzt kommt der Albtraum des Forenmods: Im Prinzip
das Gleiche wie im vorigen Beispiel, nur daß zwischen
den Routern auch noch Endgeräte hängen.
Hier haben wir zwei Katastrophenherde auf einmal.
Zum Einen das doppelte NAT von vorhin, zum
Anderen die beiden Netze. Aber warum?
Nun, wir haben hier zwei Netze mit einem NATenden
Router dazwischen. Es wird dazu kommen, daß die in
den beiden Netzen befindlichen Rechner aufeinander
zugreifen sollen. In LAN2 steht der Netzwerkdrucker
auf den alle zugreifen können sollen, aus LAN1 kommt
man aber nicht hin. Ach ja, das NAS steht natürlich
auch in LAN2.
Und warum das Ganze? Ja, genau, der Typ im
Geizmarkt...

Was kann man tun, um solche Konstellationen zu vermeiden?
1. Gleich die passende Hardware kaufen. Wenn es nur darum geht, ein weiteres
WLAN aufzuziehen, kauft euch einen Accesspoint. Wenn es darum geht, das
bestehende WLAN zu erweitern, dann kauft euch einen Accesspoint, der den
Universal-Repeater-Mode beherrscht. Finger weg von WDS! Geht nur mit
WEP, halbiert die Bandbreite und funktioniert nur bei Vollmond. Oder greift zu
DLAN, es ist besser als sein Ruf.
2. Wenn der Router schon da steht, dann macht einen Accesspoint draus oder
stellt den ISP-Modemrouter auf Nur-Modem (Single User) um. Wie das geht,
steht in den FAQ s.
Ich hab das hier zum besseren Verständnis geschrieben, um in Grundzügen die
Problematik des DoppelNAT zu erklären und eventuell solche Probleme von
vornherein zu vermeiden. Ach ja, und um die Reaktionen zu erklären, wenn so etwas
mal wieder im Forum auftritt. Denkt euch einfach das Geräusch, wenn ein Kopf auf
den Tisch aufschlägt ;)

"Fast alle Probleme in der IT befinden sich auf Layer 8"
bender

Dieser Beitrag enthält Bilddateien.
Bitte anmelden (oder registrieren) um sie zu sehen.

Dieser Beitrag enthält einen Anhang.
Bitte anmelden (oder registrieren) um ihn zu sehen.

Letzte Änderung: 09 Feb 2014 12:47 von bender.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

  • bender
  • benders Avatar Autor
  • Offline
  • Moderator
  • Moderator
  • sudo apt-get install brain_2.0
Mehr
01 Aug 2013 21:27 #55989 von bender
bender antwortete auf Das leidige Thema Doppeltes NAT
Zum Thema kaskadierte Router hab ich gestern einen interessanten Artikel auf heise gefunden, für Leute, die ein doppeltes NAT aus irgendeinem Grund benötigen:

http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

lg
bender

"Fast alle Probleme in der IT befinden sich auf Layer 8"
bender

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.633 Sekunden
Powered by Kunena Forum