Double NAT - לא יודע כבר מה לעשות...

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

Double NAT - לא יודע כבר מה לעשות...

נושא שלא נקרא #1 

לפני הכל אני רוצה לציין שאני מחובר לאינטרנט של 1Gbps בחו"ל דרך מודם-נתב שסופק על ידי ספק האינטרנט.

בבדיקת כתובות אינטרנט מצאתי שכתובת ה-IP החיצונית שאני מקבל וכתובת ה-IP שמקבל הנתב שונות ולכן הבנתי שאני מאחורי NAT כפול.

בדיקת Traceroute אישרה את העובדה הזאת.

גם לאחר ניתוק המחשב וחיבורו ישירות לקיר (כלומר ללא חיבור למודם-נתב) בדיקת Traceroute חוזרת מראה שאני עדיין מאחורי NAT כפול (קפיצה ראשונה לכתובת IP פרטית של הספק שמתחילה ב-10 וה-5 או 6 קפיצות שאחריו לכתובות IP פרטיות אחרות של הספק שמתחילות ב-172).

אני מבין שאין טעם לנסות Port Forwarding או DMZ במקרים כאלה אז רציתי לדעת האם יש משהו שניתן לעשות על מנת לעקוף את ה-NAT הכפול הזה חוץ מאשר לפנות לספק עצמו?

mescaline
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #2 

VPN או שתסביר למה אתה צריך הפניית פורטים?

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

נושא שלא נקרא #3 

רציתי לנסות ולעקוף את ה-NAT הכפול לצורך שיתוף קבצים כי עם שאר הדברים שאמורים להיות חסומים כמו גישה למצלמות אבטחה מרחוק למשל אין בעיה.

אני אנסה את הרעיון של ה-VPN ואחזור לכאן במידה ולא אצליח.

תודה על העזרה! (Y)

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: Double NAT - לא יודע כבר מה לעשות...

נושא שלא נקרא #4 

starrywolf כתב: ...
אני מבין שאין טעם לנסות Port Forwarding או DMZ במקרים כאלה אז רציתי לדעת האם יש משהו שניתן לעשות על מנת לעקוף את ה-NAT הכפול הזה חוץ מאשר לפנות לספק עצמו?
...
·

לא הצלחת להסביר מה בדיוק הקונפיגורציה שאתה עובד איתה ואיפה ה-double-NAT.

אם לדוגמא זה היה double-NAT אצלך בבית ויש שליטה על שני הראוטרים אז אין בעיה לפתוח פורטים ע"י הגדרות מתאימות בשניהם.

אם אני מבין נכון זה לא המצב ולכן ה-double NAT או בגלל NAT אצל הספק או בגלל הקונפיגורציית VPN/התחברות מרחוק שלא פירטת.

אם זה בגלל NAT בצד של הספק, אז מן הסתם הדרך היחידה לצאת ממנו זה או לדבר עם הספק או לעבור לספק אחר.

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

נושא שלא נקרא #5 

ה-NAT הכפול נמצא מן הסתם אצל הספק ולא אצלי בבית - אחרת הייתי מצליח להתגבר על הבעיה.

עד עכשיו לא הייתי מחובר דרך VPN אלא ישירות לנתב בצורה קווית או אלחוטית לפי הצורך.

בעקבות העצה של mescaline ניסיתי להתחבר דרך VPN וכרגע בשיתוף הקבצים אני אכן מצליח להתחבר אבל לא מצליח להתחבר לכולם (בדיקה חיצונית מעלה שהפורט הנדרש לכך סגור - יש טעם לפתוח אותו בשימוש ב-VPN?) אז אני מניח שה-VPN כן מצליח איכשהו חלקית לעקוף את הבעיה של ה-NAT הכפול אבל לא לחלוטין.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #6 

@starrywolf
·

עדיין לא ברור מה אתה מנסה לעשות ובאיזה קונפיגורציה.

ללא VPN, העסק מאד פשוט: אתה מחובר דרך הספק שלך. הראוטר בבית אצלך זה בעצם NAT שבתקווה מקבל כתובת IP חיצונית מהפסק ואז אפשר לפתוח פורטים וכו'. אם הספק שם אותך מאחורי NAT בצד שלו, אז בעצם יש double-NAT (אחד הראוטר שלך בבית ואחד בצד של הספק) ואתה לא יכול לפתוח פורטים לא בגלל שזה double NAT אלא בגלל שאין לך שליטה על ה-NAT בצד של הספק. לא תמיד זה מפריע אבל אם כן אתה צריך לדבר עם הספק (או להחליף אותו).

עם VPN, זה תלוי בדיוק מה השימוש ואיך זה מוגדר אבל כרגיל אתה מקבל כתובת מה-VPN ומעביר את כל התקשורת רק דרך ה-VPN. במקרה כזה אין שום משמעות האם הספק עושה לך double-NAT או לא כי גם דרך NAT של הספק אתה יכול לפתוח חיבור אל ה-VPN.

מאד הגיוני ששרת ה-VPN שם אותך מאחורי NAT בצד שלו (אחרת הוא יצטרך לספק כתובת אינטרנט "אמיתית" לכל משתמש). כרגיל משתמשים ב-VPN בשביל גלישה אנונימית ואז ה-NAT דווקא עוזר.
אני לא בטוח לגבי קבלת כתובת IPv4 אמיתית משרת VPN אבל לדעתי אפשר למצוא שרתי VPN שתומכים בפתיחת פורטים דרכם. אני לא באמת מתמצא בשרתי VPN, אולי מישהו שמכיר יכול לפרט יותר.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: Double NAT - לא יודע כבר מה לעשות...

נושא שלא נקרא #7 

starrywolf כתב:לפני הכל אני רוצה לציין שאני מחובר לאינטרנט של 1Gbps בחו"ל דרך מודם-נתב שסופק על ידי ספק האינטרנט.

בבדיקת כתובות אינטרנט מצאתי שכתובת ה-IP החיצונית שאני מקבל וכתובת ה-IP שמקבל הנתב שונות ולכן הבנתי שאני מאחורי NAT כפול.

בדיקת Traceroute אישרה את העובדה הזאת.

גם לאחר ניתוק המחשב וחיבורו ישירות לקיר (כלומר ללא חיבור למודם-נתב) בדיקת Traceroute חוזרת מראה שאני עדיין מאחורי NAT כפול (קפיצה ראשונה לכתובת IP פרטית של הספק שמתחילה ב-10 וה-5 או 6 קפיצות שאחריו לכתובות IP פרטיות אחרות של הספק שמתחילות ב-172).

אני מבין שאין טעם לנסות Port Forwarding או DMZ במקרים כאלה אז רציתי לדעת האם יש משהו שניתן לעשות על מנת לעקוף את ה-NAT הכפול הזה חוץ מאשר לפנות לספק עצמו?
...
לאיזה ספק אתה מחובר? יש ספקים שידועים לשמצה בזה שהם שמים אותך מאחורי NAT (הכי ידועה זאת אקספון אבל לפעמים רואים את זה גם בהוטנט). אקספון יוציאו אותך מה-NAT אם תבקש משירות הלקוחות אבל זה בערך לשלושה חודשים ואז אתה צריך להתקשר שוב. סופר מעצבן. בהוטנט אם הבנתי נכון אם מבקשים שירות סינון אתרים אז מקבלים IP חיצוני (לא ברור למה) ואז אתה יכול לשנות את שרת ה-DNS ל-8.8.8.8 או 1.1.1.1 כדי לבטל את הסינון עצמו.
אם אתה רוצה פתרון יותר קבוע אז או שתעבור לאחת משלושת הספקיות הגדולות (בזק בינ"ל, נטויז'ן, סמייל), שידוע שלא שמות אותך מאחורי NAT (לפחות לא בינתיים) או שלם על IP קבוע (כל הספקיות נותנות את זה בתוספת תשלום).

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

נושא שלא נקרא #8 

eran405 כתב:ללא VPN, העסק מאד פשוט: אתה מחובר דרך הספק שלך. הראוטר בבית אצלך זה בעצם NAT שבתקווה מקבל כתובת IP חיצונית מהפסק ואז אפשר לפתוח פורטים וכו'. אם הספק שם אותך מאחורי NAT בצד שלו, אז בעצם יש double-NAT (אחד הראוטר שלך בבית ואחד בצד של הספק) ואתה לא יכול לפתוח פורטים לא בגלל שזה double NAT אלא בגלל שאין לך שליטה על ה-NAT בצד של הספק. לא תמיד זה מפריע אבל אם כן אתה צריך לדבר עם הספק (או להחליף אותו).

עם VPN, זה תלוי בדיוק מה השימוש ואיך זה מוגדר אבל כרגיל אתה מקבל כתובת מה-VPN ומעביר את כל התקשורת רק דרך ה-VPN. במקרה כזה אין שום משמעות האם הספק עושה לך double-NAT או לא כי גם דרך NAT של הספק אתה יכול לפתוח חיבור אל ה-VPN.

מאד הגיוני ששרת ה-VPN שם אותך מאחורי NAT בצד שלו (אחרת הוא יצטרך לספק כתובת אינטרנט "אמיתית" לכל משתמש). כרגיל משתמשים ב-VPN בשביל גלישה אנונימית ואז ה-NAT דווקא עוזר.
אני לא בטוח לגבי קבלת כתובת IPv4 אמיתית משרת VPN אבל לדעתי אפשר למצוא שרתי VPN שתומכים בפתיחת פורטים דרכם. אני לא באמת מתמצא בשרתי VPN, אולי מישהו שמכיר יכול לפרט יותר.
...
הראוטר בבית לא ממש רלוונטי כי אני יכול לחבר את המחשב ישירות לשקע בקיר ועדיין להיות מחובר לאינטרנט.

אין לי שליטה על ה-NAT של הספק (לדעתי NAT כפול בצד שלו - גם בחיבור ישיר לקיר מתקבלת אותה תוצאה של NAT כפול בבדיקת Traceroute).

לגבי ה-VPN אני משתמש ב-ExpressVPN ואני לא בטוח שהם מאפשרים פתיחת פורטים בצד שלהם.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #9 

ולעבור ל- IPv6 זאת לא אופציה עבורך?
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

Re: Double NAT - לא יודע כבר מה לעשות...

נושא שלא נקרא #10 

NegativeIQ כתב:
...
...
לאיזה ספק אתה מחובר? יש ספקים שידועים לשמצה בזה שהם שמים אותך מאחורי NAT (הכי ידועה זאת אקספון אבל לפעמים רואים את זה גם בהוטנט). אקספון יוציאו אותך מה-NAT אם תבקש משירות הלקוחות אבל זה בערך לשלושה חודשים ואז אתה צריך להתקשר שוב. סופר מעצבן. בהוטנט אם הבנתי נכון אם מבקשים שירות סינון אתרים אז מקבלים IP חיצוני (לא ברור למה) ואז אתה יכול לשנות את שרת ה-DNS ל-8.8.8.8 או 1.1.1.1 כדי לבטל את הסינון עצמו.
אם אתה רוצה פתרון יותר קבוע אז או שתעבור לאחת משלושת הספקיות הגדולות (בזק בינ"ל, נטויז'ן, סמייל), שידוע שלא שמות אותך מאחורי NAT (לפחות לא בינתיים) או שלם על IP קבוע (כל הספקיות נותנות את זה בתוספת תשלום).
...
אני לא גר בארץ אז לצערי לא אוכל להעזר במה שכתבת אבל תודה בכל אופן. (Y)

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

נושא שלא נקרא #11 

@שלגון

הבנתי שזו כן יכולה להיות אופציה אבל לא ניסיתי אותה עדיין כי אין לי מושג איך לעשות את זה בלינוקס - אני אצטרך לקרוא על זה וכמובן שאשמח לקבל עזרה או הכוונה בנושא.

Borderline1
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3477
הצטרף: דצמבר 2004
נתן תודות: 157 פעמים
קיבל תודות: 451 פעמים

נושא שלא נקרא #12 

למה אתה מדבר איתנו ולא עם הספק שלך בחו"ל?
אולי יש לו פיתרון עבורך?
כמעט לכולנו כאן אין נסיון עם ספקים בחו"ל, המדיניות שלהם והאפשרויות העומדות בפני לקוחותיהם לגבי הקצאות ip
חוץ מדיון תיאורטי שום דבר פרקטי לא יצא מהדיון הזה, לדעתי לפחות

starrywolf (פותח השרשור)
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1053
הצטרף: אוגוסט 2009
נתן תודות: 110 פעמים
קיבל תודות: 87 פעמים

נושא שלא נקרא #13 

@Borderline1

כי אני לא חושב שספק אינטרנט באנגליה יראה בעין יפה את הרצון שלי לשתף קבצים ברשת.

Borderline1
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3477
הצטרף: דצמבר 2004
נתן תודות: 157 פעמים
קיבל תודות: 451 פעמים

נושא שלא נקרא #14 

יש המון סיבות לגיטימית מדוע לא להיות מאחורי double nat
שאינן קשורות לשיתוף קבצים

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #15 

starrywolf כתב: כי אני לא חושב שספק אינטרנט באנגליה יראה בעין יפה את הרצון שלי לשתף קבצים ברשת.
...
·

יש סיכוי סביר שיש לך סיבה מוצדקת לפחד משיתוף תוכן לא חוקי דרך הספק אינטרנט באנגליה. אני כמובן לא מכיר מה בדיוק המצב באנגליה ובטח לא מכיר מה המצב בספק הספציפי שלך אבל אני יודע שבהרבה מקרים הספקים באירופה חייבים לשתף פעולה עם הרשיות בנושא הזה.

זה כמובן לא עניין של "יראה בעין יפה" או של שיחת טלפון לשירות לקחות של הספק. זה עניין שקל יחסית לראות שאתה משתף תוכן לא חוקי מכתובת IP מסוימת ומשם להגיע לספק שלך ודרכו אליך.

הפתרון הישיר לזה הוא שלפחות כל שיתוף הקבצים שלך יהיה רק דרך שרת VPN מתאים. כמו שכבר הסברתי ברגע שאתה עושה זאת אין שום משמעות להאם הספק שם אותך מאחורי NAT או לא.

אני לא מכיר את הנושא, אבל לפי חיפוש בגוגל דווקא נראה כמו ש-expressVPN אחד מהשירותים המומלצים גם לצורך כזה:
http://lmgtfy.com/?q=vpn+service+for+torrenting

הפתרון שלדעתי אפילו יותר טוב הוא seedbox. אם אתה ממש רוצה לכסות את כל הבסיסים אתה יכול לקחת גם VPN וגם seedbox.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”