Вопрос: Симметричная NAT и UDP Hole Punching


я прочел этот вопрос, но объяснение Symmetric NAT недостаточно детально.

Пожалуйста, может кто-нибудь помочь мне понять следующие параграфы?

Я читал об этом Симметричный NAT:

Каждый запрос от одного и того же внутреннего IP-адреса и порта к определенному   IP-адрес и порт назначения отображаются на уникальный внешний источник   IP-адрес и порт, если один и тот же внутренний хост отправляет пакет даже   с тем же адресом и портом источника, но в другом месте назначения,   используется другое сопоставление. Только внешний хост, который получает   пакет от внутреннего хоста может отправить пакет обратно.

http://en.wikipedia.org/wiki/Network_address_translation#Types_of_NAT

И это о UDP Пробивка отверстий:

Перфорация отверстий UDP не будет работать с симметричными устройствами NAT (также известными   как двунаправленный NAT), которые, как правило, находятся в крупных корпоративных   сетей. В симметричном NAT сопоставление NAT, связанное с   подключение к известному серверу STUN ограничено получением   данных с известного сервера, и, следовательно, NAT, отображающий   хорошо известный сервер видит не полезную информацию для конечной точки.

http://en.wikipedia.org/wiki/UDP_hole_punching

Но я не очень его поглощаю. У меня возникает ощущение, что он говорит мне, что (в клиент-серверном приложении, где клиент инициирует связь), сервер не мог обмениваться обратным обращением, если это явно не разрешено устройством NAT. Я не понимаю, почему это так. Если это возможно, можете ли вы немного упростить это описание для меня?

У нас есть проблема в нашей среде, где известный инструмент удаленной поддержки не может использоваться столь же известным поставщиком программного обеспечения для поддержки нас. Клиент осведомлен прокси, но для некоторого резона он считает хорошей идеей не использовать его и делать что-то совершенно другое через UDP на порту 1153.


7
2017-08-09 20:09


Источник


Прежде чем ответить, вы просто хотите знать, почему перфорация отверстий UDP не работает с симметричным NAT или вы спрашиваете о своей конкретной проблеме? Потому что ваша проблема не обязательно связана с тем, так что мне любопытно. - TheCleaner
Хорошо, может быть, вы могли бы объяснить и то, и другое? Я имею в виду, почему это не работает и почему моя проблема не кажется связанной. - john
Начнем с чата, если вы хотите создать его ... У меня мало времени, и это может быть проще. Я вырежу / вставлю свое объяснение отсюда, как ответ здесь позже. - TheCleaner


Ответы:


Из нашего чата ... чтобы другие не могли получить полный разговор, но основы здесь.

Таким образом, базовый NAT = source address:port >> external address:port >> NAT>> new source address:port >> external address port

с симметричным NAT это статическое отображение и одно и то же каждый раз и для источника и для адресата.

Пример: 192.168.100.5:34983 going to 4.2.2.2:53 then REQUIRE it to be 216.222.222.222:44444 with destination 8.8.8.8:333333 

"в клиент-серверном приложении, где клиент инициирует   связь) сервер не мог обмениваться обратным путем   если это явно не разрешено устройством NAT ».

эта часть, которую вы говорите, неверна он должен читать:

в клиент-серверном приложении, где клиент инициирует   связь) сервер МОЖЕТ обмениваться обратным обратным путем ПОСЛЕ   source устанавливает сеанс OVER портов, используемых в сеансе.

Значение, если 2.2.2.2:43424 переходит к 5.5.5.5:80, тогда 5.5.5.5:80 отправляет информацию обратно в 2.2.2.2:43424 после установления сеанса. В вашем предложении ... сеанс будет только когда-либо быть источником связи с пунктом назначения, который никогда не отвечает пакетами / info / graphics / whatever.

«У нас есть проблема в нашей среде, где хорошо известный инструмент удаленной поддержки не может использоваться столь же известным поставщиком программного обеспечения для поддержки нас. Клиент осведомлен прокси, но для некоторого резона он считает, что это может быть хорошая идея не использовать его и делать что-то совершенно другое через UDP на порту 1153. "

Это может быть связано с тем, что они просто блокируют Logmein / Teamviewer / независимо от уровня порта, так как они просят использовать другой порт ... поэтому они думают, что если вы разрешите или сообщите об этом на 1153, это обойдется в их собственных ограничениях на ИТ ... лучше Я могу думать, не зная подробно какое приложение или полная информация. Ничего общего с симметричным удалением отверстий в отверстиях UDP или UDP действительно ... по крайней мере, поскольку проблема, которую они поднимают, касается.

Я бы посоветовал поговорить с их командой поддержки о том, какой удаленный инструмент поддержки, с которым они работают, работает или работает с ними, чтобы определить способ использования нужного вам инструмента. Если это означает определенные NAT NAT / правила, вам нужно будет работать с ними и вашей сетевой командой, чтобы понять эту часть.

Надеюсь, что все это помогает.


5
2017-08-09 22:07



Удаленным инструментом поддержки является Log Me In и используется несколькими нашими сторонними поставщиками для поддержки. Мы разрешили трафик на брандмауэре нашей компании и видели, как трафик проходит через брандмауэр. Однако ничего не получилось. Это почти похоже на то, что пути брандмауэра не было, или удаленный сервер не мог определить, куда отправить обратную связь. - john
У нас также есть прокси, поэтому возможно, что они каким-то образом вмешиваются. - john
Если у вас есть исходящая «разрешающая политика», она должна работать, если ваша сторона инициирует трафик и этот трафик достигает удаленной стороны с нужной информацией NAT. Смотрите также: help.logmein.com/... но вам может потребоваться консалтинг или больше опыта на месте, чтобы выбить это ... - TheCleaner


enter image description here

enter image description here

Посмотрите на эти снимки, сделанные на странице «Перевод сетевых адресов» в Википедии.

В «Full Cone NAT»

  1. Когда внутренний адрес (iAddr: iPort) отображается на внешний адрес (eAddr: ePort), любые пакеты из iAddr: iPort отправляются через eAddr: ePort.
  2. Любой внешний хост может отправлять пакеты в iAddr: iPort, отправив пакеты в eAddr: ePort.

В Symmetric NAT

  1. Каждый запрос с одного и того же внутреннего IP-адреса и порта на определенный IP-адрес и порт назначения сопоставляется с уникальным внешним IP-адресом и портом источника; если один и тот же внутренний хост отправляет пакет даже с тем же исходным адресом и портом, но в другом месте назначения, используется другое сопоставление.
  2. Только внешний хост, который получает пакет от внутреннего хоста, может отправить пакет обратно.

Теперь давайте обсудим, почему перфорация отверстий UDP не может работать в Symmetric NAT. Допустим, что Server1 является сервером STUN, а Server 2 - устройством NAT другой частной сети. В перфорации отверстий UDP клиент соединяется с Server1, а отображение портов создается на устройстве NAT. Но когда этот клиент подключается к узлу Server2, устройство NAT создает другое сопоставление портов, как показано на рисунке 2. Сервер 1 совместно использует сопоставление портов клиента с хостом за Server2, и с этим сопоставлением портов Server2 не может установить соединение, а Server2 не знает второго порт, созданный устройством NAT.


3
2017-07-31 07:16