Verständnis verschiedener NAT-Typen und Lochen

Gilt für…

  • DxConnect 19,5
  • DxConnect 20,0
  • DxOdyssey 19,5
  • DxOdyssey 20,0
  • DxEnterprise 19,5
  • DxEnterprise 20.0

Zusammenfassung

Eine kurze Erläuterung der NAT-Typen (Network Address Translation), wie sie mit Hole-Punching arbeiten und sich auf die Fähigkeit auswirken können, Gateway-Gruppen beizutreten und Tunnel zu erstellen.

Informationen

Alle folgenden NAT-Definitionen stammen aus dem RFC 3489 der Internet Society.

Normales (Full Cone) NAT

Ein Full Cone NAT ist ein NAT, bei dem alle Anforderungen von derselben internen IP-Adresse und demselben Port derselben externen IP-Adresse und demselben Port zugeordnet werden. Darüber hinaus kann jeder externe Host ein Paket an den internen Host senden, indem er ein Paket an die zugeordnete externe Adresse sendet.

Restricted Cone NAT

Bei einem Restricted Cone NAT werden alle Anforderungen von derselben internen IP-Adresse und demselben Port derselben externen IP-Adresse und demselben Port zugeordnet. Im Gegensatz zu einem Full-Cone-NAT kann ein externer Host (mit IP-Adresse X) ein Paket nur dann an den internen Host senden, wenn der interne Host zuvor ein Paket an die IP-Adresse X gesendet hat.

Port Restricted Cone NAT

Ein Port restricted Cone NAT ist wie ein Restricted Cone NAT, die Einschränkung umfasst jedoch Portnummern. Insbesondere kann ein externer Host ein Paket mit der Quell-IP-Adresse X und dem Quell-Port P nur dann an den internen Host senden, wenn der interne Host zuvor ein Paket an die IP-Adresse X und den Port P gesendet hat.

Symmetrisches NAT

Ein symmetrisches NAT ist eines, bei dem alle Anforderungen von derselben internen IP-Adresse und demselben Port an eine bestimmte Ziel-IP-Adresse und einen bestimmten Ziel-Port derselben externen IP-Adresse und demselben Port zugeordnet sind. Wenn derselbe Host ein Paket mit derselben Quelladresse und demselben Port, aber an ein anderes Ziel sendet, wird eine andere Zuordnung verwendet. Darüber hinaus kann nur der externe Host, der ein Paket empfängt, ein UDP-Paket an den internen Host zurücksenden.

Lochen

Die Verwendung einer zuvor festgelegten Zuordnung, um einer beliebigen externen Adresse / einem beliebigen Port das Senden von Daten an eine interne Adresse / einen internen Port zu ermöglichen, wird als Lochen bezeichnet. Das Lochen ist mit normalen (Full-Cone), eingeschränkten und port-eingeschränkten NATs möglich, die dieselbe interne Adresse / denselben Port konsistent einer externen Adresse / einem externen Port zuordnen.

HINWEIS: Das Lochen ist mit rein symmetrischen NATs aufgrund ihres inkonsistenten zielspezifischen Port-Mapping-Verhaltens nicht möglich.

Lochstanzen kann sowohl für TCP- als auch für UDP-Datenverkehr verwendet werden. Damit das Lochen funktioniert, muss die Zuordnung erstellt werden, indem eine ausgehende Verbindung von einem internen System initiiert und dann der Port auf dem internen System als Listener wiederverwendet wird. Externe Systeme, die nicht das Ziel der ursprünglichen Verbindung sind, können über die Zuordnung eine Verbindung zum internen System herstellen.

Das Lochen kann verwendet werden, wenn sich beide Parteien des gewünschten Kommunikationspfades hinter NATs befinden, solange mindestens eine Seite in der Lage ist, die dynamische Zuordnung zu bestimmen, die der anderen Partei von der NAT zugewiesen wurde, und Daten über die Zuordnung zu senden.

NAT-Test

Klicken Sie auf den folgenden Link, um den DH2i-NAT-Test auszuführen, um festzustellen, ob sich Ihre Site hinter einem symmetrischen NAT-Gerät befindet.
DH2i NAT Test

HINWEIS: Der DH2i NAT Test unterscheidet nicht zwischen Full Cone, Restricted Cone und Port Restricted Cone NAT. Diese drei Typen ergeben alle ein “normales NAT” -Ergebnis. Wenn sich also eine Site hinter einer “symmetrischen NAT” und die andere Site hinter einer “normalen NAT” befindet, kann eine Verbindung mit DH2i-Software möglich sein oder nicht, je nachdem, welche Art von “normaler NAT” im Spiel ist. Symmetrisches NAT in Verbindung mit Port Restricted NAT ist eine nicht routingfähige Kombination.

NAT-Typ-Unterstützungsmatrix

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.