Что такое NAT в роутере: определение, примеры, как включить и настроить

Всем привет! Сегодня мы поговорим про то, что же такое NAT в роутере. Как вы, наверное, все знаете, большинство домашних подключений в интернете до сих пор активно использует IPv4. Эти адреса имеют диапазон от 0.0.0.0 до 255.255.255.255. Если подсчитать, то у нас есть 4 294 967 296 айпишников. Вроде бы достаточно много, но на деле с ростом клиентов интернета свободных адресов почти уже не осталось. Приплюсуем сюда тот факт, что часть IP зарезервирована, а на планете активно развивается мобильный интернет, умные устройства, камеры, приставки, телевизоры и куча другой техники, которая тоже хочет выходить в сеть.

На текущий день есть IPv6, где адресов намного больше, но IPv4 все равно никуда не исчез. Многие сайты, провайдеры, роутеры, камеры, игровые сервисы и домашние устройства до сих пор работают через IPv4. Поэтому NAT продолжает использоваться почти в каждой домашней сети. Если у вас дома стоит обычный Wi-Fi роутер, то с большой вероятностью NAT у вас уже включен и работает без вашего участия.

Но как получается всем подключаться к интернету и не оставаться в стороне? – Для этих целей и используется NAT (Network Address Translation – трансляция сетевых адресов). А теперь о самой сетевой технологии более подробно в статье.

Что такое NAT, как работает и зачем он нужен

Если у вас есть дома роутер, то вы уже используете технологию NAT. Чтобы вам было понятнее, для чего она нужна, давайте рассмотрим простой пример. Представим, что вам нужно в квартиру провести интернет. Вы звоните провайдеру, он приходит и прокидывает вам кабель. Помимо всего, чтобы работать в глобальной сети, вам нужен внешний айпишник, его также предоставляет только провайдер.

Конечно, вы можете воткнуть кабель в ноутбук или компьютер, тогда никакого NAT в вашей квартире не будет, так как ваш комп будет напрямую подключен к интернет-сети. Но если помимо вас интернетом хотят пользоваться и другие жильцы квартиры, то вам нужно установить Wi-Fi роутер. Не будете же вы каждому жителю проводить интернет-кабель и отдельно платить за каждого.

Кабель подключается к выделенному WAN порту. Далее к роутеру уже можно подключить телефоны, планшеты, ноутбуки, компьютеры, телевизоры и многое другое. Маршрутизатор выступает неким шлюзом между вашей домашней и глобальной интернет-сетью.

Роутер каждому устройству дома выдает свой локальный IP. Например:

• 192.168.1.10 – Компьютер папы.
• 192.168.1.11 – Телефон сына.
• 192.168.1.12 – Планшет жены.
• 192.168.1.13 – ноутбук дочери.

Шлюз, он же роутер, имеет сразу два адреса:

• Внутренний – 192.168.1.1
• Внешний – его выдает провайдер и он может иметь любой вид. Например, 175.67.87.223.

Для домашних сетей чаще всего используются специальные частные диапазоны адресов:

• 10.0.0.0 – 10.255.255.255
• 172.16.0.0 – 172.31.255.255
• 192.168.0.0 – 192.168.255.255

Эти адреса можно спокойно использовать внутри дома, офиса, школы или предприятия. В интернете они напрямую не маршрутизируются, то есть сайт снаружи не сможет просто так отправить ответ на адрес вида 192.168.1.10. Именно поэтому роутер и делает перевод: внутри у вас одни адреса, а наружу запросы уходят уже через внешний адрес.

Все жители квартиры сразу могут иметь доступ к интернету с одного внешнего адреса за счет роутера. Как я уже и говорил, таких внешних айпишников в интернете очень мало – всего 4 294 967 296, и не все из них доступны обычным пользователям.

NAT – это технология, которая позволяет переводить локальные адреса во внешние и получать ответ из интернета обратно на нужное устройство. В итоге каждый житель квартиры, находясь внутри локальной сети и используя через роутер один внешний IP, может выходить в интернет. Если говорить совсем просто, роутер как бы подписывает каждый запрос и запоминает, от какого устройства он пришел. Когда сайт присылает ответ, роутер смотрит в свою таблицу и возвращает данные именно тому телефону, ноутбуку или телевизору, который их запросил.

Если говорить грубо, то NAT – это как дверь в квартире, каждый может ее использовать, чтобы выйти в открытый мир. В итоге пользователей в интернете становится куда больше чем 4 миллиарда, но количество самих IPv4-адресов остается ограниченным.

NAT позволяет скрывать внутренние айпишники от интернета, и обычный внешний сайт не видит ваш адрес 192.168.1.10 или 192.168.1.11. Но тут важно не путать: NAT не является полноценной защитой сам по себе. Он действительно мешает внешним устройствам просто так начать соединение с вашим компьютером внутри сети, но безопасность обеспечивают еще и межсетевой экран, пароли, обновления устройств и правильные настройки роутера. Поэтому фраза «у меня NAT, значит я полностью защищен» – неправильная.

Это мы рассмотрели случай, когда подключена небольшая семья. А представим, что нужно подключить офис из сотни или даже тысячи человек. Для организации просто нецелесообразно подключать каждому пользователю свой интернет с внешним IP. Да и это не нужно. Достаточно использовать маршрутизатор, в котором уже по умолчанию будет работать NAT.

Схема достаточно простая, давайте рассмотрим пример.

1. Компьютер из домашней сети с IP 192.168.1.10 отправил запрос на какой-то сайт.
2. Запрос пришел на роутер 192.168.1.1.
3. Роутер не может использовать свой локальный адрес в интернете, поэтому переводит запрос и использует внешний адрес.
4. Сайт получает запрос с внешнего IP и на него отсылает ответ.
5. Роутер принимает ответ от сайта и уже отправляет его на компьютер, но внутри сети использует внутренний айпишник.

Как видите, NAT постоянно переводит внутренний адрес во внешний и обратно. Точнее, в обычном домашнем варианте переводится не только IP, но и порты. Это нужно, чтобы роутер понимал, кому именно вернуть ответ: ноутбуку, телефону или телевизору. Если локальная сеть имеет только один выходной маршрутизатор, который связан с внешней сетью, то такую сеть в классических схемах иногда называют Stub сетью.

Простой жизненный пример. Вы открыли сайт на телефоне, жена в этот же момент смотрит видео на телевизоре, а ноутбук скачивает обновление. Снаружи все эти запросы могут выглядеть как обращения с одного внешнего IP вашего роутера. Но внутри роутер ведет таблицу соединений и понимает, какой ответ отдать телефону, какой – телевизору, а какой – ноутбуку. Без этой таблицы все ответы просто перемешались бы.

Термины NAT

В сфере NAT есть различная терминология, которую вы можете встретить в настройках маршрутизатора или на схемах подключения.

Есть 4 вида NAT адресов:

• Inside Local – внутренний локальный адрес устройства в вашей сети. Например, IP компьютера 192.168.0.30.
• Inside Global – внешний адрес, под которым устройство из вашей локальной сети видно со стороны интернета. В домашней сети это обычно внешний IP роутера.
• Outside Local – адрес внешнего узла так, как он виден внутри вашей сети. В простых домашних схемах он чаще всего совпадает с реальным адресом внешнего сервера.
• Outside Global – реальный внешний адрес удаленного сервера в интернете.

Пока ничего не понятно? Сейчас постараюсь рассказать на примере. Давайте рассмотрим пример NAT адресации. Смотрим на картинку ниже.

1. У нас есть компьютер с (Inside Local) адресом 192.168.0.30, который находится в домашней сети.
2. Он посылает запрос на сервер с адресом 246.10.79.235.
3. Маршрутизатор принимает запрос и переводит источник:

(Inside Local) 192.168.0.30 -> (Outside Global) 246.10.79.235

В

(Inside Global) 135.87.99.202 -> (Outside Global) 246.10.79.235

4. Когда сервер получает запрос, он отсылает ответ. Чтобы роутеру было понятно, от кого пришел ответ и кому его отправить внутри сети, он хранит данные в своей NAT-таблице, а не просто в обычной таблице маршрутизации.

Тут важно понимать разницу. Таблица маршрутизации отвечает на вопрос «куда отправить пакет дальше». NAT-таблица отвечает на другой вопрос: «какое внутреннее устройство создало это соединение и на какой порт нужно вернуть ответ». В обычном домашнем роутере все это происходит автоматически, и пользователь даже не видит эту работу. Но когда мы настраиваем проброс портов, игровые приставки, камеры или удаленный доступ, эти детали начинают иметь значение.

Типы NAT

Статический (Static) NAT

Статический NAT – это когда у каждого локального внутреннего адреса есть свой глобальный адрес. Часто используется для Web-серверов, корпоративных сетей и случаев, когда конкретное внутреннее устройство должно всегда соответствовать конкретному внешнему IP. Весь трафик при этом проходит через один узел, и у каждого устройства есть свой как локальный, так и глобальный IP.

В домашней сети такой вариант встречается редко, потому что для него обычно нужно несколько белых внешних IP-адресов. А они стоят денег и выдаются провайдером не всем. Для обычного пользователя намного чаще встречается ситуация, когда у роутера один внешний адрес, а внутри дома много устройств. Если вам нужен постоянный внешний адрес для сервера, камеры или удаленного доступа, посмотрите отдельное объяснение про статический IP-адрес.

Динамический (Dynamic) NAT

У нас есть пул внутренних айпишников, которым по мере необходимости присваиваются разные глобальные внешние адреса. Внешние IP присваиваются по принципу: какой есть свободный, тот и назначается маршрутизатором. Такой вариант может использоваться в сетях провайдеров и организаций, где есть несколько внешних адресов, но их меньше, чем внутренних устройств.

В быту под «динамическим IP» часто имеют в виду другое: провайдер выдает вам внешний адрес, который может меняться после переподключения или через какое-то время. Это не совсем то же самое, что Dynamic NAT в строгой сетевой терминологии, но для обычного пользователя смысл похожий: сегодня внешний IP один, завтра может быть другой. Чтобы немного расширить эту тему, советую более подробно почитать про белые и серые IP.

PAT (Port Address Translation)

Самая популярная форма NAT. Про нее я в самом начале и говорил. Когда нескольким локальным адресам назначается один глобальный. То есть когда вся семья, грубо говоря, использует один внешний IP. Чтобы маршрутизатор понял, кому именно посылать ответ от сервера, на который ранее был запрос, он использует в своем запросе номер порта. И по нему отсылает ответ нужному локальному пользователю.

Посмотрите на картинку выше. Как видите, при запросе на выделенный сервер, помимо того, что роутер переводит адреса, он еще в запросе добавляет номер порта. То есть ответ от сервера также имеет этот порт, который потом уже используется для того, чтобы ответ получил нужный компьютер.

Например, ноутбук открыл сайт и использует один временный порт, телефон открыл этот же сайт и использует другой временный порт, а телевизор параллельно смотрит видео и использует третий. Снаружи все это может идти через один внешний IP, но с разными портами. Роутер хранит соответствие: внешний порт такой-то – это ноутбук, другой порт – это телефон, третий – телевизор. Именно PAT чаще всего и работает в обычном домашнем роутере.

CG-NAT у провайдера

Есть еще один важный вариант – CG-NAT, или Carrier Grade NAT. Это когда NAT работает не только у вас дома в роутере, но и у самого провайдера. В таком случае провайдер выдает вашему роутеру не полноценный белый внешний IP, а адрес из своей внутренней сети. Наружу же в интернет много абонентов могут выходить через один или несколько общих публичных адресов провайдера.

Часто при CG-NAT на WAN-интерфейсе роутера можно увидеть адреса из диапазона 100.64.0.0 – 100.127.255.255, но встречаются и другие серые адреса. Для обычного просмотра сайтов, мессенджеров и видео это почти не мешает. Проблемы начинаются, когда вы хотите открыть доступ к камере, серверу, NAS, игре или домашнему роутеру из интернета. Вы можете идеально настроить проброс портов на своем роутере, но входящий запрос просто не дойдет до вас через NAT провайдера.

Если вы настраиваете камеры, сервер, удаленный рабочий стол или игровой сервер, сначала проверьте, белый у вас IP или серый. При сером IP обычный проброс портов на домашнем роутере чаще всего не поможет. Решения могут быть такие: заказать белый IP у провайдера, использовать облачный доступ от производителя камеры, поднять VPN через внешний сервер или применять другие обходные варианты. Для динамического белого IP еще может пригодиться DDNS, но DDNS не превращает серый IP в белый.

Двойной NAT

Двойной NAT – это ситуация, когда у вас два роутера стоят друг за другом, и каждый делает свою трансляцию адресов. Например, провайдер поставил свой оптический терминал с роутером, а вы к нему подключили еще один Wi-Fi роутер через WAN-порт. В итоге домашнее устройство сначала проходит NAT на вашем роутере, потом еще один NAT на устройстве провайдера.

Для обычного просмотра сайтов двойной NAT часто почти незаметен. Но он может мешать онлайн-играм, голосовой связи, видеозвонкам, VPN, пробросу портов, камерам и некоторым устройствам умного дома. Особенно неприятно, когда вы пробрасываете порт на втором роутере, а забываете, что запрос с интернета сначала должен пройти через первый роутер. В таком случае правило нужно делать на обоих устройствах или переводить одно из них в режим моста/точки доступа.

Если вы подключаете роутер к модему или провайдерскому терминалу, заранее продумайте схему. Часто лучше оставить главным только одно устройство, а второе перевести в режим точки доступа. Так сеть становится проще, меньше задержек и меньше проблем с NAT. По этой теме у нас есть отдельная инструкция как подключить роутер к модему.

Плюсы и минусы IP NAT

NAT удобен, но не нужно воспринимать его как магическую кнопку безопасности. Да, из интернета обычно нельзя просто так обратиться к вашему компьютеру по адресу 192.168.1.10. Но если вы сами открыли порт, включили DMZ, поставили слабый пароль на камеру или не обновляете устройство, риски все равно остаются. Если нужно открыть устройство наружу, лучше делать это точечно, с пониманием, что именно вы публикуете в интернет.

Для игр и программ часто встречается еще UPnP. Эта функция позволяет приложениям автоматически открывать нужные порты на роутере. Это удобно для приставок, торрентов, некоторых игр и видеосвязи, но с точки зрения безопасности включать UPnP везде бездумно не стоит. Если хотите разобраться подробнее, что это за функция и когда она нужна, почитайте материал про UPnP на роутере.

Видео

Если вам что-то было не понятно, или вам лень читать, то советую посмотреть это полезное видео.

YouTube

Как настроить и включить NAT на роутере

Стандартный NAT уже работает в режиме PAT, и его настраивать не нужно. То есть вы просто настраиваете интернет и Wi-Fi на маршрутизаторе. В большинстве домашних роутеров NAT включается автоматически, когда устройство работает именно в режиме роутера, а интернет приходит в WAN-порт. Если вы перевели роутер в режим точки доступа, моста или репитера, NAT там обычно не используется, потому что главным шлюзом становится другое устройство.

Другой вопрос, если дома вы решили организовать Web, игровой или почтовый сервер. А быть может, вы хотите подключить камеры видеонаблюдения и следить за домом или квартирой, отдыхая на Бали. Вот тут нам понадобится проброс портов – об этом смотрите статью про порты. Там коротко рассказано, что такое порты, для чего они нужны и как их пробросить.

Перед пробросом портов проверьте три вещи:

• Устройство внутри сети должно иметь постоянный локальный IP или закрепленный адрес в DHCP роутера.
• У вас должен быть белый внешний IP, иначе запросы из интернета могут не доходить до роутера.
• Правило проброса должно указывать на правильный внутренний IP и правильный порт.

Если правило указывает на старый адрес, ничего работать не будет. Например, сегодня камера получила 192.168.1.35, вы на нее пробросили порт, а завтра после перезагрузки она получила 192.168.1.48. Правило осталось на старый адрес, и входящие подключения улетают в пустоту. Поэтому перед пробросом порта всегда лучше закрепить IP за нужным устройством.

Если у вас роутер TP-Link, можете посмотреть отдельную инструкцию как пробросить порты на роутере TP-Link. Если вы хотите открыть все порты сразу на одно устройство, встречается функция DMZ, но я бы не советовал включать ее без необходимости. DMZ делает устройство намного более открытым для внешнего мира, поэтому использовать ее нужно только с пониманием риска. Подробнее про эту функцию можно почитать здесь: что такое DMZ в роутере.

Не открывайте наружу админку роутера, камеру, NAS или компьютер с простым паролем. NAT и проброс портов – это не игрушка, а реальный доступ из интернета в вашу домашнюю сеть. Если открываете порт, проверьте пароль, обновления устройства, шифрование и доступ только к нужному сервису. Для удаленного доступа часто безопаснее использовать VPN или облачный сервис производителя, чем выставлять устройство напрямую в интернет.

Короткий FAQ

NAT нужно включать вручную?

В обычном домашнем роутере нет. Если роутер работает в режиме маршрутизатора и подключен к интернету через WAN, NAT почти всегда включен автоматически. Вы просто настраиваете подключение к провайдеру и Wi-Fi, а перевод адресов роутер делает сам. Вручную обычно настраивают не NAT как таковой, а проброс портов, DMZ, UPnP или режим работы роутера.

 

NAT и firewall – это одно и то же?

Нет. NAT переводит адреса и порты, а firewall фильтрует трафик по правилам. В домашних роутерах эти функции часто работают рядом, поэтому кажется, что это одно и то же. NAT действительно затрудняет входящие подключения снаружи, но полноценной заменой межсетевому экрану он не является. Для безопасности важны и NAT, и firewall, и нормальные пароли, и обновления устройств.

 

Почему из-за NAT не работает сервер или камера?

Потому что устройство внутри дома имеет локальный адрес, который не виден напрямую из интернета. Чтобы внешний пользователь попал на камеру или сервер, нужно пробросить порт на роутере и иметь белый внешний IP. Если провайдер выдал серый IP или у вас CG-NAT, обычный проброс портов может не помочь. Тогда нужно заказывать белый IP, использовать VPN или облачный доступ.

 

Что такое «строгий NAT» в играх?

Обычно так игровые приставки и игры называют ситуацию, когда входящие соединения к вашему устройству ограничены. Причиной может быть закрытый порт, двойной NAT, CG-NAT у провайдера, отключенный UPnP или строгие правила firewall. Для обычного интернета это почти не заметно, а вот в играх могут быть проблемы с подключением к друзьям, голосовым чатом и созданием лобби.

 

IPv6 отменяет NAT?

В идеальной схеме IPv6 позволяет выдавать устройствам уникальные глобальные адреса без необходимости экономить каждый IP. Но на практике IPv4 и NAT еще долго будут жить рядом с IPv6. У многих провайдеров IPv6 не включен, у части устройств поддержка ограничена, а некоторые сервисы все равно работают через IPv4. Поэтому понимать NAT полезно даже сегодня.

Видео

YouTube