Обход NAT вполне реален в нынешних реалях?

Question

[Артем Абрагмад]

Если несколько вопросов.
Если обойти NAT, то Firewall-ы будут бесполезны? Будут ли они реагировать на подключение?
Какие способы обхода существуют? Слыхал об hole punching/STUN, но вроде для них нужен промежуточный сервер, но тогда смысл от децентрализации.

Просто интересно возможно ли создать полностью децентрализованную сеть, где у всех будут равные права, а именно без сервера, который является костылём в P2P сети

Answer 1

[ValdikSS]

Для «пробива» NAT существуют распространённые и широко применяемые практики, задокументированные в RFC5128, а также менее распространённые, но технические еще более продвинутые, вроде pwnat.

Слыхал об hole punching/STUN, но вроде для них нужен промежуточный сервер, но тогда смысл от децентрализации.

Промежуточный сервер в Hole Punching нужен только для согласования IP-адресов и портов. Если же IP-адрес и порт заранее известны (например, вы настраиваете UDP VPN между двумя пирами), то промежуточный сервер не нужен: просто отправляйте пакеты по UDP со статичными портами на обеих сторонах друг к другу.

Промежуточным сервером также может быть другой пир, а не обязательно централизованный сервер. В расширении ut_holepunch протокола BitTorrent DHT один пир может отослать другому пиру сообщение о необходимости подключения друг к другу путём отправки сообщения в DHT.

Comments

[nilas]

как все сложно...
проще купить вдс и поставить туда https://github.com/iamlinhui/rpt

[ValdikSS]

nilas, если есть сторонний узел с маршрутизируемым IP-адресом, то можно любой VPN или реверс-прокси использовать, это не пробив NAT.

[nilas]

ValdikSS, что не пробив NAT? у меня серый IP значит я под NAT сижу.

[ValdikSS]

nilas, пробивом NAT называют создание таких условий, при которых два хоста за (разными) NAT могут установить прямое соединение друг с другом.
Создание туннеля через третий сервер с маршрутизируемым IP-адресом не является пробивом NAT — прямое соединение между двумя узлами не устанавливается.

[nilas]

ValdikSS, не надо устанавливать соединения с игроком, сервер является посредником, cервер(купленная вдс) берет пакеты игрока и шлет в туннель который создан между хоум компьютером и вдс.
Если ты про установку связи с серым IP то это не возможно, если у игрока серый IP и он решил захостить сервер то у него нечего не выйдет без вдс.

[ValdikSS]

nilas,

Если ты про установку связи с серым IP то это не возможно, если у игрока серый IP и он решил захостить сервер то у него нечего не выйдет без вдс.

Методы обхода NAT существуют именно для этого — для установки прямого соединения, без какого-либо посредника. Именно это называется термином «пробив NAT».

Установка туннелированного соединения через сервер-посредник работает и с NAT, и без него. Было бы бессмысленно называть это «пробивом NAT».

[nilas]

ValdikSS, это пробив NAT потому что через эту программу я теперь доступен из вне, юзать эту программу имея белый IP бессмысленно.

[ValdikSS]

nilas, для описываемого вашего сценария нет устоявшегося термина. Программа ngrok, созданная для таких туннелей, описывает себя как "globally distributed reverse proxy", а localtunnel как "Localtunnel allows you to easily share a web service on your local development machine".
Также неоднократно встречал фразу "publish port behind NAT".
В ssh-j.com я написал "expose port behind NAT".

Но это всё не пробив NAT (NAT punch/NAT traversal). Смысл пробива именно в установке прямого соединения между узлами.

Пожалуйста, давайте не будем превращать комментарии в чат. Ознакомьтесь со статьями на эту тему. Прочтите how NAT traversal works от Tailscale — одна из понятных и полных статей на эту тему. Посмотрите сопутствующий материал, загляните в реализацию WebRTC и аудиозвонков/видеочатов в браузере, вроде Jitsi Meet — они устанавливают соединения напрямую, когда это возможно, даже если оба клиента находятся за NAT.

Answer 2

[res2001]

Согласен с предыдущими отвечающими.
Но, можно посмотреть в сторону IPv6. С его адресной базой NAT в принципе не нужен, можно раздавать белые адреса каждому "утюгу". Вот только не уверен, что провайдеры именно так поступают.

Фаервол в любом случае может заблокировать трафик, хоть с NAT, хоть без NAT, хоть IPv6 - роли не играет.
Обычно, что бы обходить фаервол просто используют "стандартные" порты на сервере, которые, как правило (но не обязательно), везде открыты, например TCP/80 (http) или TCP/443(HTTPS). Это не дает 100% гарантии прохождения фаервола, но шансы повышает.

И кстати, если мы говорим об IPv4, то для того, что бы обойти NAT нужно использовать UDP, а не TCP. На TCP NAT не обойти.
На счет STUN и т.п. Там смысл в том, что сам STUN сервер с белым IP нужен только для получения клиентами адреса и порта "сервера", дальнейшая передача трафика идет напрямую между клиентом и сервером. NAT в этом случае не обходится, а просто клиентами используется та же дырка в NAT, которая образовалась при подключении сервера к STUN.

Comments

[nilas]

есть ли актуальный гайд по открытию порта tcp через stun\turn?
а-то весь инет перерыл но не нашел гайда в итоге пришел к одному выводу: открыть порт можно только имея вдс с белым IP, открывается при помощи wireguard.

[ValdikSS]

nilas, порт «открывается» во время установки соединения к хосту. STUN используется для получения информации о NAT (сохраняется ли исходящий порт в процессе установки NAT-маппинга или нет, принимаются ли соединения на этот порт от других адресов после отправки пакета или нет).
Типичный порядок действий описан в Википедии: https://en.wikipedia.org/wiki/TCP_hole_punching#De...

В целом, обход NAT с TCP заметно менее надёжный, чем с UDP, но буквально на днях приходилось его применять, и он сработал.

[nilas]

ValdikSS, https://en.wikipedia.org/wiki/TCP_hole_punching#De... это теория а не гайд как пробить NAT.
я же говорю нету статьи подробной где взять stun client где взять аипи stun сервера, какие проги понадобятся и т.д

[ValdikSS]

nilas, полагаю, вы пишете свою программу, в которую хотите встроить пробив NAT? Возьмите какую-нибудь библиотеку для работы с WebRTC, в неё встроен протокол ICE для пробива NAT.
Если вы ищете готовую программу, то посмотрите в сторону Full Mesh VPN: tinc, ZeroTier, Weron VPN.

Методы пробива NAT, в подавляющем большинстве случаев, не позволят вам «открыть» порт таким образом, чтобы к нему подключалась любая другая обычная программа: методы подключения в обход NAT должны быть встроены в саму программу, и на серверной стороне, и на клиентской.

[nilas]

ValdikSS, ты про wireguard забыл

[ValdikSS]

nilas, я перечислил проекты со встроенным пробивом NAT, которые установят соединение автоматически. В Wireguard он не встроен, но его тоже можно использовать для установки прямого соединения между двумя узлами, но придётся все настраивать вручную: если NAT не сохраняет порт источника, но создаёт маппинг вне зависимости от адреса и порта назначения, то придётся вручную запускать stun-клиент, узнавать порт, прописывать его, поддерживать его «открытость» в фоне.

Аналогично и OpenVPN — его также можно настроить на фиксированные порты UDP.

P.S. если вам интересно, я разрабатываю практическую наглядную статью по пробиву NAT на примере Github Actions. Надеюсь, будет готово к концу этого месяца.

[res2001]

ValdikSS, Будет интересно.

[nilas]

ValdikSS, что с статьей? будет в августе она?

[ValdikSS]

nilas, Сделал пример: https://github.com/ValdikSS/nat-traversal-github-a...
Статья будет позже.

[nilas]

ValdikSS, https://github.com/ValdikSS/nat-traversal-github-a... понадобится установить wireguard + git больше нечего не надо устанавливать?
еще не понятен этот момент:Пробивайте NAT пустым пакетом UDP каждые 28 секунд по направлению к IP-адресу клиента и порту от порта VPN-сервера, nping пока клиент не подключится - не описывают что делать и т.д, ждем пошаговую инструкцию ибо новички не поймут как что.
Пошаговая инструкиця выглядит так:
1. установить wireguard а так же git
2. запустите такой-то скрипт
ну и дальше по списку.

[ValdikSS]

nilas,
https://github.com/ValdikSS/nat-traversal-github-a...
Пошаговая инструкция по использованию.

еще не понятен этот момент:Пробивайте NAT пустым пакетом UDP каждые 28 секунд по направлению к IP-адресу клиента и порту от порта VPN-сервера, nping пока клиент не подключится - не описывают что делать и т.д, ждем пошаговую инструкцию ибо новички не поймут как что.

Смотрите параметры команды nping ниже комментария.

[ValdikSS]

IOnetty, полагается, что читатель имеет определённые познания в компьютерных сетях и протоколах, понимает основные концепции VPN, SSH и git, и после успешного подключения сможет самостоятельно разобраться, что помогло в его установке, путём самостоятельного анализа, модификации скриптов, и т.п.
Это наглядный пример обхода NAT, а не видеоурок.

[nilas]

ValdikSS, в таком случае статья бесполезна - человек который разбирается в этом давно знает какой у него NAT и способы обхода.
это не обход ибо нету доков.

[nilas]

ValdikSS, шизойд - покажи где ты там это нашел:Смотрите параметры команды nping ниже комментария.

[ValdikSS]

nilas, если вы инструкцию не смогли найти, то, вероятно, вы вообще не читали написанный текст. Все основные действия, применяемые для обхода NAT, подробно задокументированы.

статья бесполезна

Это не статья, она будет позже.

[nilas]

ValdikSS, потому что - что в твоем понимание инструкция то у других набор символов даже у тех кто разбирается в этом.

[res2001]

ValdikSS, Скрипт и конфиги просмотрел, пока не тестировал. Позже попробую.
В целом подход понятен. Считаю, что даже такой простой пример вполне годен для начала собственных экспериментов.
Спасибо за то, что делишься своим опытом! Жду статью.

nilas,

покажи где ты там это нашел

nping используется в yml файлах, которые лежат в подкаталоге .github/workflow, там же и максимально подробные комментарии.
В начале readme написано, что скрипт предназначен для обхода NAT в Github Actions для получения доступа к ВПН на сервере Actions. Обходится тут NAT Github Actions. yml файлы используются в Actions для конфигурирования заданий.
Так что это не универсальная инструкция, работающая везде, а пример работающего обхода NAT для конкретной ситуации и конфигурации.

то у других набор символов даже у тех кто разбирается в этом.

Те кто немного разбираются могут посмотреть скрипт и yml, понять что там делается, адаптировать под себя.

[nilas]

ValdikSS, когда она будет?

Answer 3

[CityCat4]

Очередной построитель "суперзащищенной децентрализованной сети", да? Олиферов сначала прочитай, сил нет уже такой бред комментировать.

NAT обойти невозможно. В смысле, если нет ни одного сервера с белым адресом - то построение такой сети невозможно. Если же он есть - сеть всегда строится на базе коннекта к нему.
Именно поэтому TeamViewer напирмер имел огромную кучу адресов, надерганных из разных блоков - чтобы сложнее было найти и забанить.

Comments

[ValdikSS]

Немалое количество программ и протоколов обходят NAT при наличии только «серого» адреса на обеих сторонах. Наиболее известные стандартизованные примеры: SIP и WebRTC.

если нет ни одного сервера с белым адресом - то построение такой сети невозможно

В самом простом случае, если вы знаете IP-адреса обоих клиентов (например, у вас не сервер, принимающий соединения от разных клиентов с заранее неизвестным адресом, а фиксированный туннель на два адреса), то пробить NAT на двух сторонах не составляет проблем, если речь не о симметричном NAT.

[LinuxoidLinuxoidovich]

>Если же он есть - сеть всегда строится на базе коннекта к нему.
Только при первом подключении чтобы получить информацию о нескольких участниках сети. i2p без проблем работает за НАТом.

[CityCat4]

LinuxoidLinuxoidovich, когда говорят про NAT, обычно имеют в виду провайдерский NAT, то есть сотня телефонов в тырнете с одним внешним IP и сотней внутренних. Вот Вы знаете внешний IP 1.2.3.4 и тот факт, что за ним на IP 172.16.1.1 есть клиент. Но NAT не пробрасывает соединение, потому что он провайдерский.

Что делать? (Коннект к внешнему VDS не рассматриваем - это очевидное решение, но вопрос обычно в том, чтобы "без серверов")

"Без серверов" работает только mesh, но у нее совершенно очевидные недостатки.

[LinuxoidLinuxoidovich]

CityCat4, А я про какой говорю?