Можно ли таким образом связать два хоста, находящиеся за NAT напрямую?

Question

[DVoropaev]

Есть три хоста:
хост A подключен через NAT на роутере R1
хост B подключен через NAT на роутере R2
хост C - сервер, подключен к интернету напрямую, имеет статичный IP

Алгоритм действия такой:
1) хост A стучится на сервер C по UDP
2)NAT на роутере R1 открывает динамический порт (port1), подставляет номер порта и внешний IP в source пакета, который A отсылает C
3) Сервер C получает этот пакет и запоминает, что хост A доступен по IP и порту (port2) из предыдущего пункта
4...6) Аналогичным образом C узнает IP адрес и динамический порт на R2 для хоста B
7) Сервер сообщает данные о хосте B хосту А.
8) Сервер сообщает данные о хосте A хосту B.

А дальше идет такая коммуникация между хостами A и B (уже без посредника C):
A -> R1 -> R2:port2 -> B
Хост A отправляет пакет на адрес R2:port2
пакет проходит через R1, который подставляет свой IP и свой port1
R2 принимает пакет, смотрит port2 и видет что он назначен на хост R2.
Пакет приходит на R2
Аналогичным образом отправка идет с хоста A на хост B.

Вопрос, в каких случаях такой способ сработает, а в каких нет?

Comments

[Владимир]

Непонятно почему просто не настроить VPN https://openvpn.net/download-open-vpn/
В этом случае все три хоста могут быть в одной сети
VPN сервер на С клиенты на A B

[АртемЪ]

Владимир, Хотя бы потому, что придется весь трафик гнать через VPN.
Иногда это крайне неудобно, особенно если прогонять надо сотни гигабайт в сутки и скорость нужна хорошая.

Answer 1

[antonwx]

Эмм, поздравляю с изобретением hole punching. Проще всего воспользоваться чем-нибудь готовым.

Answer 2

[Михаил Васильев]

Какая-то наркомания, честно.
Просто поднимите tinc и все будет работать.
https://habr.com/ru/post/468213/

В вашем случае даже проще так:
https://habr.com/ru/company/flant/blog/338628/

Answer 3

[xmoonlight]

Читайте тут

Symmetric NAT. До недавнего времени это была наиболее распространённая реализация. Его характерная особенность – в таблице NAT маппинг адреса IL на адрес IG жёстко привязан к адресу OG, то есть к адресу назначения, который был указан в исходящем пакете, инициировавшем этот маппинг. При указанной реализации NAT в нашем примере хост 192.168.0.141 получит оттранслированные входящие UDP-пакеты только от хоста 1.2.3.4 и строго с портом источника 53 и портом назначения 1053 – ни от кого более. Пакеты от других хостов, даже если указанные в пакете адрес назначения и порт назначения присутствуют в таблице NAT, будут уничтожаться маршрутизатором. Это наиболее параноидальная реализация NAT, обеспечивающая более высокую безопасность для хостов локальной сети, но в некоторых случаях сильно усложняющая жизнь системных администраторов. Да и пользователей тоже.

Full Cone NAT. Эта реализация NAT – полная противоположность предыдущей. При Full Cone NAT входящие пакеты от любого внешнего хоста будут оттранслированы и переправлены соответствующему хосту в локальной сети, если в таблице NAT присутствует соответствующая запись. Более того, номер порта источника в этом случае тоже не имеет значения – он может быть и 53, и 54, и вообще каким угодно. Например, если некое приложение, запущенное на компьютере в локальной сети, инициировало получение пакетов UDP от внешнего хоста 1.2.3.4 на локальный порт 4444, то пакеты UDP для этого приложения смогут слать также и 1.2.3.5, и 1.2.3.6, и вообще все до тех пор, пока запись в таблице NAT не будет по какой-либо причине удалена. Ещё раз: в этой реализации NAT во входящих пакетах проверяется только транспортный протокол, адрес назначения и порт назначения, адрес и порт источника значения не имеют.

Address Restricted Cone NAT (он же Restricted NAT). Эта реализация занимает промежуточное положение между Symmetric и Full Cone реализациями NAT – маршрутизатор будет транслировать входящие пакеты только с определенного адреса источника (в нашем случае 1.2.3.4), но номер порта источника при этом может быть любым.

Port Restricted Cone NAT (или Port Restricted NAT). То же, что и Address Restricted Cone NAT, но в этом случае маршрутизатор обращает внимание на соответствие номера порта источника и не обращает внимания на адрес источника. В нашем примере маршрутизатор будет транслировать входящие пакеты с любым адресом источника, но порт источника при этом обязан быть 53, в противном случае пакет будет уничтожен маршрутизатором.

Comments

[АртемЪ]

Сработает.
Внешний IP известен - это адрес NAT.

[xmoonlight]

АртемЪ, обратно (внутрь) - пакет не пройдёт на внутренний хост.
Обратный NAT (из-вне) должен поддерживать роутер провайдера.

[АртемЪ]

xmoonlight, Пойдет, и без поддержки.
Допустим надо связать хосты А и Б за натом провайдера.
Для этого хост A устанавливает соединение с посредником - хост C имеющий белый IP адрес ( например 50.50.50.50)
При этом NAT провайдера отправляет запрос на хост С, и резервирует случайный порт (например 55555, на который ожидает ответ от хоста С.
То же самое делает хост Б.

После чего хост Б отправляет на адрес шлюза провайдера пакет - в качестве отправителя в пакете указан адрес 50.50.50.50, порт 55555.
Поскольку шлюз провайдера ожидает ответ от хоста с адресом 50.50.50.50 на порт 55555, то он пересылает этот пакет хосту А.

[xmoonlight]

АртемЪ, Не до конца понял....
(пусть порт коммуникации на C:111)
1. A<->NAT_A[:55555]<->C[50.50.50.50:111]
2. B<->NAT_B[:55555]<->C[50.50.50.50:111]

После чего хост Б отправляет на адрес шлюза провайдера пакет - в качестве отправителя в пакете указан адрес 50.50.50.50, порт 55555.

3.?....

Поскольку шлюз провайдера ожидает ответ от хоста с адресом 50.50.50.50 на порт 55555, то он пересылает этот пакет хосту А.

4. ?....
Вот в п.3 и п.4 - что-то не могу понять логику...

[АртемЪ]

xmoonlight, Ну смотрите в штатном режиме NAT работает следующим образом -
Если хост 192.168.1.8 из локальной сети хочет связаться с абонентом в глобальной сети, NAT провайдера подменяет серый адрес отправителя на свой белый адрес 30.30.30.30 и отправляет абоненту, после чего ожидает ответ от абонента. Чтобы однозначно понимать что ответ от абонента предназначен для 192.168.1.8 он резервирует порт - например 1548 для этого абонента.
В итоге абонент отправляет ответ на адрес 30.30.30.30:1548 (шлюз провайдера и порт.) и сервер NAT смотрит у себя таблицу трансляции адресов, видит что порт 1458 зарезервирован для адреса 192.168.1.8 и отправляет ему пакет.
Это штатная схема работы NAT.

Для того чтобы пройти NAT нам нужно несколько вещей -
1) нужно чтобы NAT провайдера ожидал ответ для 192.168.1.8
2) нужно знать с какого IP адреса он ожидает ответ.
3) нужно знать на какой порт он ожидает ответ.

В итоге -
1)Делаем запрос к серверу посреднику - и NAT провайдера будет ожидать от него ответ.
2)Этот самый посредник вместо того, чтобы ответить на запрос, просто сообщает другому хосту - что шлюз провайдера 30.30.30.30 ожидает ответ с IP адреса посредника на порт 1548.
3)Этот хост отправляет пакет на адрес 30.30.30.30 предварительно подменив в нем отправителя.
В результате NAT видит что ему пришел ответ от посредника к которому он отправлял запрос и переправляет его на 192.168.1.8.
Просто обман NAT.

[xmoonlight]

АртемЪ, Понял.
А вот подобный NAT-обман - не фильтруется разве?

[АртемЪ]

xmoonlight,

А вот подобный NAT-обман - не фильтруется разве?

В смысле? А зачем?
Сам по себе NAT - это трансляция адресов, маскарадинг. когда серый адрес абонента подменяется на белый адрес шлюза.
Основной принцип работы любого NAT это обман - подделка адресов в пакетах.

Чтобы обойти NAT - применяется та же самая трансляция, только более хитрая.

[xmoonlight]

АртемЪ, Т.е. можно захватить все порты шлюза, просто "прошив" NAT-ниткой всю NAT-таблицу шлюза?)

[АртемЪ]

xmoonlight, Эм, немножко не понял сути.
Можно поподробнее?

[xmoonlight]

АртемЪ, Ну каждый раз генерить пакеты на соединение, что адрес возврата - это порт шлюза, и дальше - по цепочке: как-будто "сшивать" порты NAT-а так, чтобы порты одного NAT-а коннектились к друг другу и до тех пор, пока не закончатся номера.

[АртемЪ]

xmoonlight, когда абонент из серой сети провайдера ломиться куда-то во внешку NAT провайдера выдает ему временно порт, после разрыва соединения порт возвращается в общий пул.
Количество портов ограничено.
Если абоненты запускают много соединений (например торренты) и абонентов много - порты кончаются.
Поэтому провайдерам использующим NAT приходится либо ограничивать абонентов на количество соединений, либо ставить дополнительные шлюзы с NAT.

[xmoonlight]

АртемЪ, Нет. Немного я не про то.
1. А - инициирует соединение на хост С
2. С - возвращает хосту А порт его NAT-а (NP) не устанавливая соединение до конца.
3. А - открывает у себя ожидание завершения соединения на произвольном порту P2 и сообщает его C
4. C - отправляет пакет с заголовком, что отправитель - это NAT с портом NP, а получатель - A и порт P2.

В итоге - рождается NAT-петля.
Так?

[АртемЪ]

xmoonlight, Теоретически так. Практически не получится.

отправитель - это NAT

то пакет просто не попадет под правила фильтрации входящего и исходящего трафика.

[xmoonlight]

АртемЪ, Вот у меня именно в этом и сомнения: почему тут - фильтрация сработает, а при обмане NAT - нет?
На NAT'е хоста A не было же исходящего соединения на хост B... (именно вот в этом - мой и вопрос...)

[АртемЪ]

xmoonlight, Хм, надо попробовать - не должно по идее.
Но даже если сработает - просто вешаем еще одно правило и отсекаем подобные запросы.

[xmoonlight]

АртемЪ, Хотелось бы понять: я верно ответил в своём основном ответе или нет?
Как я предположил, что по-умолчанию, у провайдеров, не должно подобного допускаться (обман NAT'а).

[АртемЪ]

xmoonlight, Скажем так - если вы пытаетесь вывести оборудование провайдера из строя, провайдер конечно же от этого защищается в любом случае.

А тот факт что кто-то напрямую подключается к хосту за NAT - от этого какой вред провайдеру, какой смысл с этим бороться?
NAT для провайдера это вынужденная мера, чтобы не тратить белые адреса на всех.
Если кто-то находит способ подключаться напрямую - так это же хорошо.
Какой смысл это запрещать?

А то что это работает - тот же тимвьювер работает по такому принципу.
Сервер тимвьювера пытается связать абонентов напрямую, если это возможно и во многих случаях это получается, если не получается - гонит трафик через свои сервера.
А не получается чаще всего потому что у нас в норме вещей двойной, а то и тройной NAT - за натом провайдера стоит роутер абонента с NAT'ом, а за ним нередко и еще один.

[АртемЪ]

xmoonlight, Ну и если вернуться к примеру, так до конца и не понял идеи.

А - открывает у себя ожидание завершения соединения на произвольном порту P2 и сообщает его C

На каком порту будет ждать соединение NAT - решает именно NAT.

В итоге - рождается NAT-петля.

Почему петля - ну даже отправит NAT пакет пользователю, тот его получит - дальше то что?

[xmoonlight]

АртемЪ, По 1-му комменту - понятно.
По 2-му:
1. Решает-то NAT, но узел C - знает его. А хост "A" - знает на каком порту у себя - его поймать (хвост петли).
2. Петля, потому, что в соединении от A к A будет заюзан NAT шлюза A.

[xmoonlight]

АртемЪ,

Скажем так - если вы пытаетесь вывести оборудование провайдера из строя, провайдер конечно же от этого защищается в любом случае.

Вот про защиту с помощью фильтрации "левых" NAT-соединений - я как раз и говорю.
Что в случае, если это фильтруется, то подмена заголовка отправителя (B) - должна закончиться неудачей. Иначе - возможна атака петлёй.

[xmoonlight]

poisons, Изучил! Спасибо!

Answer 4

[Saboteur]

Да, так сработает. Но нужно понимать, что если будет пауза в передаче пакетов, то роутеры могут "забыть" про эту сессию, а восстановить подключение без C, ваши A и B не смогут.
Надежнее на роутерах сделать нормальный проброс портов.