Какова специфика работы NAT Overload (PAT) для подключения из вне к хостам?

Question

[Cuibai]

Добрый день.

Много имеется мануалов, где расписано, как хост подключается к серверу через PAT. Но как с обратной ситуацией?

Как личи торрентов находят сидов для передачи файлов, ведь наш IP скрыт и трансляций NAT тоже нет в этот момент?

Как в ICQ/telegram приходят сообщения на наш ПК, если пишем не мы, а нам?

Или в Teamviewer подключение между компьютерами?

Приложения поддерживают TCP сессии с серверами, пока включены на компьютере? Без активных трансляций же невозможно послать пакет на наш компьютер.

Я правильно понимаю, что в Интернете по сути любая связь между конечными компьютерами происходит всегда через какой-либо сервер в открытой сети и прямой связи просто не бывает, кроме как внутри подсети?

И правильно ли я понимаю, что пакет не единожды проходит PATы и меняет ip адреса, так как у провайдера тоже стоит PAT между моим роутером и их роутером на границе AS в который идут пакеты от коммутатора многоквартирного дома, например?

spoiler

Да, есть чувство, что я упустил какой-то важный момент для понимания этих процессов и буду рад ответу

Answer 1

[Руслан]

Как личи торрентов находят сидов для передачи файлов, ведь наш IP скрыт и трансляций NAT тоже нет в этот момент?
Ответ тут ситуация сложнее это связано с состоянием соединения и маршрутизацией это я еще не доучил
https://it.wikireading.ru/12810
( еще есть такая штука как upnp и открытие портов )

Как в ICQ/telegram приходят сообщения на наш ПК, если пишем не мы, а нам?
Ответ
Сообщение попадает на сервер с открытым портом и отуда скачивается

Или в Teamviewer подключение между компьютерами?
Ответ
https://en.wikipedia.org/wiki/UDP_hole_punching
https://en.wikipedia.org/wiki/TCP_hole_punching
Для координации нужен третий узел-посредник, а дальше уже напрямую.

Comments

[Cuibai]

Спасибо. Многое для себя прояснил.

Answer 2

[CityCat4]

Я правильно понимаю, что в Интернете по сути любая связь между конечными компьютерами происходит всегда через какой-либо сервер в открытой сети и прямой связи просто не бывает, кроме как внутри подсети?

Правильно.

Тема соединения за NAT - она едрить смотрена-пересмотрена, писана-перерасписана сто тыщ мильенов раз.

К серверу, находящемуся за NAT по Вашей инициативе (а не сервера) подключиться НЕВОЗМОЖНО Вот просто технически невозможно. В каждой подсети, окружающей сети Вашего провайдера может оказаться свой 192.168.1.1 :) Куда прикажете направлять соединение?

Все сервисы по спариванию компьютеров типа TeamViewer работают по одному и тому же принципу - компьютер за NAT инициирует соединение с сервером TeamViewer и регистрируется там. Другой точно так же регистрируется там. И TeamViewer обеспечивает их соединение через свои сервера

То же самое и со всем остальным - всегда и везде есть управляющий шар сервер.

Comments

[SunRiser]

>>Вашей инициативе (а не сервера) подключиться НЕВОЗМОЖНО
Как так? Если NAT неправильно настроен, можно. Например у вас внутренняя сеть 192.168.1.0/24, ночью провайдер берет и вместо адреса который обычно вам выдает ставит IP из вашего внутреннего пула. И спокойно открывает сессию до хоста внутри сети.

[CityCat4]

Если NAT неправильно настроен

Если бы да кабы, да во рту б росли грибы... Есть примеры из практики такого? Мне это представляется весьма маловероятным, хоть технически где-то возможным. У меня такое точно не сработает, потому что у меня на микротике режется нафиг весь RFC1918 и на вход и на выход, кроме того, что пришло по IPSec, но какая там подсеть у меня ходит по IPSec - провайдер может только гадать :)

[Cuibai]

Спасибо за ответ. Я упустил из виду про типы NAT (полный конус, и т.д.), а только читал про подвиды (статический, динамический и перегруженный). Не знаю почему не попадались первые, хотя про них даже в википедии написано.
В следствии я уже прочитал и про STUN и TURN сервера, но почему-то везде опускается один важный момент. Что подключение по TeamViewer или звонок Skype инициирую я, а второй участник не в курсе этого (ну, по крайней мере компьютер про это точно не знает) и как он понимает, что нужно подключаться к серверу для определения белого адреса и порта?

Выходит программа при включении открывает трансляцию к серверу с временем жизни, допустим, 24 часа, чтобы в любой момент сервер мог отправить пакет клиенту? И при закрытии программы посылается пакет, с завершением трансляции?

[CityCat4]

Cuibai, Есть "регистрация на сервере". Вы "вошли в скайп" - и сервер скайпа знает, что на IP 1.2.3.4 сидит Вася Комаров и ловит комаров... А если Петя Мошкин хочет позвонить Васе (предполагается, что Петя и Вася есть друг у друга в контактах) - то он тоже "входит в скайп" - и сервер скайпа знает, что на IP 2.3.4.5 сидит Петя Мошкин. Когда Петя "звонит" Васе, то сервер, имея пары "логин - IP", соединяет их (напрямую, если у них работает проброс портов, через себя - если не работает).
Точно так же работает и TeamViewer, только там вместо логина - ID. Серверу нужна упорядоченная пара "логин - ID", которыми он и оперирует.
При закрытии - идет стандартное завершение TCP сессии, наверное, никогда не думал проверять :)

Answer 3

[Денис Сечин]

В большинстве случаев используется third-party сервера они же своего рода прокси сервера которые спаривают соединения хостов за нат. Ещё есть техника udp-hole pushing (работает только для udp.