Двойной NAT или одиночный NAT – как обращаться со шлюзом (предоставляемым провайдером)

Россия+7 (910) 990-43-11
Обновлено: 2022-02-08

В идеале вы должны использовать только один роутер в своей домашней сети. Но иногда выбора нет, например, когда вам нужно сохранить шлюз, предоставленный интернет-провайдером, но при этом вы хотите расширить или обновить свою систему.

Шлюз – это единый аппаратный блок, содержащий роутер Wi-Fi и модем (или интернет-приемник любого типа, если на то пошло) внутри. Тем не менее, в этой статье шлюз – это, прежде всего, роутер.

Этот пост поможет вам получить нужную домашнюю сеть, даже если вы не можете или не хотите заменять существующий роутер. По сути, эта часть касается размещения роутера (или ячеистой системы) поверх другого. То есть, это вопрос одиночного NAT против двойного NAT.

Но, в зависимости от вашей ситуации вам может потребоваться сделать что-то столь же простое, как максимально использовать возможности шлюза, установить точку доступа или «удлинитель Wi-Fi».

Как правильно настроить шлюз, предоставляемый провайдером

Если вы живёте в небольшом доме, скорее всего, роутер, который у вас есть под рукой, это шлюз, установленный вашим интернет-провайдером, и этого достаточно для ваших потребностей в Wi-Fi.

Если вы решите использовать его вместо того, чтобы приобретать собственное оборудование, вам следует подумать о том, чтобы извлечь из него максимальную пользу.

Дополнительно: преимущества шлюза, предоставляемого провайдером

Хотя очевидно, что лучше всего использовать своё оборудование, использование шлюза, предоставляемого вашим интернет-провайдером, даёт некоторые преимущества.

Вот несколько примеров:

  • Простота использования: Вам не нужно ничего делать. Провайдер настроит для вас работу домашней сети и будет управлять оборудованием, включая обновление прошивки, устранение неполадок и т.д.
  • Меньше беспорядка: у вас будет только один аппаратный блок вместо двух.
  • Беспроблемная замена оборудования: если шлюз выйдет из строя, позвоните провайдеру, и вы быстро получите замену – и всё это бесплатно. Провайдер также модернизирует оборудование, когда это необходимо.
  • Простое управление: у некоторых провайдеров вы можете управлять некоторыми аспектами своей домашней сети, например, изменять пароль Wi-Fi, через свою учетную запись в Интернете. (Это если вы согласны с потенциальными рисками для конфиденциальности.)
  • Неограниченный лимит данных: некоторые провайдеры снижают стоимость неограниченного лимита на трафик при использовании их шлюза.

Короче говоря, использование оборудования, проверенного провайдером, не так уж и плохо. Некоторых преимуществ достаточно, чтобы оправдать ежемесячную «арендную» плату.

В этом случае есть несколько вещей, которые вы должны сделать. Кстати, управлять шлюзом можно так же, как и обычным Wi-Fi роутером.

  1. Изменить доступ по умолчанию к шлюзу

    Все шлюзы, предоставляемые провайдерами, имеют стандартные данные для доступа администратора. Любой, кто знает это, может войти в его интерфейс, будучи частью сети. В целях безопасности вы должны изменить пароль на что-то другое.

    Для этого войдите в веб-интерфейс шлюза, указав в браузере его IP-адрес, и войдите с паролем по умолчанию (или кодом доступа). Обычно вы можете найти эту информацию на боковой или нижней панели устройства.

    После того, как вы вошли в систему, перейдите в интерфейс к области, где вы можете изменить пароль и создайте новый, более безопасный.

  2. Создайте осмысленную сеть Wi-Fi

    По умолчанию каждый шлюз поддерживает стандартную сеть Wi-Fi, название и пароль которой трудно запомнить или ввести, особенно когда вам нужно сделать это на маленьком экране или с помощью пульта дистанционного управления.

    Вы можете присвоить своей сети Wi-Fi персонализированное имя и пароль, которые сможете запомнить.

    Кстати, вы можете использовать своё имя в качестве SSID (имени сети), но если вы хотите остаться анонимным, выбирайте что угодно по своему вкусу. Это имя будет отображаться как доступная сеть Wi-Fi на мобильном устройстве.

    Опять же, вы можете сделать это через веб-интерфейс и следовать этим рекомендациям в отношении паролей, чтобы обеспечить безопасность вашей системы.

  3. Настройте свой шлюз

    Эта часть необязательна, но большинство шлюзов имеют приличный набор функций и настроек, которые вы можете использовать – количество варьируется от одного устройства к другому.

    Примеры включают переадресацию портов, динамический DNS, разделение сетей 2,4 ГГц и 5 ГГц и т.д. Опять же, вы можете использовать интерфейс для их настройки.

Короче говоря, то, что вы не используете стандартный готовый роутер, не означает, что вы не можете создать свою сеть с определенными расширенными настройками. Покопайтесь в веб-интерфейсе вашего шлюза; вы можете быть удивлены тем, как много вы можете получить от этого.

Использование повторителя или точки доступа

Если вы живёте в большом доме и существующий шлюз не покрывает вайфаем весь дом, самое время подумать о приобретении дополнительного оборудования для улучшения покрытия.

В этом случае вам понадобится либо точка доступа (AP), либо расширитель Wi-Fi.

Множество ролей домашнего Wi-Fi роутера

Вот что вы могли не знать. Ваш домашний Wi-Fi-роутер может функционировать не только как маршрутизатор, что является его ролью по умолчанию.

Ниже приводится разбивка четырёх типичных ролей. Не каждый роутер поддерживает всё это, но у большинства будет хотя бы первый плюс ещё один.

Некоторые роутеры имеют даже больше ролей – например, маршрутизаторы Asus также имеют проприетарную роль узла AiMesh.

Заставка функции Asus AiMesh WiFi

Вот рабочие роли, доступные в роутере Asus. Обратите внимание на точку доступа и медиа-мост, название которых может быть другим в маршрутизаторах разных производителей.

  • Беспроводной маршрутизатор

    Эта роль используется по умолчанию – оборудование будет работать как таковое, если вы не измените его активно.

    Аппаратное обеспечение работает как роутер Wi-Fi, который получает подключение к Интернету, а затем распределяет его по остальной части сети через проводные и Wi-Fi-соединения.

    В этой роли вы должны использовать порт WAN маршрутизатора в качестве источника Интернета. Это также единственная роль, в которой доступны функции маршрутизации и сетевые функции (QoS, родительский контроль, динамический DNS, сервер VPN, переадресация портов и т.д.).

    Настройка рабочей роли для роутера Asus

    По сути, аппаратное обеспечение теперь представляет собой стандартный роутер со встроенной точкой доступа Wi-Fi.

  • Точка доступа (AP)

    Важное примечание. Некоторые поставщики называют эту роль «мост».

    В этом режиме оборудование работает как точка доступа. Он подключается к существующему роутеру через сетевой кабель и расширяет сеть, как проводную, так и беспроводную.

    В этой роли ни маршрутизация, ни функции недоступны. Все сетевые порты устройства работают как порты LAN. По сути, роутер теперь представляет собой сетевой коммутатор со встроенным вещателем Wi-Fi.

    Кстати, если у вас есть роутер Wi-Fi 6 с портом Multi-Gig WAN, использование его в качестве точки доступа – единственный способ локально воспользоваться преимуществами высокой скорости этого порта – без подключения к Интернету Gig+, то есть – при условии, что у вас есть коммутатор Multi-Gig.

  • Расширитель Wi-Fi

    Теперь роутер работает как расширитель Wi-Fi.

    В частности, вы используете одну из его полос (2,4 ГГц, 5 ГГц или 6 ГГц) для подключения к существующей сети Wi-Fi – это полоса обратной связи. После этого вы можете настроить один или все его диапазоны (включая транзитный диапазон) с отдельными SSID для обслуживания клиентов.

    В этом режиме все сетевые порты роутера будут работать как LAN-порты существующей сети.

  • Мост или медиа-мост

    Важное примечание. Некоторые поставщики – те, которые используют «Мост» для обозначения роли «Точка доступа», как упоминалось выше, – называют этот режим «Беспроводной мост». Для этой роли могут быть другие произвольные имена.

    В этом режиме роутер работает как адаптер Wi-Fi-Ethernet.

    В частности, вы используете один из его диапазонов для подключения к существующей сети Wi-Fi. Теперь вы можете подключать проводные устройства к LAN-портам роутера, чтобы сделать их частью сети. (В большинстве случаев следует оставить порт WAN в покое, но некоторые роутеры превращают этот порт в другую локальную сеть.)

    В режиме Media Bridge остальные диапазоны Wi-Fi роутера недоступны.

Когда использовать точку доступа

Включите точку доступа, если вы можете проложить длинный сетевой кабель (или набор адаптеров Power-Line) от шлюза к ней. Использование точки доступа было бы моим первым выбором, поскольку она обеспечивает гораздо лучшую производительность, чем расширитель.

Существует множество вариантов точек доступа, и большинство из них работают одинаково. Убедитесь, что вы используете один из тех же или лучших стандартов Wi-Fi, что и шлюз.

Также обратите внимание, что большинство роутеров могут работать в режиме AP. Так что если у вас старый роутер, вы тоже можете его использовать – подробнее об этом ниже.

Вы можете создать сеть Wi-Fi (SSID) точки доступа с тем же именем и паролем, что и у существующего маршрутизатора. В большинстве случаев это даст вам что-то вроде меш-системы.

Когда нужен расширитель

Расширитель, как следует из названия, может быстро расширить ваш Wi-Fi без необходимости прокладывать сетевой кабель.

Не все расширители одинаковы. Я бы порекомендовал трёхдиапазонный, поскольку он использует один из своих диапазонов в качестве выделенного канала связи с существующим роутером. Вы получите лучшую скорость Wi-Fi, чем с двухдиапазонным аналогом.

Обратите внимание, однако, что использование расширителей означает, что вы получаете удобство за счёт производительности. Иногда производительность становится настолько плохой, что удобство даже не стоит того. Также иногда возникает проблема с виртуальным MAC-адресом.

Как правило, если у вас быстрый Интернет или вы хотите использовать Интернет для приложений связи в реальном времени, таких как передача голоса по IP или видеоконференцсвязь, расширитель не подойдёт. Вам нужно будет проложить сетевые кабели или, по крайней мере, получить ячеистую систему.

Установка роутера поверх другого: двойной NAT или одиночный NAT

В этой части вы получаете новый роутер Wi-Fi (или ячеистую систему) и используете существующий шлюз, как если бы он был модемом.

Часть настройки оборудования проста: подключите порт WAN (Интернет) нового роутера – или основного роутера вашей сетки – к порту LAN шлюза (или существующего роутера). Теперь настройте новый роутер по своему вкусу, и всё готово.

Но это легче сказать, чем сделать. Есть несколько вещей, о которых следует помнить.

Разный локальный IP-адрес для каждого роутера

Локальный IP-адрес вашего нового роутера должен отличаться от адреса существующего шлюза. (Этот адрес часто отображается как «IP-адрес шлюза по умолчанию», но это всего лишь соглашение об именах, не связанное с фактическим шлюзом).

Довольно редко вам всё же придётся побеспокоиться об этом. Это потому, что есть вероятность, что они уже отличаются по умолчанию. Многие роутеры достаточно умны, чтобы автоматически менять свой IP-адрес при подключении к другому роутеру (или шлюзу), который уже использует тот же самый.

Установка основного шлюза для роутера
Вы можете изменить IP-адрес роутера через его веб-интерфейс, показанный здесь как IP-адрес шлюза по умолчанию

Если они используют один и тот же IP-адрес – что обычно происходит, если новый и существующий роутеры принадлежат одному и тому же производителю – вы заметите, что устройства, подключенные к новому роутеру, не будут иметь доступа к Интернету. Могут быть и другие проблемы.

В любом случае, вы всегда можете изменить IP роутера с помощью веб-интерфейса. Он находится в области «Локальная сеть» (или DHCP) интерфейса маршрутизатора. Этот IP-адрес имеет тенденцию быть 192.168.x.1 или 10.0.x.1 – замените x на другую цифру.

После этого у вас будет один из двух вариантов: двойной NAT или одиночный NAT.

Что такое NAT

NAT означает network address translation (преобразователь сетевых адресов), что является важной функцией роутера.

В двух словах, NAT позволяет роутеру использовать один IP-адрес WAN (предоставленный провайдером) для предоставления доступа в Интернет многим подключенным устройствам путём создания для них отдельного набора локальных IP-адресов.

Тем не менее, каждой сети нужен только один роутер, и по умолчанию роутер всегда имеет включенный NAT. С отключенным NAT роутер похож на коммутатор или точку доступа (если в него встроен Wi-Fi).

Двойной NAT

Двойной NAT – это когда вы подключаете один роутер к другому и позволяете им обоим работать как маршрутизаторы.

Поскольку шлюз сам по себе является роутером (плюс модем), вы получите двойную настройку NAT при подключении к нему другого роутера. В частности, у вас есть один роутер с поддержкой NAT, работающий поверх другого, который также поддерживает NAT.

Схема использования двойного NAT
В двойном NAT устройства с набором частных IP-адресов 1 не могут взаимодействовать с устройствами с набором частных IP-адресов 2 на локальном уровне, и ваш роутер не подключается к Интернету напрямую – он делает это через шлюз (или первый роутер)

Проблемы с двойным NAT

Основная проблема с двойным NAT заключается в том, что устройства, принадлежащие каждому NAT, не будут взаимодействовать локально. Это потому, что каждый роутер имеет свой собственный набор IP-адресов.

Например, если у вас есть компьютер, подключенный к сети шлюза, и принтер, подключенный к сети нового роутера, компьютер не сможет печатать на принтере. Эти двое «не видят» друг друга. У вас также будут проблемы с другими локальными службами, такими как обмен данными, потоковая передача мультимедиа, резервное копирование по сети и т.д.

Более того, расширенные сетевые настройки, такие как VPN, переадресация портов и т.д., не будут работать должным образом, если вообще будут работать.

Советы по использованию двойного NAT:

  • Вы всё ещё можете использовать переадресацию портов, но это потребует больше усилий. В частности, вам нужно запрограммировать это дважды: сначала открыть соответствующий порт на шлюзе (нижний NAT) для IP-адреса роутера, а затем на роутере (верхний NAT) для IP-адреса целевого устройства.
  • Чтобы получить доступ к интерфейсу роутера NAT верхнего уровня через Интернет, настройте запись переадресации портов сервера на NAT первого уровня (шлюз) – убедитесь, что они используют разные порты для удаленного управления.
  • Устройство верхнего уровня NAT по-прежнему может получить доступ к другому устройству нижнего уровня NAT, если вы используете первый IP-адрес (вместо его имени). Сделать наоборот гораздо сложнее, если вообще возможно.

Когда работает двойной NAT

Если всё, что вам нужно, это доступ к Интернету, то двойная настройка NAT вполне подойдёт.

Кроме того, двойная настройка NAT делает сеть NAT верхнего уровня – ту, которой управляет ваш новый роутер, – более безопасной. Это связано с тем, что устройства в этой сети защищены двумя уровнями брандмауэров и NAT. Они также невидимы для тех, кто подключается к NAT более низкого уровня, как упоминалось выше.

Что делать при настройке двойного NAT

Теперь, когда вы знаете о двойном NAT и всё ещё хотите его использовать, вам нужно сделать всего одну вещь: отключить Wi-Fi на первом роутере/шлюзе (вы можете сделать это через его веб-интерфейс) и использовать только Wi-Fi вашего роутера верхнего уровня.

В качестве альтернативы вы можете оставить сеть Wi-Fi шлюза в качестве гостевой сети. В этом случае убедитесь, что она имеет другое имя Wi-Fi (SSID), отличное от того, которое вы используете для себя.

Теперь подключите все проводные устройства к роутеру верхнего уровня (а не к шлюзу), чтобы они могли локально видеть друг друга. Тогда миссия выполнена.

Одиночный NAT

Как упоминалось выше, если вы хотите использовать расширенные сетевые функции и все устройства в вашем доме, чтобы легко общаться друг с другом, лучше всего использовать единую конфигурацию NAT. В этой стандартной настройке ваш роутер подключается напрямую к Интернету.

В этом случае у вас есть два варианта. Либо вы заставляете шлюз перенаправлять IP-адрес WAN на ваш роутер, заставляя его работать как модем. Или вы можете превратить свой новый роутер в точку доступа, которая работает исключительно как коммутатор и вещатель Wi-Fi.

Схема использования одиночного NAT
У вас будет только один набор частных IP-адресов в одной настройке NAT, и ваш роутер напрямую подключается к Интернету

Переадресация IP-адресов WAN от шлюза к роутеру

В зависимости от используемого вами шлюза конфигурация для этого различается. Для некоторых, таких как кабельные шлюзы, вам необходимо перевести шлюз в режим моста. С другими, такими как шлюзы DSL, вам необходимо настроить сквозную передачу IP и сопоставить её с локальным IP-адресом роутера.

Опять же, цель состоит в том, чтобы заставить ваш роутер взять на себя IP-адрес WAN, а не локальный (частный) IP-адрес шлюза. Другими словами, шлюз снова работает как модем.

Другой вариант – использовать настройку DMZ шлюза, если это применимо, чтобы позволить роутеру верхнего уровня получить нефильтрованный доступ в Интернет. Этот метод отличается от передачи IP-адреса WAN, но он позволяет работать определенным службам/приложениям.

Превратите ваш новый роутер в точку доступа

Большинство роутеров и Wi-Fi систем могут работать как точки доступа (AP) – переключить режим можно через веб-интерфейс.

Кстати, во многих роутерах и ячеистых системах этот режим точки доступа называется «мост», что немного сбивает с толку.

В режиме AP ваш роутер (или ячеистая система) расширяет существующий шлюз/роутер и позволяет вам иметь единую настройку NAT.

Но, в целом, если вы видите роутер с тремя ролями: маршрутизатор, мост и точка доступа, выберите режим точки доступа. Если вы видите только первые два, режим моста, скорее всего, является режимом точки доступа.

Если ваш роутер не имеет режима AP, вы можете вручную перевести его в режим AP, подключив его к шлюзу, используя один из его портов LAN (а не порт WAN – оставьте этот порт в покое).

Примечание. Вы должны настроить сеть Wi-Fi роутера перед тем, как превратить его в точку доступа. Это потому, что после этого немного сложно получить доступ к его веб-интерфейсу.

Маршрутизатор – или ячеистая система – будет работать только для расширения сети и ничего больше в режиме AP. Вы не сможете воспользоваться другими его настройками и функциями. Другими словами, ваша сеть имеет только функции и настройки существующего шлюза (или роутера).


Независимо от вашей ситуации с Интернетом, скорее всего, вы всё ещё можете настроить свою домашнюю сеть по своему вкусу. Это просто требует немного работы.

По моему опыту, необходимость сохранения шлюза, предоставленного провайдером, является наиболее распространенной ситуацией, поэтому приведенный выше раздел о переадресации IP-адресов WAN шлюз-роутера, вероятно, наиболее применим к вашей ситуации. Это также относится к большинству, если не ко всем интернет-планам для малого бизнеса.


5.0/1

Аватар Monoke
2022-02-08 в 07:59
0
Я прочитал всю статью, но не смог найти ответ на свой вопрос.

У меня есть две сети, которые я хочу разделить, за исключением того, что они используют один и тот же Интернет. Роутер A и хост-роутер B. Все устройства в каждой сети работают и нормально обмениваются данными в соответствующей сети. Все устройства в каждой сети имеют доступ к Интернету.

История: Роутер B уже много лет существует как обычная единая сеть. Текущая сеть/роутер A был добавлен недавно. Путём создания двойного NAT.

Моя проблема в том, что я не могу найти способ доступа к устройствам на роутере B из Интернета. Для этого я переадресовал все порты, необходимые на роутере B, внутрь роутера A. Таблицы переадресации сетевых портов в роутере B остаются такими же, как и всегда. Когда я пытаюсь, я получаю сообщение об ошибке «Удаленное устройство отказывается от подключения». Что я пропустил?
Аватар GeekNavt
2022-02-08 в 08:00
0
Ты пропустил пару вещей.

1. Название.
2. Советы из раздела «двойной nat» в этом посте.

Немного внимания, и вы поймёте это.
Аватар Zvelh
2022-02-08 в 07:57
0
Спасибо за руководство! У меня один вопрос, связанный с системой двойного NAT: в следующем разделе вы заявляете: «Теперь, когда вы знаете о двойном NAT и всё ещё хотите его использовать, вам нужно сделать только одно: отключить Wi-Fi на первом роутере/шлюзе (это можно сделать через его веб-интерфейс) и использовать только Wi-Fi роутера верхнего уровня».

Я пытаюсь настроить две изолированные сети для обеспечения безопасности, как вы упомянули о двух брандмауэрах. Я планировал разместить смарт-телевизор, игровую приставку и т.д. в сети шлюза (роутер №1), а мой личный телефон, настольный компьютер и т.д. – в нисходящем роутере №2.

Я понимаю, что мой доверенный телефон в сети №2 не сможет транслировать или обмениваться данными с телевизором в сети №1. Однако, если бы у меня был старый телефон, который я изолировал от сети №1, теоретически я мог бы использовать это устройство для трансляции и связи со смарт-телевизором, не предоставляя ему доступ к сети №2.

Однако, я считаю, что для этого мне потребуется включить Wi-Fi в сети №1 в дополнение к моей доверенной сети №2 (я все равно хотел бы использовать Wi-Fi для доверенных устройств в сети №2). Если бы они были названы по-другому и имели разные пароли, было бы это возможно?

По сути, я вижу, вы заявляете, что имеете только 1 доверенный (не гостевой) доступ к Wi-Fi на одном роутере в настройке с двумя роутерами. Мне любопытно, сделано ли это для простоты использования и предотвращения случайного подключения к обоим, или если есть фундаментальная проблема с наличием двух сигналов Wi-Fi от двух разных роутеров в доме. Спасибо!
Аватар GeekNavt
2022-02-08 в 07:58
0
Всё верно. В основном, это означает, что вы используете нижний NAT в качестве гостевой сети. Моя рекомендация по отключению Wi-Fi нижнего NAT, чтобы люди случайно не использовали оба и не столкнулись с проблемами. Если вы знаете, что есть что, вы можете использовать обе сети.