Remontnouta.ru

ПК Ремонт техники
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как исправить ошибку «Двойной NAT обнаружен» в Xbox One

Как исправить ошибку «Двойной NAT обнаружен» в Xbox One

В то время как Microsoft Xbox One обладает обширным набором онлайн-функций, все не всегда идет по плану. Если на вашей консоли возникает ошибка «Обнаружен двойной NAT», сетевой жаргон может быть пугающим, но это относительно простое решение.

Вот краткое объяснение двойного NAT, как оно связано с играми и как это исправить сегодня.

Защита локальной сети

Защита локальной сети

Когда речь идет о локальной сети, то подразумевается сеть, состоящая из компьютеров, которые находятся на сравнительно маленьком пространстве, будь то ваш дом, офис, в котором вы работаете, учебное заведение, где учитесь вы или ваши дети. Существуют определенные средства по обеспечению безопасности такого рода сетей, так как они довольно уязвимы в отношении посторонних вмешательств.

По этой причине разработаны специальные методы противостояния им, поскольку информация, хранящаяся в каждом из компьютеров локальной сети, безусловно, важна и одновременно ее утечка и использование мошенниками крайне нежелательна, даже если дело касается обычной домашней ЛВС.

Работники нашего сервисного центра расскажут вам о слабых местах вашей локальной сети, предложат именно ту политику безопасности, которая станет в вашем конкретном случае оптимальной.

Защита локальной сети базируется, прежде всего, на безопасной архитектуре всех компьютеров, которые в эту сеть входят. Централизованная политика безопасности является необходимым, но не достаточным компонентом в плане защиты ЛВС. Тут дополнительно требуют особенного внимания такие аспекты:

  • применение протоколов обмена, которые могли бы обеспечить достаточную безопасность компьютера, инкапсуляция одного из них в другой;
  • зашифровка данных при помощи специальных алгоритмов;

Шифрование данных в локальной сети

Разобраться в такой сложной тематике, изобилующей специальными компьютерными терминами, как защита локальной сети, вам поможет специалист нашего сервис-центра.

Он имеет богатый опыт работы с подобными задачами, который вполне позволяет ему доступным для обычного пользователя языком донести до него, что именно нужно сделать, чтобы обезопасить вашу локальную сеть по максимуму.

Создание ДМЗ

Всем известно, что отрытые для свободного доступа системы являются особенно привлекательными для мошенников. Те компании, которые в процессе работы имеют дело со строго конфиденциальными данными, особенно нуждаются в защите локальной сети.

Безопасность почтовых веб-серверов локальной сети

В таком случае первое, что требует внимания и проработки – это меры безопасности в отношении почтовых веб-серверов – то есть внешних систем, которые являются наиболее уязвимыми.

С этой целью создаются демилитаризованные зоны, ограждающие локальную сеть от возможных вторжений из интернета. Такая зона создается специалистом в несколько этапов, при этом есть множество нюансов, которые человек, не имеющий специального образования, вполне может упустить либо не придать им значения.

Работник нашего сервисного центра, которому будет поручена защита локальной сети, без затруднений способен сделать это, основываясь на характерных чертах именно вашей ЛВС, особенностях данных, хранящихся на тех компьютерах, которые в нее входят, степени их конфиденциальности.

Обнаружение вторжений при помощи специальных систем защиты

Несанкционированное проникновение в локальную сеть

Существует особая система, предназначенная для того, чтобы любое вторжение извне в вашу локальную сеть было немедленно обнаружено. Если таковое произошло, она просигнализирует о попытке несанкционированного проникновения.

Обнаружение вторжения в локальную сетьТакого рода система поможет определить, что злоумышленники ведут сбор данных в вашей ЛВС с целью последующей атаки. Есть различные виды таких систем: некоторые из них просто обнаруживают вторжения, другие – способны противостоять им. У систем обнаружения вторжений есть различия и по другим принципам, начиная от цены установки такой системы, заканчивая местом их расположения.

Кроме того, применение некоторых из них способно замедлить работу сети, в силу того, что корректная работа такой системы занимает внушительную часть процессорного времени. Чтобы учесть все эти тонкости и верно выбрать тип системы обнаружения вам понадобиться провести не один час, изучая особенности работы каждой из них.

Специалист сервис-центра знает о них не понаслышке, он поможет вам определиться, укажет на конкретные преимущества и недостатки системы обнаружения вторжений и порекомендует, какая из них может стать системой выбора.

Преобразование сетевых адресов (NAT) при защите локальной сети

Технология NAT для защиты локальной сети

Защита локальной сети будет включать в себя и такой элемент, как NAT. При использовании такой технологии подразумевается трансляция одного IP-адреса (возможно, нескольких из них) в другой. Реализация функции такого инструмента безопасности ЛВС осуществляется при помощи маршрутизаторов либо межсетевого экрана по принципу скрытия адресов, невозможности их увидеть из внешней сети, например, из интернета.

Атака ЛВС изнутриОднако, если атака осуществляется не снаружи, а изнутри, то такого рода защита совершенно бесполезна: злоумышленника, имеющего внутренний доступ к ЛВС (например, через телефонное соединение), NAT не остановит. Обсудить все достоинства и недостатки такого компонента защиты локальной сети вы сможете с нашим специалистом. Он же произведет настройку NAT, соответственно вашим потребностям и нюансам работы именно вашей локальной сети.

Итак, как минимум, защита локальной сети включает:

  1. построение ДМЗ, которую контролирует межсетевой экран;
  2. систему переадресации NAT;
  3. систему обнаружения вторжений.

При этом число сервисов, служб, которые предоставляет локальная сеть, а также таких, которыми пользуются клиенты из интернета, следует сократить.

Защита локальной сети также подразумевает наличие на всех без исключения компьютерах, входящих в нее новейшего программного обеспечения, причем установка обновлений должна иметь строго регулярный характер.

IPsec через NAT

До этого ранее выкладывал материал CISCO IPsec, поучилось «длинно и нудно». При этом не всё удалось подробно разобрать, хотя на самом деле много интересных практических моментов было обозначено.

Одним из «скомканных кусков» стала работа IPsec через NAT. Решил вынести данный материал в отдельную запись.

Кроме этого продолжаю изучать интересный отечественный продукт S-Terra Gate, которое выпускается уже порядка 10 лет, но мне оно попалось в продакшене только сейчас. Первое знакомство было в статье S-Terra VPN.

Проблема NAT

Речь пойдёт конечно же про PAT (Port Address Translation), он же NAT с перегрузкой, он же маскарадинг. Когда множество частных IPv4 адресов хостов внутренней сети сопоставляется одному публичному IPv4 адресу роутера. Самая распространённая форма NAT.

Роутер с PAT подменяет IPv4 адреса в пакетах хостов на свой адрес, переписывая заголовок пакета. Поэтому когда приходят ответные пакеты, то у них у всех IPv4 адрес назначения — это адрес роутера. Как роутеру определить какой пакет какому хосту внутри сети предназначен? Сделать это можно только по порту назначения в заголовке транспортного уровня.

Но как быть если для разных хостов в заголовке транспортного уровня используется один и то же порт? Когда придут ответные пакеты, роутер просто не сможет определить для какого хоста они предназначаются. В таком случае PAT подменяет и номер исходного порта источника, ведя таблицу преобразований NAT:

При работе туннеля шифрованная нагрузка ESP цепляется сразу к IP заголовку. В таком пакете нет заголовка транспортного уровня и значит нет номера порта. Нет номера порта, PAT не может правильно функционировать:

IPsec через NAT

По этой причине ESP не будет ходить через PAT без дополнительных инструментов. В статье CISCO IPsec таким инструментом являлось исключение трафика для IPsec VPN из ACL, который отбирает трафик для преобразования NAT.

Нет проблем это сделать, если NAT и VPN-шлюз на одном устройстве. Но что делать, если NAT встречается где-то ещё по пути следования пакета?

Обход NAT

В этом случае используется обход NAT (NAT-Traversal, NAT-T). Что говорит CISCO? Читаем тут:

То есть сами VPN пиры должны уметь NAT-T на уровне прошивки. При этом согласовывание NAT-T происходит автоматически. Принцип работы NAT-T такой: пакет ESP обёртывается в UDP с номером порта 4500. Это позволяет нормально пропускать пакеты с ESP через PAT.

Согласование NAT-T имеет свои накладные расходы, заголовок UDP весит 8 байт и настолько же уменьшается полезная нагрузка:

Топология

Соберём следующую топологию в EVE-NG: два роутера CISCO, на одном будет настроен NAT и за этим роутером S-Terra. Топология несколько «притянута за уши», так как S-Terra полноценный роутер, а не просто VPN-шлюз.

Другое дело что для настройки NAT и фаервола на S-Terra придется использовать iptables. На классическом роутере CISCO такая настройка более прозрачна. Хотя не удивлюсь, если подобная схема «S-Terra за роутером» используется где-то в продакшене:

IPsec через NAT

В качестве образов использую старые-добрые Dynamips c3725-adventerprisek9-mz.124-15.T14. Версия IOS 12.4 > 12.2 и значит NAT-T данная прошивка умеет.

Сначала настраиваем сетевую связность, чтобы все устройства видели друг-друга:

  • Конфигурация R1:

Маршрут по умолчанию на R2 и маршрут в сеть 192.168.1.0/24.

  • S-Terra:
  • R2:

Проверяем, всё отовсюду пингуется, PC1 пингует PC2 и наоборот.

Настройка PAT

Добавляем на R1:

Под NAT должен подпадать трафик из сети 192.168.1.0/24 наружу и трафик из подсети 10.10.10.0/30 наружу, то есть и трафик туннеля тоже.

Проверяем заработал ли NAT. Пингуем с PC2 ресурсы, всё что за 1.1.1.1 теперь недоступно, пинги не проходят.

Теперь пингуем с PC1 и S-Terra адрес R2 1.1.1.2, смотрим на R1 таблицу преобразований NAT:

NAT работает. Что по поводу туннеля?

Настройка туннеля

Далее настраиваем туннель между S-Terra и R2. Конфигурация R2:

Моменты которые нужно отметить:

  • Под туннель подпадает трафик из сети 192.168.2.0/24 в сеть 192.168.1.0/24;
  • Адрес S-Terra 10.10.10.1 будет подменятся на адрес R1 при проходе через NAT, поэтому в качестве пира на R2 везде указываем 1.1.1.1;
  • Из-за ограничений S-Terra, которая рассчитана на гостовые протоколы, приходится использовать несекьюрную группу 5 Диффи-Хеллмана и хеширование SHA (это настройка по умолчанию поэтому не показывается в конфигурации).

На S-Terra всё аналогично, только параметры хостов и подсетей зеркальные. Под туннель подпадает трафик из сети 192.168.1.0/24 в сеть 192.168.2.0/24. Адрес пира 1.1.1.2.

Проверка №1

Со стороны R2 туннель поднять нельзя. Если R2 первым отправит туннельный трафик, трафик будет отброшен, так как R1 не знает как обрабатывать этот трафик.

Но если S-Terra отправит туннельный трафик, то трафик уходит через PAT, попадает на R2 и далее. В таблице преобразований NAT на R1 появится запись. И когда придёт ответный трафик с R2, этот трафик подвергнется обратному преобразованию NAT и S-Terra его получит. То есть туннель поднимется и будет нормально работать в обе стороны пока существует запись в таблице преобразований.

Проверим это. Попробуем запустить пинг с PC1 на PC2. И.. ничего не работает. Включим дебаг ISAKMP на R2:

Любая ошибка как несовпадение паролей или параметров SA и тогда вывод дебага заканчивается:

Наконец все ошибки из-за невнимательности отловлены, туннель поднимается и пинг с PC1 на PC2 проходит. Смотрим таблицу трансляций NAT на R1:

IPsec через NAT

Запись 1 это согласование ISAKMP, запись 2 пакеты ESP обёрнутые в UDP. Роемся в дебаге на R2 и ищем там буквы про NAT:

То есть NAT-T согласовывается уже на первой фазе туннеля.

Проверим SA на S-Terra и сравним результаты с результатами из записи S-Terra VPN. Было:

NAT-T согласовался и это указано в свойствах IPsec SA. Соответственно с PC2 пинги на PC1 тоже стали проходить:

NAT-keepalive

Но запись в таблице трансляций NAT живёт ограниченное время и если нет трафика со S-Terra, то таблица трансляций очистится, значит трафик с R2 опять будет отброшен.

Однако на самом деле траффик со S-Terra будет идти постоянно. Очистим таблицу трансляций на R1 и просто подождём, никакой трафик по туннелю в это время не запускаем:

Как видно запись пересоздалась. Это работает механизм NAT-T, называемый NAT-keepalive (не путать с ISAKMP-keepalive). Он как раз нужен чтобы предотвратить очистку таблицы трансляций.

Захватим пакеты с интерфейса S-Terra в сторону R2:

Пакеты NAT-keepalive отправляются только с устройства, которое за NAT:

Настройка связности через PAT

Тем не менее связность VPN пиров пока только в одну сторону. Что тут можно придумать?

Если дополнительно сделать на R1 статический NAT на S-Terra, то это будет взаимно-однозначное сопоставление внутреннего и внешнего адресов. А задача была чтобы S-Terra отправляла трафик именно через PAT. Не подходит.

Поэтому прокинем порты с R1 на S-Terra. Конфигурация R1:

Трафик ISAKMP это UDP порт 500, а ESP после согласования NAT-T будет работать как UDP порт 4500. А что это за параметр Extendable?

Поскольку у нас 2 правила трансляции портов с одинаковыми адресами, то и нужен данный параметр.

Проверка №2

Cохраняем конфигурации и перезагружаем все устройства. Теперь пинг запускаем с PC2 на PC1. Запускаем WireShark на интерфейсе R1 в сторону R2 и смотрим что получилось:

Туннель успешно поднимается. Шифрованный трафик теперь может нормально инициироваться любой из двух сторон, что и нужно было.

Разрешение трафика через ACL

Если настраивать на R1 CBAC-файрвол, то для согласования туннеля и прохождения шифрованного трафика нужен ACL, который будет висеть на интерфейсе в сторону R2:

Добавление второй S-Terra

Из вывода таблицы преобразований NAT было видно, что используется номер порта 4500 и всё замечательно. А что если за NAT будет 2 устройства с IPsec VPN? Как R1 различит трафик для каждого из устройств?

Добавим вторую S-Terra и посмотрим каким образом роутер R1 с этим разберётся:

Топология ещё более «притянута за уши» чем первая, но она нужна такая для проверки работы.

Дополнительная настройка

Делаем интерфейс Fa1/0 внутренним для NAT, добавляем маршрут в сеть 192.168.3.0/24, добавляем в ACL1 новые правила для NAT.

На S-Terra2 всё аналогично S-Terra1. На R2:

Не нужно добавлять новую строчку для крипто-карты crypto map IPsecMap 2 ipsec-isakmp (хотя можно сделать и так), все параметры совпадают. Поэтому только добавляем ещё 1 строку в ACL IPSEC.

Проверка №3

Протестируем туннели. Запустим постоянный пинг с PC1 на PC2 и с PC3 на PC2. Пинг нормально проходит. Смотрим таблицу трансляций NAT на R1:

IPsec через NAT

То есть при трансляции в пакетах порты для устройства S-Terra2 подменяются и они уже не 500 и 4500, а 1 и 1024. Стандартная работа PAT по подмене портов. Соответственно, если посмотреть ответные пакеты, то для S-Terra1 предназначены пакеты:

IPsec через NAT

А для S-Terra2 пакеты:

IPsec через NAT

И тут возникает вопрос: как тогда для S-Terra2 прокидывать порты снаружи NAT вовнутрь? Ведь при работе NAT хостами внутренней сети будет отправлено множество пакетов и комбинации портов в таблице NAT будут разными в разные моменты времени.

Значит порты, используемые для IPsec, могут быть выбраны произвольными в широком диапазоне. Ответа на этот вопрос у меня нет.

Хотя все параметры, включая адрес пира (1.1.1.1) совпадают, R2 видит 2 раздельных ассоциации ISAKMP.

Что ещё? Можно было бы повесить дополнительно PAT и на R2, но это полностью аналогично тому, что делалось на R1.

NAT Virtual Interface

Последнее что нужно отметить, не сильно важное для IPsec, но просто интересное: когда был настроен NAT на R1, то появился дополнительный интерфейс — NVI.

Этот виртуальный интерфейс введён в IOS 12.3(14)T:

Нужен NVI чтобы обходить ограничения классического NAT. Например, когда на роутере настроен PAT совместно со статическим NAT: клиенты из внутренней сети не смогут попасть на Web-сервер по его внешнему адресу.

Технология NAT loopback и NAT Traversal

Суть NAT loopback в том, что если пакет попадает из внутренней сети на IP-адрес роутера, то такой пакет будет принят, как внешний и на него будут распространяться брандмауэрные правила для внешних соединений. После успешного прохождению пакета через брандмауэр вступит в работу Network Address Translation, который будет посредником для двух внутрисетевых машин. Получается следующее:

  • снаружи локальной сети можно узнать о настройках сетевой службы;
  • зайти на сервер по имени домена, который находится в локальной сети. Без функции loopback (или hairpinning) данные действия были бы невозможными, нужно было бы для любого домена настраивать файл hosts;
  • основной минус – увеличение нагрузки на роутер с хабом.

NAT Traversal – это возможности у сетевых приложений определить то, что они располагаются за границами устройства. В этом случае Network Address Translation оказывает содействие в том, чтобы определить внешний IP-адрес данного устройства и сопоставлять порты, чтобы NAT пересылал используемые приложениями пакеты с внешнего порта на внутренний. Все эти процессы выполняются автоматически. Без них пользователю пришлось бы вручную сопоставлять настройки портов и вносить в разные параметры изменения. Но есть и минусы – нужно проявлять осторожность для таких приложений – они обладают возможностями широкого контроля над устройствами, а следовательно могут появится уязвимости.

голоса
Рейтинг статьи
Читайте так же:
Встроенная видеокарта не видит монитор
Ссылка на основную публикацию
Adblock
detector