Come risolvere il problema del Double NAT con due router

Se come me avete fatto male qualche conto e vi ritrovate con un modem/router adsl per la connessione ad internet a cui è collegato in cascata un secondo router/access point ma avete l’esigenza di permettere ad alcuni servizi internet di accedere alle periferiche che stanno dietro al secondo router potete usare la funzione DMZ che moltissimi router hanno di serie.

Scenario

Il modem è collegato ad internet e ha un IP pubblico assegnato dall’ISP e un IP interno. A questo IP interno è collegato il router/access point che ha un IP esterno nella stessa classe del modem e anche un IP interno in una classe diversa.
Esempio pratico:

forward-ports-with-two-routers-ip-addresses-labeled-networks-dividedRouter #1 – Modem
IP esterno: 79.50.106.205 (internet)
IP interno: 192.168.1.1

Router #2 – Router + Access Point WiFi
IP esterno: 192.168.1.5
IP interno: 10.0.0.1

PC #1
IP: 10.0.0.5

Potete vedere riassunti i dati nell’immagine a fianco (presa da qui)

Problema

In questa situazione di fatto le due reti 192.168.1.x e 10.0.0.x sono completamente isolate tra loro perché entrambi i router utilizzano NAT, quindi se dovete connettere un servizio web che sta su internet ad una qualsiasi applicazione che gira nel PC #1 non potete farlo. Se ci provate l’esito sarà che il servizio web vi dice che l’applicazione non è raggiungibile.

Soluzione DMZ

Ci sono diversi metodi per risolvere il problema ma non c’è n’è uno universale applicabile sempre perché dipende da com’è configurata la propria rete e dalle funzionalità supportate dagli specifici modelli di router utilizzati.

La soluzione più semplice, anche se non stilisticamente esemplare se mi passate la pignoleria, è utilizzare la funzionalità DMZ del router #1 ovvero del modem collegato ad internet. Tipicamente nelle impostazioni trovate una sezione della configurazione chiamata “Routing” oppure “Giochi e applicazioni” e all’interno di questa trovate l’impostazione per attivare la DMZ.
Attivatela e specificate come indirizzo per la DMZ l’IP esterno del router #2, nell’esempio 192.168.1.5.
Salvate le impostazioni del router e a questo punto il router #1 inoltrerà automaticamente tutte le le richieste da internet all’IP del router #2 scavalcando completamente il NAT.

A questo punto il servizio web dovrebbe poter dialogare correttamente con l’applicazione e viceversa.

Altre soluzioni

Altre soluzioni percorribili possono essere:

  • utilizzo della modalità bridge del router #2 se supportata, lasciando tutto il lavoro (DHCP, NAT, e qualsiasi altro servizio) in funzione solo sul router #1 (modem).
    Se non potete far girare i servizi sul router #1, perché magari non li supporta tutti oppure non li supporta in modo stabile, allora questa soluzione è sconsigliata;
  • utilizzo della mappatura manuale delle porte dal router #1 al router #2. Questa è tipicamente usabile perché quasi tutti i router la supportano. Si ha un controllo maggiore sulle porte da inoltrare e per questo è un po’ più difficile da configurare perché bisogna specificarle manualmente e quindi conoscere una per una le porte TCP/UDP che servono per far dialogare il servizio web con l’applicazione. Con questo approccio c’è il vantaggio che si possono specificare solo le porte necessarie.
    NOTA: l’IP di destinazione da specificare inoltrando manualmente le porte è sempre quello esterno del router #2

Link

Se volete approfondire potete ovviamente cercare “double nat 2 routers” su google, ma vi lascio un paio di link interessante e abbastanza semplici da capire (in inglese):

Come al solito, spero che questo articolo risparmi un po’ di tempo a qualcuno oltre che ha farmi da promemoria quando fra qualche tempo dovrò sistemare un double NAT e non mi ricorderò come ho fatto in questa occasione! 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.