Minden jó mégsem működik?
Gyakran előfordul, hogy minden beállítás megfelelő a NAS távoli eléréséhez, viszont mégsem működik a távoli kapcsolódás. A leggyakoribb oka ennek a szolgáltatótól kapott úgynevezett NAT-olt IP cím.
Mit jelent ez a gyakorlatban?
A hálózaton található eszközök, egy átjáró segítségével kommunikálnak az internet más eszközeivel. Az adatcsomagokat ezek az átjárók továbbítják a két végpont közötti kommunikáció során. Otthoni, irodai környezetben ezeket az átjárókat a legtöbben router-ként ismerik.
A router kapcsolódik az internethez. A router-nek az internethez való csatlakozás alkalmával a szolgáltató kioszt egy IPv4-es címet, amely a végpontot (router) képes azonosítani az internet világában. (Itt már írtam erről!)
Ez volt a megszokott módszer régen. Az utóbbi időben ez megváltozott, mert az internetre kötött útválasztók (és modemek) száma meghaladja a rendelkezésre álló IPv4-es címtartomány összes (több mint 4 milliárd) darabszámát. Ezt egyébként IPcalypse-nak is hívják (utalva az apokalipszis szóra).
Mivel elfogyott a rendelkezésre álló IPv4-es cím egyik megoldásként bevezetésre került a NAT protokoll (Network Address Translation, magyarul Hálózati Címfordítás).
A NAT
A NAT működtetése során az internet szolgáltatók csoportokba szervezik az előfizetőiket, ezeket a csoportokat egyetlen átjáróhoz rendelik hozzá, így egy azonos IPv4-es címet kapnak. Mindenki ezt az egy átjárót használja az internetes forgalma lebonyolítására. A megoldás eredményeként, minden előfizető ugyanazzal az IPv4-es címmel látszódik az internet felől. Az alábbi képen jól látható a különbség.
Megjegyzés:
A fenti képen látható ábrán a Publikus IP alatti séma esetén nem lett megjelenítve a szolgáltató Gateway-e. A valóságban ebben az esetben is üzemel a szolgáltató részéről Gateway, de a publikus IP cím kiosztása miatt a szolgáltatói Gateway nem befolyásolja a hálózat külső elérését. A jobb megértés miatt a szolgáltatói Gateway-t nem jelenítettem meg.
A publikus (WAN) IP címmel rendelkező előfizetés esetén az internetes forgalom teljes egészében kétirányú. Minden kimenő és bejövő forgalom közvetlenül a saját gateway-en halad keresztül. Ennek köszönhetően a megfelelő portok megnyitását követően könnyedén elérhetővé válik a gateway mögött elhelyezkedő NAS.
A NAT mögötti eszközök kommunikációjának működése esetén, a belülről indított kérésekre az aktuális átjáró biztosítja a visszafelé történő kommunikációt. Amikor a böngészőben megnyitunk egy weblapot a szolgáltató átjárója a rendszer elemein keresztül elküldi a kérésnek megfelelő oldal betöltését a számítógépünk felé. A folyamat csak belülről kifelé működik. A szolgáltató átjárója a felelős azért, hogy a kérésnek megfelelő tartalom a megfelelő (kérő) számítógép irányába érkezzen meg.
A kívülről befelé indított kommunikáció nem működik NAT-olt IP cím esetén! Ennek az az oka, hogy hiába tudjuk a publikus IP címünket az a szolgáltató kezelésében levő átjáró (gateway) IP címe. Mivel a szolgáltató átjárójára semmilyen ráhatásunk nincs, így azon mi nem tudjuk beállítani azokat a port átirányítási szabályokat, amelyekre szükségünk van, ezért a szolgáltató átjárója nem tudja hova kell irányítani a kívülről jövő kéréseket. Gyakorlatilag a befelé jövő kommunikáció nincs biztosítva.
Hogyan ellenőrizhető, hogy publikus, vagy NAT-olt WAN IP címünk van?
A legegyszerűbb módja ennek, ha meglátogatjuk a What is my IP Address oldalt. Az oldal megnyitását követően az alábbi képhez hasonlóan láthatjuk az IPv4, és ha van IPv6-os WAN IP címünket. Ez az IP cím a szolgáltatótól kapott publikus WAN IP címünk.
A következő lépésben az otthoni eszközünk adminisztrációs felületére kell lépni, és ott megnézni az aktuális WAN IP címünket.
Abban az esetben ha a két cím megegyezik a szolgáltatótól publikus IP címet kaptunk. A helyi hálózaton található Synology NAS eszközünk a megfelelő port forward szabályok beállítását követően elérhető az internet irányából.
Amikor a két IP cím nem egyezik meg, (lásd alábbi képen) abban az esetben a szolgáltatótól minden bizonnyal NAT-olt IP címet kaptunk. Az otthoni eszközünkön hiába állítjuk be a port forward szabályokat a Synology NAS-t nem fogjuk elérni.
A fenti két képen jól látható, hogy az IP címek eltérnek. Ebben az esetben NAT-olt IP címet ad a szolgáltatónk.
Mit tehetünk, ha NAT-olt hálózatba helyezett a szolgáltatónk?
Az első lépés amit tehetünk, hogy a szolgáltatónknak mondjuk el a problémánkat. Szeretnénk a saját hálózatunkon található eszközünket távolról elérni, de mivel nincs saját publikus IP címünk, ezért kérjük a NAT megszüntetését az internet előfizetésünkön, és kérünk publikus IP címet. A publikus IP cím általában dinamikusan változik, de ebben segít nekünk a DDNS szolgáltatás.
A lehetőség szolgáltatónként eltér. Van ahol csak fix IP cím vásárlásával, vagy csomagváltással oldható meg a dolog, van ahol megkapjuk a dinamikus publikus IP címet a kérésünk szerint.
A tapasztalat viszont sajnos azt mutatja, hogy a T-Mobile esetén nincs esélyünk publikus IP címet kapni. Ebben az esetben nem tehetünk mást, mint szolgáltatóváltást végrehajtani.