בא נעשה סדר עם שני המושגים, NAT ו DHCP

שירות/שרת ה-DHCP נותן ללקוח כתובת IP פנימית + DG + DNS
תפקידו של ה-NAT לקבל את הבקשות מהמחשבים , לשלוח אותם לאינטרנט , לקבל את התשובות בחזרה ולהחזיר כל חבילה למחשב שביקש אותה ,
ובעקיפין , השירות הזה יוצר "חומת אש" ,משום שהוא מצריך אותנו לנתב פורטים כדי להגיע למחשב X שברשת הפנימית .

כעת שאלתי היא , כיצד תתנהג רשת אם נכבה בראוטר את שירות ה-NAT,
לכאורה אף מחשב לא יוכל לבקש ולקבל מידע מבחוץ .
ואכן זה מה שקורה אצלי ברשתות שבבתי הספר כשאני מכבה את השירות ROUTE שבסרבר שמשתף אינטרנט לתחנות .

עכשיו יש לי מקרה שונה לחלוטין,
מדובר על מערכת VOIP עם שרתים שיושבים בחוות שרתים ,
רשת ה-VOIP הזו היא רשת סגורה שאינה נגישה מהאינטרנט .
בכל מקום שבו אנחנו מתקינים את הציוד קצה אנחנו משתמשים ביוזרים שמוקצים לנו מהספק CCC ומקבלים אוטומטית כתובות IP מיוחדות .
ואז בשביל הסדר הטוב, אנחנו מקצים לרשת הפנימית שמאחורי כל מודם כזה סדרת כתובות מתאימות .

למשל אם במקום מסויים התחברתו עם יוזר XXXX#07
אז הכתובת החיצונית של הראוטר/מודם הזה תהיה 10.20.0.7
והכתובות הפנימית שלו תהיה : 10.20.7.1
והסידרה של המכשירים (ATA , או מחשב או טלפון IP ) שמחוברים אליו תהיה:
10.20.7.2-254

עד כאן מובן ?

כעת אני שואל על מציאות כזו שבה אני יושב בבית שלי ומתחבר למשל על יוזר מס' 5
ואני מקבל כתובת 10.20.0.5
ואני מעוניין להגיע לממשק הניהול של ATA שנמצא באתר מרוחק וכתובתו היא
10.20.7.5
אז במידה והוא נמצא מאחורי NAT, אני חייב לבצע הפניית פורטים בראוטר שאליו הוא מחובר,
ואז אני ניגש בעצם לכתובת של הראוטר שלו ולא לכתובת שלו,
כלומר פונה ל- 10.20.0.7 בפורט 85 והוא מעביר אותי למימשק הניהול של ATA מס'-5 שמאזין על פורט 80 (למשל)
אבל אם ביטלנו את ה- NAT בראוטר המרוחק אז הגישה אל ה-ATA ישירה .

וכאן אני שואל, אם ה-NAT מבוטל, אז איך ה-ATA מוציא ומקבל שיחות ,
האם זה רק בגלל שאנחנו נמצאים ברשת סגורה ומספיק לו ל-ATA לדבר ישירות עם השרת ב-DNS ו-DGW ?

התפקיד של NAT הוא למעשה כמו שאמרו מעליי, לקבץ טווח כתובות IP (הכתובת הפנימיות שלך) לכתובת IP אחת (הכתובת החיצונית שלך).
איך זה נעשה אתה בטח שואל את עצמך? יופי, התשובה היא:
כאשר אתה שולח פאקט של מידע, הפאקט מחולק למס' חלקים,
SOURCE_IP | DESTINATION_IP | PORT | DATA
---(בטוח יש עוד מידע אבל נכון לרגע זה הוא אינו רלוונטי)---

כאשר אתה פותח דפדפן ויוצר תקשורת מול אתר אינטרנט לצורך העניין, הפרטים הללו מתמלאים:
SOURCE_IP: כתובת הIP הפנימית שלך
DESTINATION_IP: כתובת ה IP של אתר האינטרנט אליו אתה פונה
PORT: הפורט בו אתה מעוניין ליצור את התקשורת
DATA: רשום שם קוד של "אני מבקש לצפות באתר X עם כל התוכן........."

הפאקט הזה יוצא מהמחשב שלך אל הראוטר שלך, בראוטר שלך מופעל NAT? יופי!
הראוטר משנה את הפאקט לנתונים הבאים:
SOURCE_IP: כתובת ה IP -החיצונית- שלך
DESTINATION_IP: כתובת ה IP של אתר האינטרנט אליו אתה פונה (נשאר ללא שינוי)
PORT: הפורט בו אתה מעוניין ליצור את התקשורת (נשאר ללא שינוי)
DATA: רשום שם קוד של "אני מבקש לצפות באתר X עם כל התוכן........." (נשאר ללא שינוי)

והפאקט נשלח אל אתר האינטרנט..

תפקיד ה NAT הוא לבצע את השינוי הזה בכל הפאקטים שאתה שולח, זה למעשה ה"תירגום" שהוא מבצע.
במידה ותבטל את ה NAT בראוטר שלך, הפאקטים יצאו פשוט מאד עם SOURCE_IP פנימי.

ספקיות מסויימות, אתרי אינטרנט מסויים ובכלל, שרתים מסויימים, עלולים שלא לענות על בקשות שמגיעות מכתובות כאלה (הגיוני, אחרת כולם ידברו ככה ולא יידעו לאיזו בקשה לענות..).

תפקיד נוסף שיש ל NAT, הוא לבצע רישום של כל הפאקטים האלה..
מחשב א' ברשת ביקש את גוגל? ה NAT מוסיף את המידע הזה לטבלה שאומרת:
"מחשב א' פנה אליי וכתובת ה IP שלו היא ***, הוא ביקש ליצור תקשורת מול גוגל (כתובת IP של גוגל) בפורט ***" ושולח את הבקשה לגודל.
כאשר גוגל מחזיר תשובה, ה NAT בודק את הפאקט שהתקבל מגוגל, מבין למי הוא צריך להחזיר אותו בקורולציה עם הטבלה שלו, ומחזיר את התשובה למחשב א', את אתר גוגל.

בצורה הזו, אתה יכול לגלוש מ-4 מחשבים, ל4 אתרים שונים בו זמנית ולא לקבל בטעות תשובה שהייתה מיועדת למחשב אחר..
כמובן שאפשר לעשות Drill Down הרבה יותר רציני.. אבל זה מצריך הרבה יותר ידע (שלא נראה לי שיש לי) והרבה יותר זמן (שבטוח אין לי) ושיחה בע"פ ולא ע"ג הרשת כי זה מאמר שלם שצריך לכתוב..

2. port forwarding הוא גם סוג של NAT ככה שהוא לא ממש התבלבל.

3. NAT משמש גם לגישה בין רשתות פנימיות ולא רק החוצה לעולם, ככה שאים יש לך רשת עם 30 VLAN אז אתה צריך גם NAT בינהם אם אתה לא יושב על הפיירוול\ראוטר שמנהל אותם.

שרת asterisk שנמצא בחוות שרתים שמחובר לרשת דרך ISP של CCC והכתובות שלו

אצל כל לקוח שמתחבר לרשת הטלפוניה הזו אנחנו מתקינים מודם/ראוטר של בזק
ומתחברים עם יוזרים של CCC שמקצים לנו כתובות IP שבתחום הרשת (בסוף הטבלא)

בגלל שהרשת הזו אינה פתוחה לרשת האינטרנט אז כדי להתחבר אליה מהבית אני צריך לבצע התחברות ליוזר מהרשימה המוקצת לנו ,
אגב, מצאתי דרך נחמדה לבצע את זה מבלי להתנתק מהאינטרנט שלי ,
התקנתי על המחשב שלי חייגן VPN של חברת CCC והזנתי את השם והסיסמה
וכך הרשת שלי נשארת על ספק האינטרנט שלי ורק המחשב שלי מתחבר ב-VPN לרשת הזו .

אחרי שאני מחובר לרשת, אני יכול לגשת לממשק הניהול של הראוטרים המפוזרים לפי כתובות ה-IP שלהם למשל 10.20.0.7
אבל אם אני רוצה להגיע לממשק של רכיב אחר שנמצא מאחורי הראוטר הזה
אז אני חייב לבצע הפניית פורטים .
מה שגילינו זה שאם מבטלים את ה-NAT שבראוטר אז נפתחת הגישה הישירה לרכיבים שמאחורי הראוטר ,
כלומר שאני יכול לשבת אצלי בבית על כתובת 10.20.0.1
ולהכנס לממשק ניהול של ATA שיושב על כתובת 10.20.7.2 שמאחורי ראוטר 10.20.0.7

בערך כמו שאתה מכיר מהחיבור של בתי הספר לכל המשלוחית ..
תכלס ב VRF מקבלים לרוב כתובות לא חוקיות ואז ב VRF עצמו יש ניתובים לכל ציוד שמתחבר כאילו היו ב LAN אחד

כיוון שהזכרת את קישורים, מעניין אותי לדעת אם אוכל להשתמש בחיבור האינטרנט הזה במוסדות חינוך שבהם נתקין את הטלפוניה הזאת
כי הרשת של קישורים כבר סגורה וכידוע לך אין לי אפשרות להגיע מבחוץ לרכיב ברשת מבלי ניתוב שלהם
כי כולם על אותו ip חוקי אחד

לא מבינים את הקטע של NAT , בגדול קישורים עובדים בלי NAT יש ניתובים
חוזרים לרשתות הפנימיות .

עכשיו בחברה פתחו את השרת לקבל גם פניות מהרשת החיצונית
כלומר שאני יכול להתקין ATA על כל אינטרנט מצוי ולתת לו קו טלפון של החברה
וכאן אני מסתפק אם המכשיר יעבוד גם בבתי הספר שבהם האינטרנט הוא של קישורים ברשת סגורה .
איך שם המידע ינותב

מה שבטוח ,שגם אם זה יעבוד , לא אוכל לגשת לממשק ניהול של המכשיר מהבית שלי
כי אין לי אפשרות להגיע לכתובת ip של המוצר שנמצא ברשת קישורים