La tecnica NAT (Network Address Translation) viene abitualmente utilizzata per mettere in comunicazione i dispositivi collegati alle reti locali LAN con quelli remoti connessi alla rete Internet.
Senza scendere troppo nei dettagli tecnici, come spiegato nell’articolo NAT, come superare quello del provider, il NAT viene praticamente sempre utilizzato nelle reti aziendali e domestiche per far condividere un unico indirizzo IP pubblico (quello assegnato al router dall’operatore di telecomunicazioni) da tutti i dispositivi collegati a valle del router via cavo Ethernet o WiFi.
Il router mantiene e aggiorna continuamente una tabella di indirizzamento che contiene le corrispondenze tra gli indirizzi IP privati assegnati a tutti i vari dispositivi collegati a valle, ad esempio 192.168.1.0/24 (secondo la subnet mask impostata: Subnet mask, cos’è e a che cosa serve), la porta di comunicazione usata dal client sull’IP privato e la porta sull’IP pubblico assegnato al router.
Provate a digitare al prompt dei comandi di Windows il comando netstat -an
: Come controllare porte aperte su router e IP pubblico.
Vedrete che per l’indirizzo IP privato assegnato al sistema in uso vengono usate molteplici porte locali per la connessione a IP remoti.
Per ciascuna connessione il router conserva l’informazione sulla provenienza e sulla destinazione dei pacchetti dati diretti, attraverso l’IP pubblico, a uno specifico host locale.
A stretto rigore, questo tipo di configurazione si chiama PAT (Port Address Translation) più che NAT ma nel linguaggio di ogni giorno è ormai soliti usare questo secondo acronimo.
Single NAT e double NAT: cosa sono e quali le differenze
Alcuni utenti non sono particolarmente entusiasti nel sostituire il router fornito dall’operatore di telecomunicazioni.
In forza delle disposizioni in materia di modem libero è nel pieno diritto dei consumatori ricevere offerte di connettività che non prevedano la fornitura obbligatoria di un dispositivo (i.e. router) da parte del provider: Modem fibra: quando usarne uno alternativo e come sceglierlo.
Chi preferisse continuare a usare il router fornito dall’operatore di telecomunicazioni per stabilire la connessione quindi sfruttandone le capacità di modem, può comunque collegare a valle un router WiFi di terze parti. Connettendo la porta WAN di questo dispositivo alla porta LAN del modem router fornito dall’operatore di telecomunicazioni si avrà una configurazione che prevede l’uso di due router in cascata (“double NAT“).
Il problema principale di questa configurazione è che i dispositivi collegati a ciascuno dei due router non saranno in grado di comunicare tra loro in locale perché ogni router utilizza un suo intervallo di indirizzi IP privati.
Ad esempio se si collegasse un PC al router fornito dal provider di telecomunicazioni e una stampante connessa al nuovo router collegato a valle il computer non potrà usare la stampante perché i due dispositivi non si vedranno reciprocamente.
L’utilizzo del port forwarding (Port forwarding, cos’è e qual è la differenza con il port triggering) e, ad esempio, di eventuali server VPN non potrà avvenire come d’abitudine in una normale configurazione “single NAT”.
Se l’unica cosa che interessa è l’accesso a Internet allora una configurazione a “double NAT” non creerà alcun problema.
Se però si dovessero aprire porte in ingresso per abilitare l’accesso a funzionalità server erogate dai dispositivi connessi alla rete locale sul router secondario, allora bisognerà abilitare un doppio port forwarding: sul modem router dell’operatore di telecomunicazioni e poi sul router a valle (verso gli indirizzi IP dei client collegati in LAN).
Ma non è necessario introdurre e usare questa complicata configurazione: sul modem router dell’operatore di telecomunicazioni si può attivare la funzione DMZ (Demilitarized zone) puntando all’IP del router a valle.
Tutto il traffico in ingresso sarà così automaticamente inoltrato sulle corrispondenti porte del router secondario.
In alternativa è possibile ricorrere all’abilitazione del cosiddetto IP passthrough, se permesso sul modem router del fornitore di connettività: tutto il traffico dati sulle porte in ingresso sarà automaticamente inoltrato verso il router secondario e non si sarà quindi costretti a un doppio port forwarding.
Resta inteso che attivando DMZ e IP passthrough al router principale non dovranno essere collegati i propri dispositivi né via cavo Ethernet né via WiFi (anzi, il modulo wireless dovrà essere disabilitato).
Ancora, in alternativa, il dispositivo dell’operatore di telecomunicazioni può essere impostato come “solo modem” o in “modalità bridge” in modo da avere una configurazione single NAT, abilitata cioè solo sul router connesso a valle.
Negli articoli Come collegare due router in cascata e Modem Telecom: come configurarlo e come affiancarlo a un router abbiamo approfondito l’argomento.