Capire come funzionano i tipi di NAT è il primo passo per scoprire perché i tuoi dispositivi a volte faticano a comunicare in rete. Una videochiamata che si interrompe, un gioco che non riesce a connettersi alla lobby, o un'app VoIP che funziona perfettamente a casa ma va in tilt in ufficio: tutti questi problemi possono ricondursi al network address translation, un concetto fondamentale che determina come i tuoi dispositivi raggiungono Internet. Sapere cosa fa il NAT, perché esistono diversi tipi e quali limitazioni pratiche comporta ciascuno ti può far risparmiare ore di troubleshooting e aiutarti a prendere decisioni più consapevoli sulla configurazione della tua rete.
Punti chiave:
- Il network address translation (NAT) permette a più dispositivi di condividere un unico indirizzo IP pubblico, ma introduce restrizioni di connessione che variano in base al tipo di NAT.
- I tipi di NAT aperto, moderato e strict (o Tipo 1, 2 e 3 nella terminologia delle console) influenzano direttamente le connessioni peer-to-peer, il gaming e la comunicazione in tempo reale.
- Il double NAT - ovvero due router in serie - è una causa comune di problemi di connettività inspiegabili nelle reti domestiche e delle piccole imprese.
- Esistono soluzioni concrete per ogni tipo di NAT, dall'abilitazione di UPnP alla configurazione della DMZ, fino alla richiesta di un IP statico al proprio provider.
Indice dei contenuti
Cos'è il Network Address Translation?
Ogni dispositivo che si connette a Internet ha bisogno di un indirizzo IP. Il problema è che il pool globale di indirizzi IPv4 è esaurito. RFC 1918 ha risolto in parte questo problema definendo intervalli di indirizzi IP privati (come 192.168.x.x e 10.x.x.x) che possono essere riutilizzati all'interno di qualsiasi rete locale. Un NAT router si posiziona al confine tra la tua rete privata e Internet, traducendo gli indirizzi privati nell'unico IP pubblico che il tuo provider ti assegna.
Quando il tuo laptop invia una richiesta a un server web, il NAT router riscrive l'indirizzo sorgente dal tuo IP privato (ad esempio 192.168.1.50) al tuo IP pubblico prima di inoltrare il pacchetto. Quando arriva la risposta, il router inverte la traduzione e consegna i dati al dispositivo corretto. Dal punto di vista di Internet, tutti i dispositivi della tua rete appaiono come un'unica macchina.
Questo meccanismo è elegante e pratico, ma crea un effetto collaterale: le connessioni in entrata non richieste non hanno una destinazione ovvia. Il router non sa a quale dispositivo interno recapitare un pacchetto che nessuno ha richiesto. Questa ambiguità è esattamente ciò che i diversi tipi di NAT gestiscono in modi differenti.
I tipi di NAT nel dettaglio
La terminologia cambia leggermente a seconda che si parli di console da gioco o di teoria delle reti, ma il comportamento sottostante è lo stesso. Ecco come funzionano in pratica i principali tipi di NAT.
Full Cone NAT (NAT aperto / Tipo 1)
Non appena un dispositivo apre una connessione in uscita, il router crea un mapping che accetta qualsiasi pacchetto in entrata inviato a quell'IP pubblico e a quella porta, indipendentemente da chi lo invia. È il tipo più permissivo. Le connessioni peer-to-peer, i giochi multiplayer e le app in tempo reale funzionano senza problemi. È comune quando il dispositivo è collegato direttamente a un modem senza router intermedio, oppure quando un dispositivo è inserito nella DMZ del router.
Address-Restricted Cone NAT (NAT moderato / Tipo 2)
Il router accetta pacchetti in entrata solo da un indirizzo IP esterno che il dispositivo interno ha già contattato in precedenza. La porta esterna non è rilevante. È il tipo di NAT più diffuso nei router domestici e rappresenta un buon compromesso tra sicurezza e connettività. La maggior parte dei giochi online e delle videochiamate funziona correttamente, anche se alcuni scenari peer-to-peer richiedono una negoziazione aggiuntiva.
Port-Restricted Cone NAT
I pacchetti in entrata vengono accettati solo se provengono dall'indirizzo IP e dal numero di porta esatti che il dispositivo interno ha contattato in precedenza. È più restrittivo dell'address-restricted NAT. Gli strumenti di comunicazione in tempo reale possono avere difficoltà a meno che non utilizzino server STUN o TURN per superare il blocco.
Symmetric NAT (NAT strict / Tipo 3)
Ogni connessione in uscita riceve un mapping di porta esterna univoco, e i pacchetti in entrata vengono accettati solo dalla destinazione esatta che il dispositivo interno aveva originariamente contattato. Due dispositivi entrambi dietro un NAT simmetrico non possono stabilire una connessione peer-to-peer diretta. Il NAT strict è comune sui firewall aziendali e su alcuni apparati di livello ISP. È il più sicuro, ma anche il più problematico per le applicazioni in tempo reale.
| Tipo di NAT | Termine console | Regola in entrata | P2P / Gaming |
|---|---|---|---|
| Full Cone | Aperto / Tipo 1 | Qualsiasi sorgente ammessa | Ottimo |
| Address-Restricted Cone | Moderato / Tipo 2 | Solo IP noto | Buono |
| Port-Restricted Cone | Moderato / Tipo 2 | IP + porta noti | Sufficiente |
| Symmetric | Strict / Tipo 3 | Solo destinazione esatta | Scarso |
Port Address Translation e il suo ruolo
Il port address translation (PAT) viene spesso usato come sinonimo di NAT, ma c'è una distinzione utile da fare. Mentre il NAT di base mappa un IP privato su un IP pubblico, il PAT mappa molti IP privati su un unico IP pubblico tenendo traccia di numeri di porta univoci per ogni sessione. Quando il tuo router gestisce contemporaneamente il traffico di un laptop, uno smartphone e una smart TV, è il PAT a fare il lavoro pesante.
Il PAT è il motivo per cui il tuo router riesce a distinguere lo streaming di Netflix sulla TV da una sessione del browser sul laptop, anche se entrambi appaiono provenire dallo stesso IP pubblico. Ogni connessione in uscita riceve una porta sorgente univoca nella tabella di traduzione. Quando arrivano le risposte, il router abbina la porta di destinazione al dispositivo interno corretto.
È anche per questo che le applicazioni che dipendono da numeri di porta specifici possono smettere di funzionare dietro un NAT router. Se due dispositivi tentano entrambi di usare la porta sorgente 5000, il router deve rimapparne uno, e se l'applicazione ricevente si aspetta una porta fissa, la connessione fallisce. È un problema comune con il VoIP basato su SIP e con alcuni protocolli peer-to-peer più datati.
Il problema del Double NAT
Il double NAT si verifica quando due router eseguono la traduzione degli indirizzi in serie. Uno scenario tipico: il tuo provider ti fornisce un dispositivo modem-router combo che esegue già il NAT. Tu ci colleghi poi il tuo router per avere una copertura Wi-Fi migliore o un maggiore controllo. A questo punto ogni dispositivo della tua rete passa attraverso due livelli di NAT prima di raggiungere Internet.
I sintomi sono sottili ma frustranti. Le regole di port forwarding che configuri sul router interno non hanno effetto perché il router esterno non sa di dover inoltrare il traffico verso di esso. UPnP può funzionare in modo discontinuo. I client VPN possono non riuscire a stabilire tunnel. Le console da gioco riporteranno quasi sempre un NAT strict o moderato anche dopo aver configurato correttamente il router interno.
Puoi verificare la presenza di double NAT confrontando l'indirizzo WAN IP mostrato nel pannello di amministrazione del tuo router con il tuo IP pubblico reale. Se sono diversi e l'IP WAN rientra in un intervallo privato (10.x.x.x, 172.16-31.x.x o 192.168.x.x), sei dietro un double NAT. Usa il nostro strumento di ricerca IP per trovare il tuo IP pubblico reale e confrontarlo con l'indirizzo WAN riportato dal router.
La soluzione più pulita è mettere il dispositivo del provider in modalità bridge, disabilitando la sua funzione NAT in modo che solo il tuo router gestisca la traduzione. Se il tuo provider non consente la modalità bridge, puoi inserire il tuo router nella DMZ del dispositivo esterno, ottenendo di fatto un percorso diretto verso Internet.
Un esempio pratico: console da gioco dietro un router
Immagina di collegare una PlayStation 5 a un router domestico. L'IP WAN del router è 203.0.113.45 (un IP pubblico reale assegnato dal tuo provider). La console riceve l'indirizzo privato 192.168.1.10.
Quando avvii un gioco multiplayer, la console si connette al server di matchmaking del gioco all'indirizzo 198.51.100.22 sulla porta 3478. Il router crea una voce PAT: l'interno 192.168.1.10:49152 viene mappato sull'esterno 203.0.113.45:49152. Il server di matchmaking risponde e la sessione funziona. Tutto bene fin qui.
Ora il gioco tenta di stabilire una connessione peer-to-peer diretta per la chat vocale con un altro giocatore. La console di quell'altro giocatore invia un pacchetto direttamente a 203.0.113.45:49153. Se il tuo router usa un address-restricted cone NAT, verifica se 192.168.1.10 abbia mai contattato l'IP dell'altro giocatore. Se il server di matchmaking li ha messi in contatto, è così, e la connessione riesce. Se il tuo router usa un NAT simmetrico, ha assegnato una porta esterna diversa per ogni flusso in uscita, quindi il pacchetto in entrata arriva su una porta di cui il router non ha traccia e viene scartato. La chat vocale smette di funzionare senza alcun messaggio di errore.
La soluzione in questo caso è abilitare UPnP (in modo che la console possa richiedere un mapping di porta coerente), assegnare un IP privato statico alla console e aggiungere una regola di port forwarding, oppure inserire la console nella DMZ. Ogni approccio ha i suoi compromessi, descritti nella sezione successiva.
Come migliorare il tipo di NAT: azioni concrete
La soluzione giusta dipende dalla tua configurazione specifica e da quanto sei disposto a sacrificare in termini di sicurezza per guadagnare connettività. Ecco le opzioni più pratiche, ordinate dalla meno alla più invasiva.
1. Abilita UPnP sul tuo router
Universal Plug and Play permette alle applicazioni di richiedere automaticamente mapping di porta al router. La maggior parte dei router consumer lo supporta. Accedi al pannello di amministrazione del router (di solito all'indirizzo 192.168.1.1 o 192.168.0.1), trova l'impostazione UPnP nelle sezioni Avanzate o Impostazioni WAN e abilitala. Riavvia il dispositivo per cui vuoi migliorare il NAT e verifica di nuovo. UPnP è comodo ma comporta rischi di sicurezza su reti con dispositivi non affidabili, quindi usalo solo su reti domestiche fidate.
2. Configura il port forwarding statico
Assegna un IP privato statico al dispositivo che vuoi migliorare (tramite la prenotazione DHCP nel router), poi crea una regola di port forwarding che mappa la porta esterna richiesta sull'IP interno di quel dispositivo. È più sicuro di UPnP perché controlli esattamente quali porte sono aperte. Consulta la documentazione dell'applicazione specifica per sapere quali porte utilizza.
3. Risolvi il double NAT
Come descritto sopra, metti il dispositivo del provider in modalità bridge oppure inserisci il tuo router nella DMZ del dispositivo del provider. Se stai valutando strumenti SaaS che dipendono dalla rete, il double NAT è una delle prime cose da escludere quando un prodotto si comporta in modo incoerente tra sedi diverse. Puoi anche verificare se il tuo indirizzo IP sia finito in qualche lista di blocco a causa di un routing mal configurato usando il nostro controllo blacklist IP.
4. Richiedi un IP pubblico statico
Se il tuo provider ti assegna un IP dinamico che cambia periodicamente, il port forwarding configurato può smettere di funzionare. Un IP pubblico statico ha un piccolo costo mensile con la maggior parte dei provider, ma rende il port forwarding affidabile e semplifica le configurazioni di accesso remoto. Per le aziende che usano strumenti SaaS che richiedono webhook in entrata o callback API, spesso vale la spesa.
5. Considera IPv6
IPv6 elimina del tutto la necessità del NAT perché ogni dispositivo ottiene un indirizzo globalmente univoco. IPv6 (RFC 8200) è sempre più supportato dai provider e dai sistemi operativi. Se il tuo provider offre IPv6, abilitarlo sul router può risolvere molti problemi legati al NAT per le applicazioni che supportano il networking dual-stack. Verifica la tua versione IP attuale e la connettività con il nostro strumento per indirizzi IP.
6. Usa una VPN con NAT traversal
Alcuni protocolli VPN, tra cui WireGuard, gestiscono bene il NAT traversal e possono offrire ai dispositivi dietro un NAT strict un percorso di connessione più aperto. È particolarmente utile per i lavoratori da remoto che si collegano a una rete aziendale da casa con un NAT restrittivo. Tieni presente che l'aggiunta di una VPN introduce latenza, il che è rilevante per le applicazioni in tempo reale. La documentazione di WireGuard tratta in dettaglio il comportamento del NAT traversal.
Suggerimento diagnostico rapido: Se sospetti che il tuo indirizzo IP stia causando problemi di connettività al di là del NAT, verifica se compare in qualche lista di blocco basata su DNS. Router mal configurati e indirizzi condivisi dei provider finiscono a volte segnalati. Consulta la nostra guida su come rimuovere il tuo IP da una blacklist per una procedura dettagliata passo dopo passo.
Conclusione
I tipi di NAT non sono solo un concetto astratto di networking. Hanno effetti diretti e misurabili sulla capacità delle tue applicazioni di connettersi in modo affidabile, sulle prestazioni dei servizi peer-to-peer e sull'effettivo funzionamento delle regole di port forwarding. Capire la differenza tra full cone, address-restricted e NAT simmetrico ti fornisce un framework concreto per diagnosticare i problemi di connessione invece di procedere per tentativi. Il solo scenario del double NAT è responsabile di un numero sorprendente di ticket di supporto nei prodotti SaaS che dipendono da connessioni in entrata. Inizia con i passaggi diagnostici descritti sopra, identifica il tipo di NAT e la topologia con cui hai a che fare, e applica la soluzione mirata invece di cambiare impostazioni del router a caso.
Controlla subito il tuo IP pubblico e i dettagli della connessione
Scopri il tuo vero indirizzo IP pubblico, individua eventuali double NAT e capisci esattamente come la tua rete si presenta a Internet - tutto con un unico strumento gratuito.
Prova il nostro strumento gratuito →
Il NAT di base mappa un IP privato su un IP pubblico. Il port address translation (PAT) mappa molti IP privati su un unico IP pubblico assegnando numeri di porta univoci a ogni sessione. La maggior parte dei router domestici usa il PAT, motivo per cui più dispositivi possono condividere contemporaneamente un unico indirizzo IP pubblico senza conflitti.
Confronta l'IP WAN mostrato nel pannello di amministrazione del tuo router con il tuo IP pubblico reale (verificabile con uno strumento di ricerca IP). Se l'IP WAN del router rientra in un intervallo di indirizzi privati (10.x.x.x, 172.16-31.x.x o 192.168.x.x) invece di corrispondere al tuo IP pubblico, sei dietro un double NAT.
UPnP può farti passare da NAT strict a moderato o aperto, consentendo alle applicazioni di richiedere automaticamente mapping di porta. Tuttavia funziona solo se è presente un unico livello NAT. In caso di double NAT, UPnP sul router interno non sarà di aiuto perché il router esterno continuerà a bloccare il traffico in entrata non richiesto.
Il NAT simmetrico assegna una porta esterna univoca per ogni connessione in uscita distinta. Quando un peer remoto tenta di riconnettersi usando la porta che ha osservato, il router non trova una voce corrispondente e scarta il pacchetto. Due dispositivi entrambi dietro un NAT simmetrico non possono prevedere i rispettivi mapping di porta, rendendo impossibili le connessioni peer-to-peer dirette senza un server relay.
Per il traffico IPv6, sì. IPv6 fornisce un indirizzo globalmente univoco a ogni dispositivo, eliminando la necessità della traduzione degli indirizzi. Tuttavia la maggior parte delle reti trasporta ancora traffico IPv4 insieme a IPv6, quindi i problemi di NAT persistono per le connessioni IPv4 finché Internet non completerà la transizione, un processo che richiederà ancora anni nella maggior parte degli ambienti.