Lo scenario dove sto facendo le prove è un IP Pubblico pulito assegnato alla WAN e poi è il Firewall "natta" le varie porte sugli IP Privati.
(un IP Pubblico è) Assegnato alla WAN di chi?
...è assegnato alla WAN del Firewall (si usano 3 IP...due assegnati sulle interfacce WAN e LAN del Router ed uno sulla WAN del Firewall...) ed il Firewall, che è posto dietro il Router (quindi con un solo livello di NAT realizzato appunto dal Firewall...visto che il Router non fa NAT in questo caso), esegue poi il suo NAT (quindi NAT singolo)...oppure tale IP Pubblico è assegnato alla WAN del Router che esegue un primo NAT lasciando al Firewall il compito di eseguire il secondo (quindi double-NAT)?
Di solito quando si ha un solo IP Pubblico statico non si può evitare il doppio NAT (anche se si fa Any Port/Any Protocol Forwarding verso la WAN del Firewall)...nel senso che tale IP Pubblico è assegnato dal gestore ITSP alla WAN del Router a prescindere da cosa c'è alle spalle tale Router (potrebbe anche non esserci un Firewall)...e tale Router deve quindi realizzare forzosamente il primo NAT verso la sua LAN (ossia verso la Subnet interna o verso comunque la Subnet interna che si instaura tra la sua LAN e la WAN dell'eventuale Firewall posto alle sue spalle, sempre che questo ci sia)...e quindi l'eventuale Firewall alla fine si ritrova a fare il secondo NAT verso la LAN privata...mi pare che solo avendo un Pool di IP Pubblici si possa ricadere nel primo caso (NAT fatto solo dal Firewall).
Qualcuno potrebbe aggiungere (od obbiettare) che anche il più blasfemo dei Router ha funzionalità Firewall (benchè difficilmente funga da terminatore VPN come fa un Firewall di rango)...ma, detto in sintesi, un conto è un Firewall con "ALG Support" (ed anche qui...si spalancano le porte dell'infinito) ed un altro è un normale Router che offre il servizio di Virtual Server ([Port/Service]-Forwarding verso gli Host della IP Subnet privata)...se, all'apparenza, entrambi possono sortire effetti simili (raggiungibilità di alcuni specifici servizi interni dall'esterno, vedi RDP, VNC, SSH, HTTP/HTTPS e chi ne ha più ne metta...) dall'altro, per il VoIP ad esempio, non sono affatto la stessa cosa (quando nel Payload dei messaggi di un SIP Client è contenuto il proprio IP Privato e tale SIP Client deve connettersi con un altro SIP Client all'esterno) al punto di arrivare, se non ci si fa caso, agli annosi problemi del Simmetric NAT/Full-Cone NAT ecc.
La VPN (Client to Gateway e Gateway to Gateway) può sicuramente essere
una soluzione...
Nota: insisto con lo scrivere che c'è, da qualche parte, un (xDSL)-Router interposto tra Internet ed il Firewall ma, questi due apparati, potrebbero essere anche "accorpati" in un unico device (un xDSL Modem/Router/Firewall...esempio: il Netgear DGVF338 che in più aveva anche il WiFi)...ma questa è solo una mia presunzione per tentare di dare un nome alle cose.
Correggetemi se sbaglio (Sopra ho corretto "...
di NAT Traversal (ALG)..." con "...
di tramite il NAT Traversal (ALG)..." altrimenti sembra che il NAT Traversal sia il problema e non una tecnica per risolvere un problema!).