كيفية التحقق مما إذا كنت خلف CGNAT
تعرّف على طريقة معرفة ما إذا كان الراوتر يملك IPv4 عاما حقيقيا، أو يقع خلف CGNAT لدى مزود الخدمة، أو يعاني فقط من NAT مزدوج في المنزل.
Carrier-Grade NAT، ويختصر عادة إلى CGNAT، هو أحد أكثر الأسباب شيوعا التي تجعل port forwarding يبدو وكأنه لا يفعل شيئا. قد يسمح لك الراوتر بإنشاء قاعدة forwarding، وقد يكون خادم اللعبة يعمل، وقد يبدو جدار الحماية المحلي صحيحا، لكن الأشخاص خارج المنزل لا يزالون غير قادرين على الاتصال. الجزء الناقص غالبا بسيط: قد لا يملك الراوتر المنزلي عنوان IPv4 عاما فعليا.
يوضح هذا الدليل طريقة عملية للتحقق من CGNAT بدون تخمين. الهدف ليس اعتبار كل نتيجة strict NAT دليلا على CGNAT. اختبارات نوع NAT تصف سلوك الاتصال. أما CGNAT فهو تصميم لمشاركة العناوين في طبقة upstream يستخدمه مزود الخدمة. للتعرف عليه، قارن عنوان IPv4 العام بعنوان WAN في الراوتر، وافحص نطاق العنوان، ثم استبعد NAT المزدوج العادي داخل المنزل.
الإجابة السريعة
إذا كان عنوان IPv4 WAN في الراوتر مطابقا لعنوان IPv4 العام الذي يظهره فاحص خارجي، فمن المحتمل أن الراوتر يملك IPv4 عاما حقيقيا.
إذا كان عنوان WAN في الراوتر ضمن 100.64.0.0/10، فهذه إشارة قوية إلى CGNAT. يحجز RFC 6598 مساحة العناوين المشتركة هذه لنشر NAT لدى مزودي الخدمة.
إذا كان عنوان WAN في الراوتر ضمن 10.0.0.0/8 أو 172.16.0.0/12 أو 192.168.0.0/16، فهناك NAT في upstream. قد يكون بوابة مزود الخدمة أو modem/router أو راوتر منزلي آخر.
إذا كان عنوان WAN مختلفا عن العنوان العام، فهناك شيء في upstream يترجم الترافيك. افحص بنية الشبكة المنزلية قبل أن تسميه CGNAT.
لماذا لا يثبت نوع NAT وحده وجود CGNAT
اختبار نوع NAT يراقب كيف تتصرف شبكتك الحالية عند إنشاء اتصال. حسب طريقة الاختبار، قد يعرض open internet أو full cone أو restricted أو port restricted أو symmetric أو timeout أو blocked. هذا مفيد للألعاب وتطبيقات peer-to-peer، لكنه لا يكشف من يملك عنوان IPv4 العام. قد تظهر نتيجة symmetric NAT على راوتر لديه IPv4 عام، وقد يسمح منزل خلف CGNAT لبعض الجلسات الصادرة بالعمل بشكل طبيعي.
CGNAT أمر مختلف. يعني أن مزود الخدمة يضع عددا كبيرا من المشتركين خلف طبقة NAT مشتركة بحيث يستخدم عدة عملاء مجموعة أصغر من عناوين IPv4 العامة. يصف RFC 6888 أن CGN هو NAT متعدد المشتركين. ويوضح RFC 6269 لماذا يمكن لمشاركة العناوين أن تكسر افتراضات التطبيقات والتسجيل ومعالجة الإساءة والاتصال الوارد. العرض العملي للمستخدم المنزلي هو أن الترافيك الوارد غير المطلوب لا يصل إلى الراوتر، حتى عندما تكون قاعدة port forwarding المحلية صحيحة.
كيفية فحص CGNAT
1اعثر على عنوان IPv4 العام لديك
شغّل فاحص IP عام من جهاز على الشبكة نفسها، أو شغّل اختبار NAT في هذا الموقع وانسخ قيمة IPv4. هذا هو العنوان الذي تراه المواقع والخدمات البعيدة. اكتبه بدقة، لأنك ستقارنه بعنوان WAN في الراوتر في الخطوة التالية.
2اعثر على عنوان IPv4 WAN أو Internet في الراوتر
سجّل الدخول إلى صفحة إدارة الراوتر وابحث عن حقل باسم WAN IP أو Internet IP أو IPv4 address أو gateway status. لا تستخدم العنوان المحلي للهاتف أو الكمبيوتر مثل 192.168.1.23. تحتاج إلى العنوان المخصص لواجهة الراوتر المواجهة للإنترنت.
3افحص نطاق عنوان WAN
إذا كان عنوان WAN في الراوتر من 100.64.0.0 إلى 100.127.255.255، فهو ضمن مساحة العناوين المشتركة التي يعرفها RFC 6598 وتدرجها IANA كغير قابلة للوصول عالميا. إذا كان 10.x.x.x أو 172.16-31.x.x أو 192.168.x.x، فهو مساحة عناوين خاصة. في كلتا الحالتين لا يحتفظ الراوتر مباشرة بعنوان IPv4 عادي قابل للوصول عالميا.
4استبعد NAT المزدوج داخل المنزل
تحتوي بيوت كثيرة على جهازي routing: modem/router من مزود الخدمة وراوتر Wi-Fi منفصل. إذا كان كلاهما يوجه الترافيك، فسيتلقى الراوتر الخاص بك عنوان WAN خاصا حتى لو كان خط مزود الخدمة لا يزال يملك IPv4 عاما على الجهاز الأول. ضع جهاز مزود الخدمة في bridge mode أو اجعل الراوتر الخاص بك في access point mode، ثم افحص مرة أخرى.
5استخدم port forwarding كدليل مساعد
فشل port forwarding وحده لا يكفي لإثبات CGNAT، لكنه مفيد بعد التأكد من أن الخدمة تستمع وأن جدار الحماية مفتوح. إذا كان عنوان WAN مشتركا أو خاصا وكانت فحوصات المنافذ الخارجية تفشل دائما، فمن المحتمل أن CGNAT أو NAT آخر في upstream يحظر الوصول الوارد.
6استخدم traceroute فقط كإشارة متقدمة
تصف Cloudflare تقنية تبحث عن hops ضمن 100.64.0.0/10 بين شبكة العميل والعنوان العام المرصود. يمكن أن يساعد ذلك المستخدمين التقنيين على تأكيد مسار CGN، لكنه ليس الخطوة الأولى لمعظم الناس لأن توجيه ISP والتصفية قد يخفيان أو يغيران رؤية hops.
نطاقات العناوين المهمة
| النطاق | المعنى |
|---|---|
| 100.64.0.0/10 | مساحة عناوين مشتركة لـ NAT لدى مزودي الخدمة. وجود عنوان WAN للراوتر هنا مؤشر قوي على CGNAT. |
| 10/8, 172.16/12, 192.168/16 | مساحة عناوين خاصة. الراوتر خلف جهاز NAT آخر، وقد يكون بوابة مزود الخدمة أو راوتر محلي آخر. |
| نطاقات IPv4 عادية أخرى | إذا تطابق عنوان WAN في الراوتر مع نتيجة فاحص IPv4 العام، فيمكن عادة أن يعمل port forwarding إذا كانت الخدمة المحلية وجدار الحماية مضبوطان بشكل صحيح. |
CGNAT مقابل NAT المزدوج
يبدو CGNAT وNAT المزدوج متشابهين لأن كليهما يضع جهازك خلف أكثر من طبقة ترجمة. الفرق هو التحكم. يمكنك غالبا إصلاح NAT المزدوج بتغيير وضع معداتك. أما CGNAT لدى مزود الخدمة فلا يمكنك عادة إزالته من إعدادات الراوتر المنزلي.
CGNAT
يشارك مزود الخدمة عناوين IPv4 العامة بين عدد كبير من المشتركين. يتلقى الراوتر عنوان upstream مشتركا أو خاصا، لذلك يتوقف الترافيك الوارد IPv4 غير المطلوب قبل أن يصل إلى الراوتر.
NAT مزدوج
يوجد جهازان في المنزل يقومان بالتوجيه، غالبا بوابة مزود الخدمة مع الراوتر الخاص بك. bridge mode أو access point mode أو إزالة طبقة routing واحدة يمكن عادة أن يحل المشكلة.
إشارات خاطئة شائعة
لا تشخص CGNAT من نتيجة منفذ مغلق وحدها. المنفذ المغلق يعني فقط أن الفحص الخارجي لم يصل إلى خدمة تقبل الاتصال. عدة مشاكل محلية يمكن أن تنتج النتيجة نفسها.
- جدار حماية نظام التشغيل أو الراوتر يحظر المنفذ رغم وجود قاعدة forwarding.
- خادم اللعبة أو الكاميرا أو NAS أو خدمة remote desktop لا تستمع فعليا على ذلك المنفذ.
- قاعدة forwarding تستخدم TCP بينما يحتاج التطبيق إلى UDP، أو الفاحص الخارجي يختبر البروتوكول الخطأ.
- VPN أو حزمة أمان أو proxy يغير عنوان IP العام المرصود ويجعل نتائج المقارنة مضللة.
ما الذي يمكنك فعله
أصلح NAT المزدوج المحلي أولا
إذا كنت تتحكم في جهازي routing، فاجعل بوابة مزود الخدمة bridge أو اضبط الراوتر الثاني على access point mode. بعد ذلك قارن WAN IP وIP العام مرة أخرى.
اطلب IPv4 عاما من مزود الخدمة
بعض المزودين يقدمون عنوان IPv4 عاما أو إضافة IPv4 ثابت أو خطة بلا CGNAT. الاسم والسعر يختلفان حسب المنطقة.
استخدم IPv6 عندما يدعمه الطرف البعيد
يمكن لـ IPv6 تجاوز IPv4 CGNAT، لكن جدار حماية الراوتر لا يزال يتحكم في قابلية الوصول الوارد. اختبر توفر IPv6 وقابلية الوصول الخارجية بشكل منفصل.
استخدم relay أو VPS أو tunnel أو خادما مستضافا
إذا لم يوفر ISP عنوان IPv4 عاما، فاستخدم وضع لعبة قائم على relay أو VPS tunnel أو reverse proxy أو خادما مستضافا لديه عنوان عام يمكن الوصول إليه.
افحص سلوك NAT أولا
شغّل اختبار NAT على الشبكة نفسها قبل تغيير إعدادات الراوتر. تساعد النتيجة على فصل سلوك NAT عن مشاركة العناوين لدى ISP ومشاكل جدار الحماية المحلي.
افحص نوع NAT الآن →المصادر
- RFC 6598: بادئة IPv4 محجوزة من IANA لمساحة العناوين المشتركة
- سجل IANA لعناوين IPv4 ذات الأغراض الخاصة
- RFC 6888: المتطلبات العامة لـ Carrier-Grade NAT
- RFC 6269: مشكلات مشاركة عناوين IP
- Cloudflare: اكتشاف Carrier-Grade NAT
- TP-Link: استكشاف مشاكل port forwarding
- TP-Link: DDNS واستكشاف مشاكل private WAN IP
- Cisco: نظرة عامة على Carrier-Grade NAT