Sådan tjekker du, om du er bag CGNAT
Se om din router har en rigtig offentlig IPv4-adresse, er bag ISP-CGNAT, eller kun er ramt af double NAT derhjemme.
Carrier-Grade NAT, normalt forkortet CGNAT, er en af de mest almindelige grunde til, at port forwarding ser ud til ikke at gøre noget. Din router kan måske lade dig oprette en forwarding-regel, din spilserver kan køre, og din lokale firewall kan se korrekt ud, men personer uden for dit hjem kan stadig ikke forbinde. Den manglende brik er ofte enkel: din hjemmerouter har måske slet ikke en offentlig IPv4-adresse.
Denne guide viser en praktisk måde at tjekke CGNAT uden gætteri. Målet er ikke at kalde alle strict NAT-resultater for CGNAT. NAT-type-tests beskriver forbindelsesadfærd. CGNAT er et upstream design til deling af adresser, som bruges af en ISP. For at identificere det skal du sammenligne din offentlige IPv4-adresse med routerens WAN-adresse, kontrollere adresseområdet og derefter udelukke almindelig double NAT i hjemmet.
Kort svar
Hvis routerens WAN IPv4-adresse er den samme som den offentlige IPv4-adresse vist af en ekstern checker, har routeren sandsynligvis en rigtig offentlig IPv4.
Hvis routerens WAN-adresse ligger i 100.64.0.0/10, er det et stærkt CGNAT-signal. RFC 6598 reserverer dette delte adresseområde til service provider NAT-udrulninger.
Hvis routerens WAN-adresse ligger i 10.0.0.0/8, 172.16.0.0/12 eller 192.168.0.0/16, er der upstream NAT. Det kan være din ISP-gateway, dit modem/router eller en anden hjemmerouter.
Hvis WAN-adressen og den offentlige adresse er forskellige, oversætter noget upstream trafikken. Tjek din hjemmetopologi, før du kalder det CGNAT.
Hvorfor NAT-typen alene ikke beviser CGNAT
En NAT-type-test observerer, hvordan dit aktuelle netværk opfører sig, når en forbindelse oprettes. Den kan vise åbent internet, full cone, restricted, port restricted, symmetric, timeout eller blokeret adfærd afhængigt af testmetoden. Det er nyttigt til gaming og peer-to-peer-apps, men det viser ikke, hvem der ejer den offentlige IPv4-adresse. Et symmetric NAT-resultat kan forekomme på en router med offentlig IPv4, og et hjem bag CGNAT kan stadig lade nogle udgående sessioner fungere normalt.
CGNAT er noget andet. Det betyder, at ISP'en placerer mange abonnenter bag et delt NAT-lag, så flere kunder kan bruge en mindre pulje af offentlige IPv4-adresser. RFC 6888 beskriver CGN som multi-subscriber NAT. RFC 6269 forklarer, hvorfor adressedeling kan bryde antagelser i applikationer, logning, abuse-håndtering og indgående forbindelser. Det praktiske symptom for hjemmebrugere er, at uopfordret indgående trafik ikke kan nå routeren, selv når den lokale port forwarding-regel er korrekt.
Sådan tjekker du for CGNAT
1Find din offentlige IPv4-adresse
Kør en offentlig IP-checker fra en enhed på samme netværk, eller kør NAT-testen på dette site og kopier IPv4-værdien. Det er den adresse, websites og fjerntjenester ser. Skriv den nøjagtigt ned, for du skal sammenligne den med routerens WAN-adresse i næste trin.
2Find WAN- eller Internet-IPv4-adressen på din router
Log ind på routerens administrationsside, og kig efter et felt som WAN IP, Internet IP, IPv4-adresse eller gateway-status. Brug ikke din telefons eller PCs lokale adresse, f.eks. 192.168.1.23. Du skal bruge den adresse, der er tildelt routerens internetvendte interface.
3Kontroller WAN-adresseområdet
Hvis routerens WAN-adresse er fra 100.64.0.0 til 100.127.255.255, ligger den i det delte adresseområde defineret af RFC 6598 og listet af IANA som ikke globalt reachable. Hvis den er 10.x.x.x, 172.16-31.x.x eller 192.168.x.x, er det privat adresseområde. Begge tilfælde betyder, at routeren ikke direkte har en normal globalt reachable IPv4-adresse.
4Udeluk double NAT derhjemme
Mange hjem har to routing-enheder: et ISP-modem/router og en separat Wi-Fi-router. Hvis begge router, modtager din egen router en privat WAN-adresse, selv om ISP-linjen stadig kan have en offentlig IPv4 på den første enhed. Sæt ISP-enheden i bridge mode, eller sæt din egen router i access point mode, og tjek igen.
5Brug port forwarding som understøttende bevis
Fejl i port forwarding er ikke nok til at bevise CGNAT, men det er nyttigt, efter du har bekræftet, at en tjeneste lytter, og firewallen er åben. Hvis WAN-adressen er delt eller privat, og eksterne portchecks altid fejler, blokerer CGNAT eller en anden upstream NAT sandsynligvis indgående adgang.
6Brug kun traceroute som avanceret signal
Cloudflare beskriver en teknik, der leder efter 100.64.0.0/10 hops mellem klientnetværket og den observerede offentlige adresse. Det kan hjælpe tekniske brugere med at bekræfte en CGN-sti, men det er ikke første trin for de fleste, fordi ISP-routing og filtrering kan skjule eller ændre hop-synlighed.
Adresseområder der betyder noget
| Område | Hvad det betyder |
|---|---|
| 100.64.0.0/10 | Delt adresseområde til service provider NAT. En router-WAN-adresse her er en stærk CGNAT-indikator. |
| 10/8, 172.16/12, 192.168/16 | Privat adresseområde. Din router er bag en anden NAT-enhed, som kan være din ISP-gateway eller en anden lokal router. |
| Andre normale IPv4-områder | Hvis routerens WAN-adresse matcher resultatet fra din offentlige IPv4-checker, kan port forwarding normalt fungere, hvis den lokale tjeneste og firewall er konfigureret korrekt. |
CGNAT vs double NAT
CGNAT og double NAT ligner hinanden, fordi begge placerer din enhed bag mere end ét oversættelseslag. Forskellen er kontrol. Du kan ofte løse double NAT ved at ændre tilstanden på dit eget udstyr. Du kan normalt ikke fjerne ISP-CGNAT fra indstillingerne på din hjemmerouter.
CGNAT
ISP'en deler offentlige IPv4-adresser mellem mange abonnenter. Din router modtager en delt eller privat upstream-adresse, så uopfordret indgående IPv4-trafik stopper, før den når routeren.
Double NAT
To enheder i dit hjem router begge, ofte en ISP-gateway plus din egen router. Bridge mode, access point mode eller fjernelse af ét routing-lag kan normalt løse det.
Almindelige falske signaler
Diagnosticer ikke CGNAT ud fra et lukket portresultat alene. En lukket port betyder kun, at det eksterne check ikke nåede en tjeneste, der accepterer forbindelser. Flere lokale problemer kan give samme resultat.
- Operativsystemets firewall eller routerens firewall blokerer porten, selv om forwarding-reglen findes.
- Spilserveren, kameraet, NAS'en eller remote desktop-tjenesten lytter faktisk ikke på den port.
- Forwarding-reglen bruger TCP, selv om applikationen kræver UDP, eller den eksterne checker tester den forkerte protokol.
- En VPN, sikkerhedspakke eller proxy ændrer den observerede offentlige IP-adresse og gør sammenligningsresultater misvisende.
Hvad du kan gøre
Løs lokal double NAT først
Hvis du kontrollerer begge routing-enheder, så sæt ISP-gatewayen i bridge mode eller den anden router i access point mode. Sammenlign derefter WAN-IP og offentlig IP igen.
Spørg din ISP om offentlig IPv4
Nogle udbydere tilbyder en offentlig IPv4-adresse, et statisk IPv4-tilvalg eller et abonnement uden CGNAT. Navn og pris varierer efter region.
Brug IPv6, når den fjerne side understøtter det
IPv6 kan undgå IPv4-CGNAT, men routerens firewall styrer stadig indgående reachability. Test IPv6-tilgængelighed og ekstern reachability separat.
Brug relay, VPS, tunnel eller hosted server
Hvis ISP'en ikke leverer offentlig IPv4, så brug en relay-baseret spiltilstand, en VPS-tunnel, en reverse proxy eller en hosted server med en reachable offentlig adresse.
Tjek din NAT-adfærd først
Kør NAT-testen på samme netværk, før du ændrer routerindstillinger. Resultatet hjælper med at adskille NAT-adfærd fra ISP-adressedeling og lokale firewallproblemer.
Tjek NAT Skriv nu →Kilder
- RFC 6598: IANA-reserveret IPv4-præfiks til delt adresseområde
- IANA-register over IPv4-adresser til særlige formål
- RFC 6888: fælles krav til Carrier-Grade NATs
- RFC 6269: problemer med IP-adressedeling
- Cloudflare: detektering af Carrier-Grade NAT
- TP-Link: fejlfinding af port forwarding
- TP-Link: DDNS og fejlfinding af privat WAN-IP
- Cisco: oversigt over Carrier-Grade NAT