Come verificare se sei dietro CGNAT
Scopri se il router ha un vero IPv4 pubblico, è dietro CGNAT dell ISP o è interessato solo da doppio NAT in casa.
Carrier-Grade NAT, di solito abbreviato in CGNAT, è uno dei motivi più comuni per cui il port forwarding sembra non fare nulla. Il router può permetterti di creare una regola di inoltro, il server di gioco può essere in esecuzione e il firewall locale può sembrare corretto, ma le persone fuori casa non riescono comunque a connettersi. Il pezzo mancante è spesso semplice: il router domestico potrebbe non possedere davvero un indirizzo IPv4 pubblico.
Questa guida mostra un modo pratico per verificare il CGNAT senza tirare a indovinare. L obiettivo non è etichettare ogni risultato NAT strict come CGNAT. I test del tipo NAT descrivono il comportamento della connessione. Il CGNAT è un modello di condivisione degli indirizzi a monte usato dall ISP. Per identificarlo, confronta il tuo IPv4 pubblico con l indirizzo WAN del router, controlla l intervallo di indirizzi e poi escludi un normale doppio NAT dentro casa.
Risposta rapida
Se l indirizzo IPv4 WAN del router è uguale all IPv4 pubblico mostrato da un checker esterno, probabilmente il router ha un vero IPv4 pubblico.
Se l indirizzo WAN del router è in 100.64.0.0/10, è un forte segnale di CGNAT. RFC 6598 riserva questo spazio condiviso per implementazioni NAT dei service provider.
Se l indirizzo WAN del router è in 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16, esiste un NAT a monte. Può essere il gateway dell ISP, il modem/router o un altro router domestico.
Se l indirizzo WAN e l indirizzo pubblico sono diversi, qualcosa a monte sta traducendo il traffico. Controlla la topologia domestica prima di chiamarlo CGNAT.
Perché il solo tipo NAT non prova il CGNAT
Un test del tipo NAT osserva come si comporta la rete attuale quando viene stabilita una connessione. Può mostrare internet aperto, full cone, restricted, port restricted, symmetric, timeout o blocco, a seconda del metodo di test. È utile per giochi e applicazioni peer-to-peer, ma non rivela chi possiede l indirizzo IPv4 pubblico. Un risultato NAT simmetrico può verificarsi su un router con IPv4 pubblico, e una casa dietro CGNAT può comunque consentire ad alcune sessioni in uscita di funzionare normalmente.
Il CGNAT è diverso. Significa che l ISP colloca molti abbonati dietro uno strato NAT condiviso, così più clienti possono usare un pool più piccolo di indirizzi IPv4 pubblici. RFC 6888 descrive il CGN come NAT multi-abbonato. RFC 6269 spiega perché la condivisione degli indirizzi può rompere presupposti di applicazioni, log, gestione degli abusi e connettività in ingresso. Il sintomo pratico per gli utenti domestici è che il traffico in ingresso non sollecitato non può raggiungere il router, anche quando la regola locale di port forwarding è corretta.
Come controllare il CGNAT
1Trova il tuo indirizzo IPv4 pubblico
Esegui un checker dell IP pubblico da un dispositivo sulla stessa rete, oppure esegui il test NAT su questo sito e copia il valore IPv4. Questo è l indirizzo visto da siti web e servizi remoti. Annotalo con precisione, perché lo confronterai con l indirizzo WAN del router nel passaggio successivo.
2Trova l indirizzo IPv4 WAN o Internet sul router
Accedi alla pagina di amministrazione del router e cerca un campo chiamato WAN IP, Internet IP, indirizzo IPv4 o stato gateway. Non usare l indirizzo locale del telefono o del PC, come 192.168.1.23. Ti serve l indirizzo assegnato all interfaccia del router rivolta a internet.
3Controlla l intervallo dell indirizzo WAN
Se l indirizzo WAN del router è tra 100.64.0.0 e 100.127.255.255, si trova nello spazio di indirizzi condiviso definito da RFC 6598 e indicato da IANA come non raggiungibile globalmente. Se è 10.x.x.x, 172.16-31.x.x o 192.168.x.x, è spazio privato. In entrambi i casi il router non possiede direttamente un normale indirizzo IPv4 raggiungibile globalmente.
4Escludi il doppio NAT in casa
Molte case hanno due dispositivi di routing: un modem/router dell ISP e un router Wi-Fi separato. Se entrambi fanno routing, il tuo router riceve un indirizzo WAN privato anche se la linea ISP può ancora avere un IPv4 pubblico sul primo dispositivo. Metti il dispositivo dell ISP in bridge mode o imposta il tuo router in modalità access point, poi controlla di nuovo.
5Usa il port forwarding come prova di supporto
Il fallimento del port forwarding non basta a provare il CGNAT, ma è utile dopo aver verificato che un servizio è in ascolto e che il firewall è aperto. Se l indirizzo WAN è condiviso o privato e i controlli esterni delle porte falliscono sempre, è probabile che CGNAT o un altro NAT a monte stia bloccando l accesso in ingresso.
6Usa traceroute solo come segnale avanzato
Cloudflare descrive una tecnica che cerca hop 100.64.0.0/10 tra la rete client e l indirizzo pubblico osservato. Può aiutare utenti tecnici a confermare un percorso CGN, ma non è il primo passo per la maggior parte delle persone perché routing e filtri dell ISP possono nascondere o modificare la visibilità degli hop.
Intervalli di indirizzi importanti
| Intervallo | Cosa significa |
|---|---|
| 100.64.0.0/10 | Spazio di indirizzi condiviso per NAT dei service provider. Un indirizzo WAN del router qui è un forte indicatore di CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Spazio di indirizzi privati. Il router è dietro un altro dispositivo NAT, che può essere il gateway dell ISP o un altro router locale. |
| Altri normali intervalli IPv4 | Se l indirizzo WAN del router corrisponde al risultato del checker IPv4 pubblico, il port forwarding di solito può funzionare se il servizio locale e il firewall sono configurati correttamente. |
CGNAT vs doppio NAT
CGNAT e doppio NAT sembrano simili perché entrambi mettono il dispositivo dietro più di uno strato di traduzione. La differenza è il controllo. Spesso puoi correggere il doppio NAT cambiando la modalità dei tuoi apparati. Di solito non puoi rimuovere il CGNAT dell ISP dalle impostazioni del router domestico.
CGNAT
L ISP condivide indirizzi IPv4 pubblici tra molti abbonati. Il router riceve un indirizzo a monte condiviso o privato, quindi il traffico IPv4 in ingresso non sollecitato si ferma prima di raggiungere il router.
Doppio NAT
Due dispositivi in casa fanno entrambi routing, spesso un gateway ISP più il tuo router. Bridge mode, modalità access point o rimozione di uno strato di routing di solito risolvono il problema.
Falsi segnali comuni
Non diagnosticare CGNAT solo da un risultato di porta chiusa. Una porta chiusa dice solo che il controllo esterno non ha raggiunto un servizio che accetta connessioni. Diversi problemi locali possono produrre lo stesso risultato.
- Il firewall del sistema operativo o del router blocca la porta anche se la regola di inoltro esiste.
- Il server di gioco, la videocamera, il NAS o il servizio desktop remoto non è realmente in ascolto su quella porta.
- La regola di inoltro usa TCP quando l applicazione richiede UDP, oppure il checker esterno testa il protocollo sbagliato.
- Una VPN, suite di sicurezza o proxy cambia l IP pubblico osservato e rende fuorvianti i risultati del confronto.
Cosa puoi fare
Correggi prima il doppio NAT locale
Se controlli entrambi i dispositivi di routing, metti il gateway ISP in bridge mode o imposta il secondo router in modalità access point. Poi confronta di nuovo IP WAN e IP pubblico.
Chiedi all ISP un IPv4 pubblico
Alcuni provider offrono un indirizzo IPv4 pubblico, un add-on IPv4 statico o un piano senza CGNAT. Nome e prezzo variano in base alla regione.
Usa IPv6 quando il lato remoto lo supporta
IPv6 può evitare il CGNAT IPv4, ma il firewall del router controlla comunque la raggiungibilità in ingresso. Testa separatamente disponibilità IPv6 e raggiungibilità esterna.
Usa relay, VPS, tunnel o server ospitato
Se l ISP non fornisce IPv4 pubblico, usa una modalità di gioco basata su relay, un tunnel VPS, un reverse proxy o un server ospitato con indirizzo pubblico raggiungibile.
Controlla prima il comportamento NAT
Esegui il test NAT sulla stessa rete prima di cambiare le impostazioni del router. Il risultato aiuta a separare il comportamento NAT dalla condivisione degli indirizzi dell ISP e dai problemi del firewall locale.
Controlla il tipo NAT adesso →Fonti
- RFC 6598: prefisso IPv4 riservato da IANA per lo spazio di indirizzi condiviso
- Registro IANA degli indirizzi IPv4 special-purpose
- RFC 6888: requisiti comuni per NAT Carrier-Grade
- RFC 6269: problemi con la condivisione degli indirizzi IP
- Cloudflare: rilevare Carrier-Grade NAT
- TP-Link: risoluzione dei problemi di port forwarding
- TP-Link: DDNS e risoluzione problemi di IP WAN privato
- Cisco: panoramica di Carrier-Grade NAT