NAT Checker
    가이드
    8 분 읽기2026년 6월 10일

    CGNAT 뒤에 있는지 확인하는 방법

    라우터가 실제 공인 IPv4를 가지고 있는지, ISP CGNAT 뒤에 있는지, 집 안의 이중 NAT 문제인지 확인하는 방법입니다.

    Carrier-Grade NAT, 보통 CGNAT라고 줄여 부르는 방식은 포트 포워딩이 아무 효과가 없는 것처럼 보이는 가장 흔한 이유 중 하나입니다. 라우터에서 포워딩 규칙을 만들 수 있고, 게임 서버도 실행 중이며, 로컬 방화벽도 정상으로 보일 수 있습니다. 그런데도 집 밖의 사람들은 여전히 접속하지 못합니다. 빠진 조각은 단순한 경우가 많습니다. 집 라우터가 실제로 공인 IPv4 주소를 가지고 있지 않을 수 있습니다.

    이 가이드는 추측하지 않고 CGNAT를 확인하는 실용적인 방법을 설명합니다. 모든 Strict NAT 결과를 CGNAT로 단정하려는 것이 아닙니다. NAT 타입 테스트는 연결 동작을 설명합니다. CGNAT는 ISP가 상위 구간에서 사용하는 주소 공유 설계입니다. 이를 확인하려면 공인 IPv4 주소와 라우터 WAN 주소를 비교하고, 주소 범위를 확인한 뒤, 집 안의 일반적인 이중 NAT를 먼저 배제해야 합니다.

    빠른 결론

    라우터 WAN IPv4 주소가 외부 검사기가 보여주는 공인 IPv4 주소와 같다면, 라우터가 실제 공인 IPv4를 가지고 있을 가능성이 큽니다.

    라우터 WAN 주소가 100.64.0.0/10 안에 있다면 강한 CGNAT 신호입니다. RFC 6598은 이 공유 주소 공간을 서비스 제공자 NAT 배포용으로 예약합니다.

    라우터 WAN 주소가 10.0.0.0/8, 172.16.0.0/12 또는 192.168.0.0/16 안에 있다면 상위 NAT가 있습니다. ISP 게이트웨이, 모뎀/라우터 또는 다른 가정용 라우터일 수 있습니다.

    WAN 주소와 공인 주소가 다르다면 상위 어딘가에서 트래픽을 변환하고 있습니다. CGNAT라고 부르기 전에 먼저 집 네트워크 구성을 확인하세요.

    NAT 타입만으로는 CGNAT를 증명할 수 없는 이유

    NAT 타입 테스트는 연결이 만들어질 때 현재 네트워크가 어떻게 동작하는지 관찰합니다. 테스트 방식에 따라 open internet, full cone, restricted, port restricted, symmetric, timeout 또는 blocked 동작을 보여줄 수 있습니다. 게임과 peer-to-peer 애플리케이션에는 유용하지만, 공인 IPv4 주소를 누가 보유하는지는 알려주지 않습니다. 공인 IPv4를 가진 라우터에서도 symmetric NAT 결과가 나올 수 있고, CGNAT 뒤에 있는 가정에서도 일부 outbound 세션은 정상적으로 작동할 수 있습니다.

    CGNAT는 다른 문제입니다. ISP가 여러 가입자를 공유 NAT 계층 뒤에 두어 더 작은 공인 IPv4 주소 풀을 여러 고객이 사용하게 한다는 뜻입니다. RFC 6888은 CGN을 multi-subscriber NAT로 설명합니다. RFC 6269는 주소 공유가 애플리케이션, 로깅, 악용 처리, inbound 연결성의 가정을 어떻게 깨뜨릴 수 있는지 설명합니다. 가정 사용자에게 나타나는 실질적인 증상은 로컬 포트 포워딩 규칙이 올바르더라도 요청하지 않은 inbound 트래픽이 라우터까지 도달하지 못한다는 것입니다.

    CGNAT 확인 방법

    1공인 IPv4 주소 찾기

    같은 네트워크의 기기에서 공인 IP 검사기를 실행하거나, 이 사이트의 NAT 테스트를 실행해 IPv4 값을 복사하세요. 이것이 웹사이트와 원격 서비스가 보는 주소입니다. 다음 단계에서 라우터 WAN 주소와 비교해야 하므로 정확히 기록하세요.

    2라우터의 WAN 또는 Internet IPv4 주소 찾기

    라우터 관리 페이지에 로그인해 WAN IP, Internet IP, IPv4 주소 또는 게이트웨이 상태 같은 항목을 찾으세요. 휴대폰이나 PC의 로컬 주소, 예를 들어 192.168.1.23은 사용하지 마세요. 필요한 것은 라우터의 인터넷 방향 인터페이스에 할당된 주소입니다.

    3WAN 주소 범위 확인

    라우터 WAN 주소가 100.64.0.0부터 100.127.255.255까지라면 RFC 6598이 정의하고 IANA가 전역적으로 도달 불가능하다고 나열한 공유 주소 공간에 있습니다. 10.x.x.x, 172.16-31.x.x 또는 192.168.x.x라면 사설 주소 공간입니다. 두 경우 모두 라우터가 일반적인 전역 도달 가능 IPv4 주소를 직접 보유하지 않는다는 뜻입니다.

    4집 안의 이중 NAT 먼저 배제

    많은 가정에는 ISP 모뎀/라우터와 별도 Wi-Fi 라우터, 두 개의 라우팅 장치가 있습니다. 둘 다 라우팅 중이면 ISP 회선이 첫 번째 장치에서 공인 IPv4를 가지고 있어도 내 라우터는 사설 WAN 주소를 받습니다. ISP 장치를 bridge mode로 바꾸거나 내 라우터를 access point mode로 설정한 뒤 다시 확인하세요.

    5포트 포워딩을 보조 증거로 사용

    포트 포워딩 실패만으로 CGNAT를 증명할 수는 없지만, 서비스가 실제로 listening 중이고 방화벽이 열려 있음을 확인한 뒤에는 유용합니다. WAN 주소가 공유 또는 사설 주소이고 외부 포트 검사가 항상 실패한다면 CGNAT 또는 다른 상위 NAT가 inbound 접근을 막고 있을 가능성이 큽니다.

    6traceroute는 고급 신호로만 사용

    Cloudflare는 클라이언트 네트워크와 관측된 공인 주소 사이에서 100.64.0.0/10 hop을 찾는 기법을 설명합니다. 기술 사용자가 CGN 경로를 확인하는 데 도움이 될 수 있지만, ISP 라우팅과 필터링이 hop 가시성을 숨기거나 바꿀 수 있으므로 대부분의 사람에게 첫 단계는 아닙니다.

    중요한 주소 범위

    범위의미
    100.64.0.0/10서비스 제공자 NAT용 공유 주소 공간입니다. 라우터 WAN 주소가 여기에 있으면 강한 CGNAT 지표입니다.
    10/8, 172.16/12, 192.168/16사설 주소 공간입니다. 라우터가 다른 NAT 장치 뒤에 있으며, 이는 ISP 게이트웨이 또는 다른 로컬 라우터일 수 있습니다.
    기타 일반 IPv4 범위라우터 WAN 주소가 공인 IPv4 검사 결과와 일치한다면, 로컬 서비스와 방화벽이 올바르게 설정된 경우 포트 포워딩은 보통 작동할 수 있습니다.

    CGNAT와 이중 NAT

    CGNAT와 이중 NAT는 둘 다 장치를 둘 이상의 변환 계층 뒤에 두기 때문에 비슷해 보입니다. 차이는 제어권입니다. 이중 NAT는 내 장비의 모드를 바꾸면 해결되는 경우가 많습니다. ISP CGNAT는 보통 가정용 라우터 설정에서 제거할 수 없습니다.

    CGNAT

    ISP가 공인 IPv4 주소를 여러 가입자에게 공유합니다. 라우터는 공유 또는 사설 상위 주소를 받기 때문에 요청하지 않은 inbound IPv4 트래픽은 라우터에 도달하기 전에 멈춥니다.

    이중 NAT

    집 안의 두 장치가 모두 라우팅하고 있으며, 흔히 ISP 게이트웨이와 내 라우터의 조합입니다. Bridge mode, access point mode 또는 라우팅 계층 하나를 제거하면 보통 해결할 수 있습니다.

    흔한 오판 신호

    닫힌 포트 결과만으로 CGNAT를 진단하지 마세요. 닫힌 포트는 외부 검사가 연결을 수락하는 서비스에 도달하지 못했다는 뜻일 뿐입니다. 여러 로컬 문제가 같은 결과를 만들 수 있습니다.

    • 포워딩 규칙이 있어도 운영체제 방화벽 또는 라우터 방화벽이 포트를 차단합니다.
    • 게임 서버, 카메라, NAS 또는 원격 데스크톱 서비스가 실제로 해당 포트에서 listening 중이 아닙니다.
    • 애플리케이션은 UDP가 필요한데 포워딩 규칙은 TCP를 사용하거나, 외부 검사기가 잘못된 프로토콜을 테스트합니다.
    • VPN, 보안 제품 또는 프록시가 관측된 공인 IP 주소를 바꾸어 비교 결과를 오해하게 만듭니다.

    할 수 있는 조치

    로컬 이중 NAT 먼저 해결

    두 라우팅 장치를 모두 제어한다면 ISP 게이트웨이를 bridge mode로 전환하거나 두 번째 라우터를 access point mode로 설정하세요. 그런 다음 WAN IP와 공인 IP를 다시 비교하세요.

    ISP에 공인 IPv4 요청

    일부 제공자는 공인 IPv4 주소, 정적 IPv4 추가 옵션 또는 CGNAT 없는 요금제를 제공합니다. 이름과 가격은 지역마다 다릅니다.

    상대방이 지원하면 IPv6 사용

    IPv6는 IPv4 CGNAT를 피할 수 있지만, 라우터 방화벽은 여전히 inbound 도달 가능성을 제어합니다. IPv6 사용 가능 여부와 외부 도달 가능성은 별도로 테스트하세요.

    relay, VPS, 터널 또는 호스팅 서버 사용

    ISP가 공인 IPv4를 제공하지 않는다면 relay 기반 게임 모드, VPS 터널, reverse proxy 또는 도달 가능한 공인 주소가 있는 호스팅 서버를 사용하세요.

    먼저 NAT 동작 확인

    라우터 설정을 바꾸기 전에 같은 네트워크에서 NAT 테스트를 실행하세요. 결과는 NAT 동작, ISP 주소 공유, 로컬 방화벽 문제를 구분하는 데 도움이 됩니다.

    지금 NAT 유형 확인 ->

    출처

    이 글 공유