Cara menyemak sama ada anda berada di belakang CGNAT
Ketahui sama ada router anda mempunyai IPv4 awam sebenar, berada di belakang CGNAT ISP, atau hanya terkesan oleh double NAT di rumah.
Carrier-Grade NAT, biasanya disingkat sebagai CGNAT, ialah salah satu sebab paling biasa port forwarding kelihatan seperti tidak berfungsi. Router anda mungkin membenarkan anda membuat peraturan forwarding, pelayan permainan mungkin sedang berjalan, dan firewall tempatan kelihatan betul, tetapi orang di luar rumah masih tidak dapat menyambung. Bahagian yang hilang selalunya mudah: router rumah anda mungkin sebenarnya tidak memiliki alamat IPv4 awam.
Panduan ini menunjukkan cara praktikal untuk menyemak CGNAT tanpa meneka. Tujuannya bukan untuk melabel setiap keputusan strict NAT sebagai CGNAT. Ujian jenis NAT menerangkan tingkah laku sambungan. CGNAT ialah reka bentuk perkongsian alamat di upstream yang digunakan oleh ISP. Untuk mengenal pastinya, bandingkan alamat IPv4 awam anda dengan alamat WAN router, semak julat alamat, kemudian tolak kemungkinan double NAT biasa di rumah.
Jawapan ringkas
Jika alamat IPv4 WAN router anda sama dengan IPv4 awam yang ditunjukkan oleh pemeriksa luar, router itu berkemungkinan mempunyai IPv4 awam sebenar.
Jika alamat WAN router berada dalam 100.64.0.0/10, itu ialah isyarat CGNAT yang kuat. RFC 6598 menyimpan ruang alamat bersama ini untuk pelaksanaan NAT penyedia perkhidmatan.
Jika alamat WAN router berada dalam 10.0.0.0/8, 172.16.0.0/12 atau 192.168.0.0/16, terdapat NAT di upstream. Ia mungkin gateway ISP, modem/router atau router rumah lain.
Jika alamat WAN dan alamat awam berbeza, sesuatu di upstream sedang menterjemah trafik. Semak topologi rumah dahulu sebelum memanggilnya CGNAT.
Mengapa jenis NAT sahaja tidak membuktikan CGNAT
Ujian jenis NAT memerhati bagaimana rangkaian semasa bertindak apabila sambungan dibuat. Bergantung pada kaedah ujian, ia boleh menunjukkan open internet, full cone, restricted, port restricted, symmetric, timeout atau blocked. Ini berguna untuk permainan dan aplikasi peer-to-peer, tetapi tidak menunjukkan siapa yang memiliki alamat IPv4 awam. Keputusan NAT symmetric boleh berlaku pada router dengan IPv4 awam, dan rumah di belakang CGNAT masih boleh membenarkan beberapa sesi keluar berfungsi secara normal.
CGNAT berbeza. Ia bermaksud ISP meletakkan ramai pelanggan di belakang lapisan NAT bersama supaya beberapa pelanggan boleh menggunakan kumpulan alamat IPv4 awam yang lebih kecil. RFC 6888 menerangkan CGN sebagai NAT berbilang pelanggan. RFC 6269 menjelaskan mengapa perkongsian alamat boleh memecahkan andaian aplikasi, log, pengendalian penyalahgunaan dan sambungan masuk. Gejala praktikal untuk pengguna rumah ialah trafik masuk yang tidak diminta tidak dapat sampai ke router, walaupun peraturan port forwarding tempatan adalah betul.
Cara menyemak CGNAT
1Cari alamat IPv4 awam anda
Jalankan pemeriksa IP awam daripada peranti pada rangkaian yang sama, atau jalankan ujian NAT di laman ini dan salin nilai IPv4. Inilah alamat yang dilihat oleh laman web dan perkhidmatan jauh. Catat dengan tepat, kerana anda akan membandingkannya dengan alamat WAN router pada langkah seterusnya.
2Cari alamat IPv4 WAN atau Internet pada router
Log masuk ke halaman pentadbir router dan cari medan bernama WAN IP, Internet IP, alamat IPv4 atau status gateway. Jangan gunakan alamat tempatan telefon atau PC seperti 192.168.1.23. Anda perlukan alamat yang diberikan kepada antara muka router yang menghadap internet.
3Semak julat alamat WAN
Jika alamat WAN router berada dari 100.64.0.0 hingga 100.127.255.255, ia berada dalam ruang alamat bersama yang ditakrifkan oleh RFC 6598 dan disenaraikan oleh IANA sebagai tidak boleh dicapai secara global. Jika ia 10.x.x.x, 172.16-31.x.x atau 192.168.x.x, itu ruang alamat persendirian. Kedua-dua keadaan bermaksud router tidak memegang terus alamat IPv4 biasa yang boleh dicapai secara global.
4Tolak double NAT di rumah
Banyak rumah mempunyai dua peranti routing: modem/router ISP dan router Wi-Fi berasingan. Jika kedua-duanya melakukan routing, router anda sendiri menerima alamat WAN persendirian walaupun talian ISP mungkin masih mempunyai IPv4 awam pada peranti pertama. Tetapkan peranti ISP kepada bridge mode atau router anda kepada access point mode, kemudian semak semula.
5Gunakan port forwarding sebagai bukti sokongan
Kegagalan port forwarding tidak cukup untuk membuktikan CGNAT, tetapi berguna selepas anda mengesahkan bahawa perkhidmatan sedang listening dan firewall terbuka. Jika alamat WAN adalah shared atau private dan semakan port luar sentiasa gagal, CGNAT atau NAT upstream lain berkemungkinan menyekat akses masuk.
6Gunakan traceroute hanya sebagai isyarat lanjutan
Cloudflare menerangkan teknik yang mencari hop 100.64.0.0/10 antara rangkaian klien dan alamat awam yang diperhatikan. Ini boleh membantu pengguna teknikal mengesahkan laluan CGN, tetapi bukan langkah pertama untuk kebanyakan orang kerana routing dan penapisan ISP boleh menyembunyikan atau mengubah keterlihatan hop.
Julat alamat yang penting
| Julat | Maksudnya |
|---|---|
| 100.64.0.0/10 | Ruang alamat bersama untuk NAT penyedia perkhidmatan. Alamat WAN router dalam julat ini ialah petunjuk CGNAT yang kuat. |
| 10/8, 172.16/12, 192.168/16 | Ruang alamat persendirian. Router anda berada di belakang peranti NAT lain, mungkin gateway ISP atau router tempatan lain. |
| Julat IPv4 normal lain | Jika alamat WAN router sepadan dengan keputusan pemeriksa IPv4 awam, port forwarding biasanya boleh berfungsi jika perkhidmatan tempatan dan firewall dikonfigurasi dengan betul. |
CGNAT vs double NAT
CGNAT dan double NAT kelihatan serupa kerana kedua-duanya meletakkan peranti anda di belakang lebih daripada satu lapisan terjemahan. Perbezaannya ialah kawalan. Anda sering boleh membaiki double NAT dengan menukar mod peralatan sendiri. Anda biasanya tidak boleh membuang CGNAT ISP daripada tetapan router rumah.
CGNAT
ISP berkongsi alamat IPv4 awam antara ramai pelanggan. Router anda menerima alamat upstream shared atau private, jadi trafik IPv4 masuk yang tidak diminta berhenti sebelum sampai ke router.
Double NAT
Dua peranti di rumah anda sama-sama melakukan routing, selalunya gateway ISP bersama router anda sendiri. Bridge mode, access point mode atau membuang satu lapisan routing biasanya boleh membaikinya.
Isyarat palsu yang biasa
Jangan mendiagnosis CGNAT hanya daripada keputusan port tertutup. Port tertutup hanya bermaksud semakan luar tidak mencapai perkhidmatan yang menerima sambungan. Beberapa masalah tempatan boleh menghasilkan keputusan yang sama.
- Firewall sistem operasi atau firewall router menyekat port walaupun peraturan forwarding wujud.
- Pelayan permainan, kamera, NAS atau perkhidmatan remote desktop sebenarnya tidak listening pada port itu.
- Peraturan forwarding menggunakan TCP sedangkan aplikasi memerlukan UDP, atau pemeriksa luar menguji protokol yang salah.
- VPN, suite keselamatan atau proksi mengubah IP awam yang diperhatikan dan menjadikan keputusan perbandingan mengelirukan.
Apa yang boleh anda lakukan
Baiki double NAT tempatan dahulu
Jika anda mengawal kedua-dua peranti routing, bridge gateway ISP atau tetapkan router kedua kepada access point mode. Kemudian bandingkan semula IP WAN dan IP awam.
Minta IPv4 awam daripada ISP
Sesetengah penyedia menawarkan alamat IPv4 awam, tambahan IPv4 statik atau pelan tanpa CGNAT. Nama dan harga berbeza mengikut rantau.
Gunakan IPv6 apabila pihak jauh menyokongnya
IPv6 boleh mengelakkan IPv4 CGNAT, tetapi firewall router masih mengawal kebolehcapaian masuk. Uji ketersediaan IPv6 dan kebolehcapaian luaran secara berasingan.
Gunakan relay, VPS, tunnel atau pelayan hosted
Jika ISP tidak menyediakan IPv4 awam, gunakan mod permainan berasaskan relay, tunnel VPS, reverse proxy atau pelayan hosted yang mempunyai alamat awam boleh dicapai.
Semak tingkah laku NAT anda dahulu
Jalankan ujian NAT pada rangkaian yang sama sebelum menukar tetapan router. Keputusan membantu membezakan tingkah laku NAT daripada perkongsian alamat ISP dan masalah firewall tempatan.
Semak Jenis NAT Sekarang →Sumber
- RFC 6598: prefiks IPv4 simpanan IANA untuk ruang alamat bersama
- Pendaftaran IANA IPv4 Special-Purpose Address
- RFC 6888: keperluan umum untuk Carrier-Grade NAT
- RFC 6269: isu dengan perkongsian alamat IP
- Cloudflare: mengesan Carrier-Grade NAT
- TP-Link: penyelesaian masalah port forwarding
- TP-Link: DDNS dan penyelesaian masalah IP WAN private
- Cisco: gambaran keseluruhan Carrier-Grade NAT