Slik sjekker du om du er bak CGNAT
Finn ut om ruteren har en ekte offentlig IPv4-adresse, er bak ISP-CGNAT, eller bare er påvirket av double NAT hjemme.
Carrier-Grade NAT, vanligvis forkortet CGNAT, er en av de vanligste grunnene til at port forwarding ser ut til å ikke gjøre noe. Ruteren kan la deg opprette en forwarding-regel, spillserveren kan kjøre, og den lokale brannmuren kan se riktig ut, men personer utenfor hjemmet ditt kan fortsatt ikke koble til. Den manglende biten er ofte enkel: hjemmeruteren din har kanskje egentlig ikke en offentlig IPv4-adresse.
Denne veiledningen viser en praktisk måte å sjekke CGNAT uten gjetting. Målet er ikke å merke alle strict NAT-resultater som CGNAT. NAT-type-tester beskriver tilkoblingsatferd. CGNAT er et upstream adresse-delingsoppsett brukt av en ISP. For å identifisere det sammenligner du den offentlige IPv4-adressen med ruterens WAN-adresse, sjekker adresseområdet og utelukker deretter vanlig double NAT hjemme.
Kort svar
Hvis ruterens WAN IPv4-adresse er den samme som den offentlige IPv4-adressen vist av en ekstern sjekker, har ruteren sannsynligvis en ekte offentlig IPv4.
Hvis ruterens WAN-adresse ligger i 100.64.0.0/10, er det et sterkt CGNAT-signal. RFC 6598 reserverer dette delte adresseområdet for NAT hos tjenesteleverandører.
Hvis ruterens WAN-adresse ligger i 10.0.0.0/8, 172.16.0.0/12 eller 192.168.0.0/16, finnes det upstream NAT. Det kan være ISP-gatewayen, modem/ruter eller en annen hjemmeruter.
Hvis WAN-adressen og den offentlige adressen er ulike, oversetter noe upstream trafikken. Sjekk hjemmetopologien før du kaller det CGNAT.
Hvorfor NAT-type alene ikke beviser CGNAT
En NAT-type-test observerer hvordan det nåværende nettverket oppfører seg når en tilkobling opprettes. Den kan vise åpent internett, full cone, restricted, port restricted, symmetric, timeout eller blokkert atferd, avhengig av testmetoden. Det er nyttig for spill og peer-to-peer-applikasjoner, men viser ikke hvem som eier den offentlige IPv4-adressen. Et symmetric NAT-resultat kan forekomme på en ruter med offentlig IPv4, og et hjem bak CGNAT kan fortsatt la noen utgående økter fungere normalt.
CGNAT er noe annet. Det betyr at ISP-en plasserer mange abonnenter bak et delt NAT-lag, slik at flere kunder kan bruke en mindre pool med offentlige IPv4-adresser. RFC 6888 beskriver CGN som multi-subscriber NAT. RFC 6269 forklarer hvorfor adressedeling kan bryte antakelser i applikasjoner, logging, abuse-håndtering og innkommende tilkoblinger. Det praktiske symptomet for hjemmebrukere er at uoppfordret innkommende trafikk ikke kan nå ruteren, selv når den lokale port forwarding-regelen er riktig.
Slik sjekker du for CGNAT
1Finn den offentlige IPv4-adressen din
Kjør en offentlig IP-sjekker fra en enhet på samme nettverk, eller kjør NAT-testen på dette nettstedet og kopier IPv4-verdien. Dette er adressen nettsteder og eksterne tjenester ser. Skriv den ned nøyaktig, fordi du skal sammenligne den med ruterens WAN-adresse i neste trinn.
2Finn WAN- eller Internet-IPv4-adressen på ruteren
Logg inn på ruterens administrasjonsside og se etter et felt som heter WAN IP, Internet IP, IPv4-adresse eller gateway-status. Ikke bruk den lokale adressen til telefonen eller PC-en, for eksempel 192.168.1.23. Du trenger adressen som er tildelt ruterens internettvendte grensesnitt.
3Sjekk WAN-adresseområdet
Hvis ruterens WAN-adresse er fra 100.64.0.0 til 100.127.255.255, ligger den i det delte adresseområdet definert av RFC 6598 og listet av IANA som ikke globalt tilgjengelig. Hvis den er 10.x.x.x, 172.16-31.x.x eller 192.168.x.x, er det privat adresseområde. Begge deler betyr at ruteren ikke direkte har en vanlig globalt tilgjengelig IPv4-adresse.
4Utelukk double NAT hjemme
Mange hjem har to rutende enheter: et ISP-modem/ruter og en separat Wi-Fi-ruter. Hvis begge ruter, får din egen ruter en privat WAN-adresse selv om ISP-linjen fortsatt kan ha en offentlig IPv4 på den første enheten. Sett ISP-enheten i bridge mode eller sett din egen ruter i access point mode, og sjekk på nytt.
5Bruk port forwarding som støttebevis
Port forwarding-feil er ikke nok til å bevise CGNAT, men det er nyttig etter at du har kontrollert at en tjeneste lytter og brannmuren er åpen. Hvis WAN-adressen er delt eller privat og eksterne portsjekker alltid feiler, blokkerer sannsynligvis CGNAT eller en annen upstream NAT innkommende tilgang.
6Bruk traceroute bare som avansert signal
Cloudflare beskriver en teknikk som ser etter 100.64.0.0/10-hopp mellom klientnettverket og den observerte offentlige adressen. Dette kan hjelpe tekniske brukere med å bekrefte en CGN-sti, men det er ikke første steg for de fleste fordi ISP-ruting og filtrering kan skjule eller endre synligheten av hopp.
Adresseområder som betyr noe
| Område | Hva det betyr |
|---|---|
| 100.64.0.0/10 | Delt adresseområde for NAT hos tjenesteleverandører. En ruter-WAN-adresse her er en sterk CGNAT-indikator. |
| 10/8, 172.16/12, 192.168/16 | Privat adresseområde. Ruteren er bak en annen NAT-enhet, som kan være ISP-gatewayen eller en annen lokal ruter. |
| Andre normale IPv4-områder | Hvis ruterens WAN-adresse matcher resultatet fra den offentlige IPv4-sjekkeren, kan port forwarding vanligvis fungere hvis den lokale tjenesten og brannmuren er riktig konfigurert. |
CGNAT vs double NAT
CGNAT og double NAT ser like ut fordi begge plasserer enheten bak mer enn ett oversettelseslag. Forskjellen er kontroll. Du kan ofte fikse double NAT ved å endre modus på eget utstyr. Du kan vanligvis ikke fjerne ISP-CGNAT fra innstillingene på hjemmeruteren.
CGNAT
ISP-en deler offentlige IPv4-adresser mellom mange abonnenter. Ruteren mottar en delt eller privat upstream-adresse, så uoppfordret innkommende IPv4-trafikk stopper før den når ruteren.
Double NAT
To enheter i hjemmet ditt ruter begge, ofte en ISP-gateway pluss din egen ruter. Bridge mode, access point mode eller fjerning av ett rutinglag kan vanligvis fikse det.
Vanlige falske signaler
Ikke diagnostiser CGNAT bare fra et lukket portresultat. En lukket port betyr bare at den eksterne sjekken ikke nådde en tjeneste som aksepterer tilkoblinger. Flere lokale problemer kan gi samme resultat.
- Operativsystemets brannmur eller ruterens brannmur blokkerer porten selv om forwarding-regelen finnes.
- Spillserveren, kameraet, NAS-en eller remote desktop-tjenesten lytter faktisk ikke på den porten.
- Forwarding-regelen bruker TCP når applikasjonen trenger UDP, eller den eksterne sjekkeren tester feil protokoll.
- En VPN, sikkerhetspakke eller proxy endrer den observerte offentlige IP-adressen og gjør sammenligningsresultater misvisende.
Hva du kan gjøre
Fiks lokal double NAT først
Hvis du kontrollerer begge rutende enheter, sett ISP-gatewayen i bridge mode eller den andre ruteren i access point mode. Sammenlign deretter WAN-IP og offentlig IP igjen.
Be ISP-en om offentlig IPv4
Noen leverandører tilbyr en offentlig IPv4-adresse, et statisk IPv4-tillegg eller en plan uten CGNAT. Navn og pris varierer etter region.
Bruk IPv6 når den eksterne siden støtter det
IPv6 kan unngå IPv4-CGNAT, men ruterens brannmur styrer fortsatt innkommende tilgjengelighet. Test IPv6-tilgjengelighet og ekstern tilgjengelighet separat.
Bruk relay, VPS, tunnel eller hosted server
Hvis ISP-en ikke tilbyr offentlig IPv4, bruk en relay-basert spillmodus, en VPS-tunnel, en reverse proxy eller en hosted server med en tilgjengelig offentlig adresse.
Sjekk NAT-atferden først
Kjør NAT-testen på samme nettverk før du endrer ruterinnstillinger. Resultatet hjelper med å skille NAT-atferd fra ISP-adressedeling og lokale brannmurproblemer.
Sjekk NAT Type Now →Kilder
- RFC 6598: IANA-reservert IPv4-prefiks for delt adresseområde
- IANA-register for IPv4-adresser med særskilt formål
- RFC 6888: vanlige krav til Carrier-Grade NATs
- RFC 6269: problemer med IP-adressedeling
- Cloudflare: oppdage Carrier-Grade NAT
- TP-Link: feilsøking av port forwarding
- TP-Link: DDNS og feilsøking av privat WAN-IP
- Cisco: oversikt over Carrier-Grade NAT