Jak sprawdzić, czy jesteś za CGNAT
Sprawdź, czy router ma prawdziwy publiczny adres IPv4, jest za CGNAT operatora, czy problemem jest tylko double NAT w domu.
Carrier-Grade NAT, zwykle skracany do CGNAT, to jedna z najczęstszych przyczyn sytuacji, w której przekierowanie portów wygląda tak, jakby nic nie robiło. Router może pozwalać utworzyć regułę przekierowania, serwer gry może działać, a lokalna zapora może wyglądać poprawnie, ale osoby spoza domu nadal nie mogą się połączyć. Brakujący element bywa prosty: domowy router może w rzeczywistości nie mieć publicznego adresu IPv4.
Ten poradnik pokazuje praktyczny sposób sprawdzenia CGNAT bez zgadywania. Celem nie jest oznaczanie każdego wyniku strict NAT jako CGNAT. Testy typu NAT opisują zachowanie połączeń. CGNAT to upstreamowy model współdzielenia adresów stosowany przez ISP. Aby go rozpoznać, porównaj publiczny adres IPv4 z adresem WAN routera, sprawdź zakres adresu, a następnie wyklucz zwykły double NAT w domu.
Szybka odpowiedź
Jeśli adres IPv4 WAN routera jest taki sam jak publiczny adres IPv4 pokazany przez zewnętrzny checker, router prawdopodobnie ma prawdziwy publiczny IPv4.
Jeśli adres WAN routera jest w 100.64.0.0/10, to silny sygnał CGNAT. RFC 6598 rezerwuje tę współdzieloną przestrzeń adresową dla wdrożeń NAT u dostawców usług.
Jeśli adres WAN routera jest w 10.0.0.0/8, 172.16.0.0/12 lub 192.168.0.0/16, istnieje upstream NAT. Może to być brama ISP, modem/router albo inny router domowy.
Jeśli adres WAN i adres publiczny są różne, coś upstream tłumaczy ruch. Najpierw sprawdź topologię domu, zanim nazwiesz to CGNAT.
Dlaczego sam typ NAT nie dowodzi CGNAT
Test typu NAT obserwuje, jak obecna sieć zachowuje się podczas tworzenia połączenia. W zależności od metody może pokazać open internet, full cone, restricted, port restricted, symmetric, timeout albo blokadę. To przydatne w grach i aplikacjach peer-to-peer, ale nie ujawnia, kto posiada publiczny adres IPv4. Wynik symmetric NAT może wystąpić na routerze z publicznym IPv4, a dom za CGNAT może nadal normalnie obsługiwać część sesji wychodzących.
CGNAT to coś innego. Oznacza, że ISP umieszcza wielu abonentów za współdzieloną warstwą NAT, aby wielu klientów mogło korzystać z mniejszej puli publicznych adresów IPv4. RFC 6888 opisuje CGN jako NAT dla wielu abonentów. RFC 6269 wyjaśnia, dlaczego współdzielenie adresów może łamać założenia aplikacji, logowania, obsługi nadużyć i łączności przychodzącej. Praktyczny objaw dla użytkowników domowych jest taki, że niezamówiony ruch przychodzący nie może dotrzeć do routera, nawet gdy lokalna reguła przekierowania portów jest poprawna.
Jak sprawdzić CGNAT
1Znajdź swój publiczny adres IPv4
Uruchom checker publicznego IP z urządzenia w tej samej sieci albo uruchom test NAT na tej stronie i skopiuj wartość IPv4. To adres widziany przez strony i usługi zdalne. Zapisz go dokładnie, bo w kolejnym kroku porównasz go z adresem WAN routera.
2Znajdź adres IPv4 WAN lub Internet na routerze
Zaloguj się do panelu administracyjnego routera i poszukaj pola o nazwie WAN IP, Internet IP, adres IPv4 albo status bramy. Nie używaj lokalnego adresu telefonu lub komputera, takiego jak 192.168.1.23. Potrzebujesz adresu przypisanego do interfejsu routera skierowanego do internetu.
3Sprawdź zakres adresu WAN
Jeśli adres WAN routera mieści się od 100.64.0.0 do 100.127.255.255, jest w przestrzeni adresów współdzielonych zdefiniowanej przez RFC 6598 i wymienionej przez IANA jako globalnie nieosiągalna. Jeśli jest to 10.x.x.x, 172.16-31.x.x lub 192.168.x.x, jest to przestrzeń prywatna. W obu przypadkach router nie ma bezpośrednio zwykłego globalnie osiągalnego adresu IPv4.
4Wyklucz double NAT w domu
Wiele domów ma dwa urządzenia routujące: modem/router od ISP i osobny router Wi-Fi. Jeśli oba routują, własny router dostaje prywatny adres WAN, nawet gdy linia ISP na pierwszym urządzeniu może nadal mieć publiczny IPv4. Przełącz urządzenie ISP w tryb bridge albo ustaw własny router w tryb punktu dostępowego, a potem sprawdź ponownie.
5Użyj przekierowania portów jako dowodu pomocniczego
Niepowodzenie przekierowania portów nie wystarcza do udowodnienia CGNAT, ale jest przydatne po sprawdzeniu, że usługa nasłuchuje, a zapora jest otwarta. Jeśli adres WAN jest współdzielony lub prywatny i zewnętrzne testy portów zawsze zawodzą, CGNAT lub inny upstream NAT prawdopodobnie blokuje dostęp przychodzący.
6Używaj traceroute tylko jako sygnału zaawansowanego
Cloudflare opisuje technikę szukania hopów 100.64.0.0/10 między siecią klienta a obserwowanym adresem publicznym. Może to pomóc technicznym użytkownikom potwierdzić ścieżkę CGN, ale dla większości nie jest to pierwszy krok, ponieważ routing i filtrowanie ISP mogą ukrywać lub zmieniać widoczność hopów.
Ważne zakresy adresów
| Zakres | Co oznacza |
|---|---|
| 100.64.0.0/10 | Współdzielona przestrzeń adresowa dla NAT dostawców usług. Adres WAN routera w tym zakresie jest silnym wskaźnikiem CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Prywatna przestrzeń adresowa. Router jest za innym urządzeniem NAT, którym może być brama ISP albo inny lokalny router. |
| Inne normalne zakresy IPv4 | Jeśli adres WAN routera pasuje do wyniku checkera publicznego IPv4, przekierowanie portów zwykle może działać, o ile lokalna usługa i zapora są skonfigurowane poprawnie. |
CGNAT vs double NAT
CGNAT i double NAT wyglądają podobnie, bo oba umieszczają urządzenie za więcej niż jedną warstwą translacji. Różnica polega na kontroli. Double NAT często można naprawić, zmieniając tryb własnego sprzętu. CGNAT od ISP zwykle nie da się usunąć w ustawieniach domowego routera.
CGNAT
ISP współdzieli publiczne adresy IPv4 między wielu abonentów. Router otrzymuje współdzielony lub prywatny adres upstream, więc niezamówiony przychodzący ruch IPv4 zatrzymuje się, zanim dotrze do routera.
Double NAT
Dwa urządzenia w domu jednocześnie routują, często brama ISP plus własny router. Tryb bridge, tryb punktu dostępowego albo usunięcie jednej warstwy routingu zwykle rozwiązuje problem.
Częste fałszywe sygnały
Nie diagnozuj CGNAT tylko na podstawie wyniku zamkniętego portu. Zamknięty port oznacza jedynie, że zewnętrzny test nie dotarł do usługi akceptującej połączenie. Kilka lokalnych problemów może dać ten sam wynik.
- Zapora systemu operacyjnego lub routera blokuje port, mimo że reguła przekierowania istnieje.
- Serwer gry, kamera, NAS albo usługa zdalnego pulpitu w rzeczywistości nie nasłuchuje na tym porcie.
- Reguła przekierowania używa TCP, gdy aplikacja potrzebuje UDP, albo zewnętrzny checker testuje zły protokół.
- VPN, pakiet zabezpieczeń albo proxy zmienia obserwowany publiczny adres IP i sprawia, że wyniki porównania są mylące.
Co możesz zrobić
Najpierw napraw lokalny double NAT
Jeśli kontrolujesz oba urządzenia routujące, przełącz bramę ISP w tryb bridge albo ustaw drugi router jako punkt dostępowy. Następnie ponownie porównaj IP WAN i IP publiczny.
Poproś ISP o publiczny IPv4
Niektórzy dostawcy oferują publiczny adres IPv4, dodatek statycznego IPv4 albo plan bez CGNAT. Nazwa i cena zależą od regionu.
Użyj IPv6, gdy strona zdalna to obsługuje
IPv6 może ominąć IPv4 CGNAT, ale zapora routera nadal kontroluje osiągalność przychodzącą. Testuj dostępność IPv6 i osiągalność zewnętrzną osobno.
Użyj relay, VPS, tunelu albo hostowanego serwera
Jeśli ISP nie zapewnia publicznego IPv4, użyj trybu gry opartego na relay, tunelu VPS, reverse proxy albo hostowanego serwera z osiągalnym adresem publicznym.
Najpierw sprawdź zachowanie NAT
Uruchom test NAT w tej samej sieci przed zmianą ustawień routera. Wynik pomaga oddzielić zachowanie NAT od współdzielenia adresów przez ISP i lokalnych problemów z zaporą.
Sprawdź teraz typ NAT →Źródła
- RFC 6598: prefiks IPv4 zarezerwowany przez IANA dla współdzielonej przestrzeni adresowej
- Rejestr IANA IPv4 Special-Purpose Address Registry
- RFC 6888: wspólne wymagania dla Carrier-Grade NAT
- RFC 6269: problemy ze współdzieleniem adresów IP
- Cloudflare: wykrywanie Carrier-Grade NAT
- TP-Link: rozwiązywanie problemów z przekierowaniem portów
- TP-Link: DDNS i rozwiązywanie problemów z prywatnym IP WAN
- Cisco: omówienie Carrier-Grade NAT