Как проверить, находитесь ли вы за CGNAT
Узнайте, есть ли у роутера настоящий публичный IPv4, находится ли он за CGNAT провайдера или проблема только в двойном NAT дома.
Carrier-Grade NAT, обычно сокращаемый до CGNAT, одна из самых частых причин, по которым проброс портов выглядит бесполезным. Роутер может позволять создать правило переадресации, игровой сервер может быть запущен, локальный фаервол может выглядеть правильно, но люди вне вашего дома все равно не могут подключиться. Недостающая часть часто проста: домашний роутер может на самом деле не иметь публичного IPv4-адреса.
Это руководство показывает практический способ проверить CGNAT без догадок. Цель не в том, чтобы считать каждый результат strict NAT признаком CGNAT. Тесты NAT type описывают поведение соединения. CGNAT — это схема совместного использования адресов выше по сети, применяемая провайдером. Чтобы определить ее, сравните публичный IPv4-адрес с WAN-адресом роутера, проверьте диапазон адреса и затем исключите обычный двойной NAT внутри дома.
Краткий ответ
Если WAN IPv4-адрес роутера совпадает с публичным IPv4, который показывает внешний проверочный сервис, у роутера, вероятно, есть настоящий публичный IPv4.
Если WAN-адрес роутера находится в 100.64.0.0/10, это сильный признак CGNAT. RFC 6598 резервирует это общее адресное пространство для NAT у сервис-провайдеров.
Если WAN-адрес роутера находится в 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16, выше по сети есть NAT. Это может быть шлюз провайдера, модем/роутер или другой домашний роутер.
Если WAN-адрес и публичный адрес различаются, что-то выше по сети транслирует трафик. Сначала проверьте домашнюю топологию, прежде чем называть это CGNAT.
Почему один только тип NAT не доказывает CGNAT
Тест типа NAT наблюдает, как текущая сеть ведет себя при создании соединения. В зависимости от метода он может показать open internet, full cone, restricted, port restricted, symmetric, timeout или blocked. Это полезно для игр и peer-to-peer-приложений, но не показывает, кто владеет публичным IPv4-адресом. Результат symmetric NAT может встречаться на роутере с публичным IPv4, а дом за CGNAT все равно может нормально открывать некоторые исходящие сессии.
CGNAT — другое явление. Оно означает, что провайдер помещает много абонентов за общий слой NAT, чтобы несколько клиентов использовали меньший пул публичных IPv4-адресов. RFC 6888 описывает CGN как NAT для многих абонентов. RFC 6269 объясняет, почему совместное использование адресов может ломать предположения приложений, журналирование, обработку злоупотреблений и входящую связность. Практический симптом для домашних пользователей: незапрошенный входящий трафик не может попасть на роутер, даже когда локальное правило проброса портов настроено правильно.
Как проверить CGNAT
1Найдите свой публичный IPv4-адрес
Запустите проверку публичного IP с устройства в той же сети или выполните NAT-тест на этом сайте и скопируйте значение IPv4. Это адрес, который видят сайты и удаленные сервисы. Запишите его точно, потому что на следующем шаге вы сравните его с WAN-адресом роутера.
2Найдите WAN или Internet IPv4-адрес на роутере
Войдите в панель управления роутером и найдите поле WAN IP, Internet IP, IPv4 address или gateway status. Не используйте локальный адрес телефона или ПК, например 192.168.1.23. Нужен адрес, назначенный интерфейсу роутера, который смотрит в интернет.
3Проверьте диапазон WAN-адреса
Если WAN-адрес роутера находится от 100.64.0.0 до 100.127.255.255, он находится в общем адресном пространстве, определенном RFC 6598 и указанном IANA как глобально недостижимое. Если это 10.x.x.x, 172.16-31.x.x или 192.168.x.x, это частное адресное пространство. В обоих случаях роутер не держит напрямую обычный глобально достижимый IPv4-адрес.
4Исключите двойной NAT дома
Во многих домах есть два маршрутизирующих устройства: модем/роутер провайдера и отдельный Wi-Fi-роутер. Если маршрутизируют оба, ваш собственный роутер получает частный WAN-адрес, даже если линия провайдера на первом устройстве все еще может иметь публичный IPv4. Переведите устройство провайдера в bridge mode или настройте свой роутер как access point, затем проверьте снова.
5Используйте проброс портов как дополнительное свидетельство
Неудачный проброс портов сам по себе не доказывает CGNAT, но полезен после проверки, что сервис слушает, а фаервол открыт. Если WAN-адрес общий или частный и внешние проверки портов всегда не проходят, CGNAT или другой NAT выше по сети, вероятно, блокирует входящий доступ.
6Используйте traceroute только как продвинутый сигнал
Cloudflare описывает технику поиска hop-ов 100.64.0.0/10 между клиентской сетью и наблюдаемым публичным адресом. Это может помочь техническим пользователям подтвердить путь CGN, но для большинства это не первый шаг, потому что маршрутизация и фильтрация провайдера могут скрывать или менять видимость hop-ов.
Важные диапазоны адресов
| Диапазон | Что означает |
|---|---|
| 100.64.0.0/10 | Общее адресное пространство для NAT сервис-провайдера. WAN-адрес роутера в этом диапазоне — сильный индикатор CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Частное адресное пространство. Роутер находится за другим NAT-устройством, которым может быть шлюз провайдера или другой локальный роутер. |
| Другие обычные диапазоны IPv4 | Если WAN-адрес роутера совпадает с результатом проверки публичного IPv4, проброс портов обычно может работать, если локальный сервис и фаервол настроены правильно. |
CGNAT и двойной NAT
CGNAT и двойной NAT выглядят похоже, потому что оба помещают устройство за более чем один слой трансляции. Разница в контроле. Двойной NAT часто можно исправить, изменив режим собственного оборудования. CGNAT провайдера обычно нельзя убрать в настройках домашнего роутера.
CGNAT
Провайдер разделяет публичные IPv4-адреса между многими абонентами. Роутер получает общий или частный upstream-адрес, поэтому незапрошенный входящий IPv4-трафик останавливается до того, как достигнет роутера.
Двойной NAT
Два устройства в доме одновременно маршрутизируют, часто это шлюз провайдера плюс ваш собственный роутер. Bridge mode, режим точки доступа или удаление одного слоя маршрутизации обычно решает проблему.
Частые ложные признаки
Не диагностируйте CGNAT только по результату закрытого порта. Закрытый порт означает лишь, что внешняя проверка не достигла сервиса, принимающего соединение. Несколько локальных проблем могут дать тот же результат.
- Фаервол операционной системы или роутера блокирует порт, хотя правило переадресации существует.
- Игровой сервер, камера, NAS или сервис удаленного рабочего стола на самом деле не слушает этот порт.
- Правило переадресации использует TCP, хотя приложению нужен UDP, или внешний checker проверяет неправильный протокол.
- VPN, защитный пакет или прокси меняет наблюдаемый публичный IP-адрес и делает результаты сравнения misleading.
Что можно сделать
Сначала исправьте локальный двойной NAT
Если вы контролируете оба маршрутизирующих устройства, переведите шлюз провайдера в bridge mode или настройте второй роутер как точку доступа. Затем снова сравните WAN IP и публичный IP.
Попросите у провайдера публичный IPv4
Некоторые провайдеры предлагают публичный IPv4-адрес, статический IPv4 как дополнительную услугу или тариф без CGNAT. Название и цена зависят от региона.
Используйте IPv6, когда удаленная сторона поддерживает его
IPv6 может обойти IPv4 CGNAT, но фаервол роутера все равно контролирует входящую достижимость. Проверяйте доступность IPv6 и внешнюю достижимость отдельно.
Используйте relay, VPS, туннель или хостинг-сервер
Если провайдер не предоставляет публичный IPv4, используйте игровой режим через relay, VPS-туннель, reverse proxy или хостинг-сервер с достижимым публичным адресом.
Сначала проверьте поведение NAT
Запустите NAT-тест в той же сети перед изменением настроек роутера. Результат помогает отделить поведение NAT от совместного использования адресов провайдером и локальных проблем фаервола.
Проверить NAT сейчас ->Источники
- RFC 6598: IPv4-префикс, зарезервированный IANA для общего адресного пространства
- Реестр IANA IPv4 Special-Purpose Address Registry
- RFC 6888: общие требования к Carrier-Grade NAT
- RFC 6269: проблемы совместного использования IP-адресов
- Cloudflare: обнаружение Carrier-Grade NAT
- TP-Link: устранение неполадок port forwarding
- TP-Link: DDNS и устранение неполадок частного WAN IP
- Cisco: обзор Carrier-Grade NAT