如何判斷你是否位於 CGNAT 後方
了解如何判斷路由器是否擁有真正的公用 IPv4,或是位於 ISP CGNAT、家中雙重 NAT 後方。
電信級 NAT 通常簡稱為 CGNAT,是連接埠轉發看起來完全沒有生效的常見原因之一。你的路由器可能允許建立轉發規則,遊戲伺服器也可能已經啟動,本機防火牆看起來也正確,但家外的人仍然無法連線。缺少的關鍵往往很簡單:你的家用路由器可能並沒有真正擁有公用 IPv4 位址。
這篇教學提供一種不靠猜測的 CGNAT 判斷方法。重點不是把所有 Strict NAT 結果都直接歸因於 CGNAT。NAT 類型測試描述的是連線行為,CGNAT 則是 ISP 在上游進行位址共享的一種網路設計。要判斷 CGNAT,需要比較你的公用 IPv4 與路由器 WAN 位址,檢查位址範圍,並排除家中普通雙重 NAT 的可能。
快速結論
如果路由器 WAN IPv4 位址與外部檢測器顯示的公用 IPv4 完全相同,路由器大概率擁有真正的公用 IPv4。
如果路由器 WAN 位址位於 100.64.0.0/10,這是強 CGNAT 訊號。RFC 6598 將這個共享位址空間保留給服務提供者 NAT 部署。
如果路由器 WAN 位址位於 10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16,代表上游存在 NAT,可能是 ISP 閘道、數據機/路由器或另一台家用路由器。
如果 WAN 位址與公用位址不同,表示上游有東西正在轉譯流量。先檢查家中網路拓撲,再判斷是否為 CGNAT。
為什麼 NAT 類型本身不能證明 CGNAT
NAT 類型測試觀察的是目前網路建立連線時的行為。依照測試方法不同,它可能顯示開放網際網路、Full Cone、受限、連接埠受限、對稱、逾時或阻斷等結果。這對遊戲和 P2P 應用很有用,但無法直接說明公用 IPv4 由誰持有。對稱 NAT 可以出現在擁有公用 IPv4 的路由器上,而位於 CGNAT 後方的家庭網路也可能讓部分對外連線正常運作。
CGNAT 是另一件事。它表示 ISP 將多個用戶放在共享 NAT 層之後,用較少的公用 IPv4 位址服務更多客戶。RFC 6888 將 CGN 描述為多用戶 NAT。RFC 6269 解釋了位址共享對應用程式、記錄、濫用處理和入站連線帶來的問題。對家庭使用者而言,最直接的表現是:即使本地連接埠轉發規則正確,未經請求的入站流量也到不了你的路由器。
如何檢查 CGNAT
1找到你的公用 IPv4 位址
在同一網路的裝置上執行公用 IP 檢測器,或在本站執行 NAT 測試並複製 IPv4 值。這是網站和遠端服務看到的位址。請準確記下它,下一步要與路由器 WAN 位址比較。
2找到路由器上的 WAN 或 Internet IPv4 位址
登入路由器管理頁面,尋找 WAN IP、Internet IP、IPv4 位址或閘道狀態等欄位。不要使用手機或電腦的本機位址,例如 192.168.1.23。你需要的是路由器面向網際網路介面取得的位址。
3檢查 WAN 位址所在範圍
如果路由器 WAN 位址位於 100.64.0.0 到 100.127.255.255,它處於 RFC 6598 定義、IANA 列為不可全球路由的共享位址空間。如果它是 10.x.x.x、172.16-31.x.x 或 192.168.x.x,則屬於私有位址空間。兩種情況都表示路由器並沒有直接持有普通的全球可達 IPv4。
4先排除家中的雙重 NAT
很多家庭有兩台路由裝置:ISP 提供的數據機/路由器和自己購買的 Wi-Fi 路由器。如果兩者都處於路由模式,你自己的路由器會拿到私有 WAN 位址,即使 ISP 線路在第一台裝置上仍然有公用 IPv4。可以將 ISP 裝置改為橋接模式,或將自有路由器改為存取點模式後重新檢查。
5把連接埠轉發作為輔助證據
連接埠轉發失敗本身不足以證明 CGNAT,但在確認服務正在監聽且防火牆已放行後,它很有參考價值。如果 WAN 位址是共享或私有位址,且外部連接埠檢測始終失敗,那麼 CGNAT 或其他上游 NAT 很可能正在阻斷入站存取。
6僅將 traceroute 作為進階訊號
Cloudflare 介紹過一種方法:觀察客戶端網路與偵測到的公用位址之間是否出現 100.64.0.0/10 跳點。這能幫助技術使用者確認 CGN 路徑,但不適合作為大多數人的第一步,因為 ISP 路由和過濾可能隱藏或改變跳點可見性。
需要關注的位址範圍
| 範圍 | 含義 |
|---|---|
| 100.64.0.0/10 | 服務提供者 NAT 使用的共享位址空間。路由器 WAN 位址落在這裡,是很強的 CGNAT 指標。 |
| 10/8、172.16/12、192.168/16 | 私有位址空間。你的路由器位於另一層 NAT 裝置後方,可能是 ISP 閘道,也可能是另一台本地路由器。 |
| 其他普通 IPv4 範圍 | 如果路由器 WAN 位址與公用 IPv4 檢測結果一致,通常只要本地服務和防火牆正確,連接埠轉發就有機會工作。 |
CGNAT 與雙重 NAT
CGNAT 和雙重 NAT 看起來很像,因為它們都會讓裝置處於不止一層位址轉譯之後。差別在於控制權。雙重 NAT 通常可以透過調整自己的設備模式解決,而 ISP 的 CGNAT 通常不能在家用路由器設定中直接取消。
CGNAT
ISP 讓多個用戶共享公用 IPv4 位址。你的路由器取得共享或私有的上游位址,因此未經請求的入站 IPv4 流量在到達你的路由器之前就被截住。
雙重 NAT
家中兩台裝置都在做路由,常見組合是 ISP 閘道加自有路由器。橋接模式、存取點模式或移除一層路由通常可以解決。
常見誤判
不要只憑連接埠關閉結果就診斷 CGNAT。連接埠關閉只說明外部檢測沒有連到一個正在接受連線的服務。很多本地問題也會產生相同結果。
- 作業系統防火牆或路由器防火牆阻止了連接埠,即使轉發規則已經存在。
- 遊戲伺服器、攝影機、NAS 或遠端桌面服務並沒有真正監聽該連接埠。
- 轉發規則使用 TCP,但應用程式需要 UDP,或外部檢測器測試了錯誤協定。
- VPN、安全套件或代理改變了觀察到的公用 IP 位址,使比較結果產生誤導。
可以怎麼解決
先修復本地雙重 NAT
如果兩台路由裝置都在你控制範圍內,可將 ISP 閘道改為橋接模式,或把第二台路由器改為存取點模式,然後重新比較 WAN IP 與公用 IP。
向 ISP 申請公用 IPv4
部分 ISP 提供公用 IPv4、靜態 IPv4 附加服務,或不使用 CGNAT 的方案。名稱和價格會因地區而異。
在對端支援時使用 IPv6
IPv6 可以繞過 IPv4 CGNAT,但路由器防火牆仍會控制入站可達性。IPv6 可用性和外部可達性需要分別測試。
使用中繼、VPS、隧道或託管伺服器
如果 ISP 不提供公用 IPv4,可使用基於中繼的遊戲模式、VPS 隧道、反向代理,或擁有可達公用位址的託管伺服器。
先檢查你的 NAT 行為
在修改路由器設定之前,請在同一網路執行 NAT 測試。結果能幫助區分 NAT 行為、ISP 位址共享和本地防火牆問題。
立即檢查 NAT 型態 →