Cách kiểm tra bạn có đang sau CGNAT hay không
Tìm hiểu cách biết router có IPv4 công thực sự, đang sau CGNAT của ISP, hay chỉ bị double NAT trong nhà.
Carrier-Grade NAT, thường viết tắt là CGNAT, là một trong những lý do phổ biến nhất khiến port forwarding có vẻ không có tác dụng. Router của bạn có thể cho phép tạo quy tắc forwarding, máy chủ game có thể đang chạy và firewall cục bộ có vẻ đúng, nhưng người ngoài nhà vẫn không thể kết nối. Phần còn thiếu thường rất đơn giản: router gia đình có thể thực ra không sở hữu địa chỉ IPv4 công.
Hướng dẫn này trình bày cách thực tế để kiểm tra CGNAT mà không cần đoán. Mục tiêu không phải là gán mọi kết quả strict NAT cho CGNAT. Các bài kiểm tra loại NAT mô tả hành vi kết nối. CGNAT là thiết kế chia sẻ địa chỉ ở phía upstream do ISP sử dụng. Để nhận biết, hãy so sánh địa chỉ IPv4 công với địa chỉ WAN của router, kiểm tra dải địa chỉ, rồi loại trừ double NAT thông thường trong nhà.
Trả lời nhanh
Nếu địa chỉ IPv4 WAN của router giống với IPv4 công do công cụ bên ngoài hiển thị, router có lẽ có IPv4 công thực sự.
Nếu địa chỉ WAN của router nằm trong 100.64.0.0/10, đó là tín hiệu CGNAT mạnh. RFC 6598 dành riêng không gian địa chỉ chia sẻ này cho các triển khai NAT của nhà cung cấp dịch vụ.
Nếu địa chỉ WAN của router nằm trong 10.0.0.0/8, 172.16.0.0/12 hoặc 192.168.0.0/16, có NAT ở upstream. Đó có thể là gateway của ISP, modem/router hoặc một router gia đình khác.
Nếu địa chỉ WAN và địa chỉ công khác nhau, có thứ gì đó ở upstream đang dịch lưu lượng. Hãy kiểm tra topology mạng trong nhà trước khi gọi đó là CGNAT.
Vì sao chỉ loại NAT không chứng minh được CGNAT
Bài kiểm tra loại NAT quan sát cách mạng hiện tại hoạt động khi một kết nối được tạo. Tùy phương pháp kiểm tra, nó có thể hiển thị open internet, full cone, restricted, port restricted, symmetric, timeout hoặc blocked. Điều này hữu ích cho game và ứng dụng peer-to-peer, nhưng không cho biết ai sở hữu địa chỉ IPv4 công. Kết quả symmetric NAT có thể xảy ra trên router có IPv4 công, và một nhà mạng sau CGNAT vẫn có thể cho phép một số phiên đi ra hoạt động bình thường.
CGNAT là chuyện khác. Nó có nghĩa là ISP đặt nhiều thuê bao phía sau một lớp NAT dùng chung để nhiều khách hàng có thể dùng một nhóm địa chỉ IPv4 công nhỏ hơn. RFC 6888 mô tả CGN là NAT nhiều thuê bao. RFC 6269 giải thích vì sao chia sẻ địa chỉ có thể phá vỡ giả định của ứng dụng, ghi log, xử lý lạm dụng và kết nối đi vào. Triệu chứng thực tế với người dùng gia đình là lưu lượng đi vào không được yêu cầu không thể tới router, ngay cả khi quy tắc port forwarding cục bộ là đúng.
Cách kiểm tra CGNAT
1Tìm địa chỉ IPv4 công của bạn
Chạy công cụ kiểm tra IP công từ một thiết bị trong cùng mạng, hoặc chạy NAT test trên trang này và sao chép giá trị IPv4. Đây là địa chỉ mà website và dịch vụ từ xa nhìn thấy. Ghi lại chính xác, vì bạn sẽ so sánh nó với địa chỉ WAN của router ở bước tiếp theo.
2Tìm địa chỉ IPv4 WAN hoặc Internet trên router
Đăng nhập trang quản trị router và tìm trường tên WAN IP, Internet IP, địa chỉ IPv4 hoặc trạng thái gateway. Không dùng địa chỉ cục bộ của điện thoại hoặc PC như 192.168.1.23. Bạn cần địa chỉ được gán cho giao diện hướng ra internet của router.
3Kiểm tra dải địa chỉ WAN
Nếu địa chỉ WAN của router nằm từ 100.64.0.0 đến 100.127.255.255, nó thuộc không gian địa chỉ chia sẻ do RFC 6598 định nghĩa và được IANA liệt kê là không thể truy cập toàn cầu. Nếu là 10.x.x.x, 172.16-31.x.x hoặc 192.168.x.x, đó là không gian địa chỉ riêng. Cả hai trường hợp đều có nghĩa router không trực tiếp giữ một địa chỉ IPv4 bình thường có thể truy cập toàn cầu.
4Loại trừ double NAT trong nhà
Nhiều gia đình có hai thiết bị routing: modem/router của ISP và router Wi-Fi riêng. Nếu cả hai đều routing, router riêng của bạn nhận địa chỉ WAN riêng, dù đường ISP vẫn có thể có IPv4 công trên thiết bị đầu tiên. Đưa thiết bị ISP vào bridge mode hoặc đặt router riêng thành access point mode, rồi kiểm tra lại.
5Dùng port forwarding làm bằng chứng hỗ trợ
Port forwarding thất bại không đủ để chứng minh CGNAT, nhưng hữu ích sau khi bạn xác minh có dịch vụ đang lắng nghe và firewall đã mở. Nếu địa chỉ WAN là shared hoặc private và kiểm tra cổng từ ngoài luôn thất bại, CGNAT hoặc NAT upstream khác có lẽ đang chặn truy cập đi vào.
6Chỉ dùng traceroute như tín hiệu nâng cao
Cloudflare mô tả một kỹ thuật tìm các hop 100.64.0.0/10 giữa mạng client và địa chỉ công quan sát được. Điều này có thể giúp người dùng kỹ thuật xác nhận đường CGN, nhưng không phải bước đầu tiên với đa số người dùng vì routing và filtering của ISP có thể che hoặc thay đổi khả năng thấy hop.
Các dải địa chỉ quan trọng
| Dải | Ý nghĩa |
|---|---|
| 100.64.0.0/10 | Không gian địa chỉ chia sẻ cho NAT của nhà cung cấp dịch vụ. Địa chỉ WAN router nằm ở đây là chỉ báo CGNAT mạnh. |
| 10/8, 172.16/12, 192.168/16 | Không gian địa chỉ riêng. Router của bạn nằm sau một thiết bị NAT khác, có thể là gateway ISP hoặc router cục bộ khác. |
| Các dải IPv4 bình thường khác | Nếu địa chỉ WAN của router khớp với kết quả kiểm tra IPv4 công, port forwarding thường có thể hoạt động nếu dịch vụ cục bộ và firewall được cấu hình đúng. |
CGNAT và double NAT
CGNAT và double NAT trông giống nhau vì cả hai đều đặt thiết bị sau hơn một lớp dịch địa chỉ. Khác biệt nằm ở quyền kiểm soát. Bạn thường có thể sửa double NAT bằng cách đổi chế độ thiết bị của mình. Thường bạn không thể gỡ CGNAT của ISP trong cài đặt router gia đình.
CGNAT
ISP chia sẻ địa chỉ IPv4 công cho nhiều thuê bao. Router của bạn nhận địa chỉ upstream shared hoặc private, nên lưu lượng IPv4 đi vào không được yêu cầu dừng lại trước khi tới router.
Double NAT
Hai thiết bị trong nhà đều routing, thường là gateway ISP cộng với router riêng. Bridge mode, access point mode hoặc bỏ một lớp routing thường có thể sửa được.
Các tín hiệu sai thường gặp
Đừng chẩn đoán CGNAT chỉ từ kết quả cổng đóng. Cổng đóng chỉ nói rằng kiểm tra từ ngoài không tới được dịch vụ đang chấp nhận kết nối. Nhiều vấn đề cục bộ có thể tạo ra cùng kết quả.
- Firewall hệ điều hành hoặc firewall router chặn cổng dù quy tắc forwarding đã tồn tại.
- Máy chủ game, camera, NAS hoặc dịch vụ remote desktop thực ra không lắng nghe trên cổng đó.
- Quy tắc forwarding dùng TCP trong khi ứng dụng cần UDP, hoặc công cụ bên ngoài kiểm tra sai giao thức.
- VPN, bộ bảo mật hoặc proxy thay đổi IP công quan sát được và làm kết quả so sánh gây hiểu nhầm.
Bạn có thể làm gì
Sửa double NAT cục bộ trước
Nếu bạn kiểm soát cả hai thiết bị routing, hãy bridge gateway ISP hoặc đặt router thứ hai thành access point mode. Sau đó so sánh lại WAN IP và IP công.
Yêu cầu ISP cấp IPv4 công
Một số nhà cung cấp có địa chỉ IPv4 công, tùy chọn IPv4 tĩnh hoặc gói không dùng CGNAT. Tên và giá thay đổi theo khu vực.
Dùng IPv6 khi phía bên kia hỗ trợ
IPv6 có thể tránh IPv4 CGNAT, nhưng firewall router vẫn kiểm soát khả năng truy cập đi vào. Hãy kiểm tra riêng khả dụng IPv6 và khả năng truy cập từ ngoài.
Dùng relay, VPS, tunnel hoặc máy chủ hosted
Nếu ISP không cung cấp IPv4 công, hãy dùng chế độ game dựa trên relay, tunnel VPS, reverse proxy hoặc máy chủ hosted có địa chỉ công truy cập được.
Kiểm tra hành vi NAT trước
Chạy NAT test trên cùng mạng trước khi thay đổi cài đặt router. Kết quả giúp tách hành vi NAT khỏi chia sẻ địa chỉ của ISP và vấn đề firewall cục bộ.
Kiểm tra NAT ngay →Nguồn
- RFC 6598: tiền tố IPv4 do IANA dành riêng cho không gian địa chỉ chia sẻ
- Sổ đăng ký IANA IPv4 Special-Purpose Address
- RFC 6888: yêu cầu chung cho Carrier-Grade NAT
- RFC 6269: vấn đề với chia sẻ địa chỉ IP
- Cloudflare: phát hiện Carrier-Grade NAT
- TP-Link: khắc phục sự cố port forwarding
- TP-Link: DDNS và khắc phục sự cố IP WAN riêng
- Cisco: tổng quan về Carrier-Grade NAT