这是一个创建于 958 天前的主题,其中的信息可能已经有所发展或是发生改变。
理论上只要 ISP 服务器不限制源 IP 段,可以交给 ISP CGNAT ,路由器不需要二次 NAT 。
测试 ISP:广东电信,WAN 分配 100.127.0.0/16 内网 IP 段,LAN 网段为 10.0.0.0/8 ,关闭 WAN 侧 SNAT 后,LAN 设备仍然可以上网,并且是 Fullcone NAT 。tcpdump WAN 接口入站报文,可以看到CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。
OpenWrt 操作方法:网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。
各位 V 友也可以测试一下。
 | 1 iijboom 2023-03-01 22:13:42 +08:00 移动,ros 试了,好像不可以 |
 | 4 lingaoyi 2023-03-01 22:29:45 +08:00 关闭 WAN 侧 SNAT 后,这个东西在哪里??????? |
 | 5 cwbsw 2023-03-01 22:36:29 +08:00 可以的,实测可行。 |
 | 6 deorth 2023-03-01 22:42:41 +08:00 via Android lmao 还有这种操作,学到了 可惜绝大部分家用路由器不提供这种功能 |
 | 7 Lentin 2023-03-01 22:46:37 +08:00 Padavan 在 /Advanced_Netfilter_Content.asp 关闭 启用网络地址转换 (NAT) 应该就可以了 测试了下河北联通不行 |
 | 8 huaes 2023-03-01 22:55:45 +08:00 河北移动可以,爱快改成路由模式就行了,UPNP 内外端口就基本一致了,但是公网的就直接断开了 |
 | 9 UXha45veSNpWCwZR 2023-03-01 22:58:44 +08:00 via iPhone 网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。就上不了网了。是不是要重启? 我不明白这样做有啥好处? fullcone 吗?勾着就是 fullcone 啦。 广西移动,内网 10.168.0.0 外网 117.140.0.0 |
| 10 huaes 2023-03-01 23:00:45 +08:00 这样好像就是打洞方便点,还是没法直接拿移动的 IP 直接访问内网? |
 | 11 qwvy2g 2023-03-01 23:38:35 +08:00 这是不是纯路由模式?运营商那边不支持的话可能不行。 |
 | 12 SMGdcAt4kPPQ 2023-03-01 23:41:46 +08:00 via Android 如果同一个大内网里有和你的局域网相同网段的人也这么做,则会冲突 |
 | 13 kyor0 2023-03-02 00:21:25 +08:00 via iPhone 路由器开着 passwall 翻墙,会有影响么 |
 | 14 slowman 2023-03-02 00:55:46 +08:00 sz 电信试了不行,会不会跟 LAN 网段有关?我是 192.168 的 |
 | 15 wheat0r 2023-03-02 01:21:40 +08:00 思考一下,没有 NAT 的情况下,去到你内网的路由怎么产生? |
| 16 SMGdcAt4kPPQ 2023-03-02 02:09:20 +08:00 via Android  1 @wheat0r 我也在想,要到内网去,上级路由至少得有相关的静态路由表吧 |
 | 17 yougo 2023-03-02 03:15:05 +08:00 大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗 |
 | 19 acbot 2023-03-02 05:25:57 +08:00 问题一 #6 提到的 "可惜绝大部分家用路由器不提供这种功能" 大部分路由器不支持修改 WAN 口模式目前我只见过那么一两款 问题二 #17 提到的 "大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗" 如果大家的内网段都一样会怎么样 |
 | 20 Archeb 2023-03-02 06:20:36 +08:00 这相当于电信 BRAS 帮你做 masquerade 了,哈哈哈哈,楼主真是天才,这都能发现 |
| 21 Archeb 2023-03-02 06:23:23 +08:00 楼主有没有试过如果把内网段配置成电信的(或者别的)公网地址,电信的 CGNAT 服务器会怎么处理。 |
 | 22 letmefly 2023-03-02 07:44:02 +08:00 有什么用啊? openwrt 已经是全锥形了。 |
 | 23 lovelylain 2023-03-02 08:09:58 +08:00 via Android 可以是可以,但是好像没什么用吧,如果运营商 nat 支持 fullcone ,你自己路由器也 fullcone ,那二级内网也是 fullcone ,反之如果上级不支持,也不会因为少一层 nat 变成 fullcone 。再来说缺点,要是跟你同接入点的用户也这么做了且跟你相同二级网段,会不会产生 ip 冲突? |
 | 24 LGA1150 OP |
 | 25 heiher 2023-03-02 08:37:27 +08:00 via Android 这是 CGNAT 没开源地址校验功能呀,否则它应该直接丢弃源地址不是它分配出来的报文,估计这配置不是普遍行为。 |
| 26 LGA1150 OP |
| 27 acbot 2023-03-02 09:35:55 +08:00 @LGA1150 我说的 问题二 这个与是否有源路由没有关系,问题是 IP 和端口冲突如何解决,比如:如果几个用户内网同时是 10.0.0.0 这个段呢,同内网网段这种情况是大概率,因为大多数路由设备默认内网网段就那么连三个? |
 | 28 llinge 2023-03-02 09:53:32 +08:00 @acbot #27 同时用这个网段没问题啊啊 常见的 snat 都是 dstip dstport proto srcport srcip 五元组 但是运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 |
| 29 acbot 2023-03-02 10:13:16 +08:00 @llinge "... 运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 ... " 理论上或者说想象上确实可以,但是实际上我不是很确定这个参数是不是想加就能加的。 |
| 31 wheat0r 2023-03-02 10:22:05 +08:00 via iPhone 我这边联通甚至没有给用户分配 cgnat 地址段,拨号直接从 10.0.0.0/8 里面分 |
 | 33 hzqim 2023-03-02 12:05:56 +08:00 via Android 对公网 ipv6 影响几何? |
 | 34 piku 2023-03-02 12:13:45 +08:00 via Android 辽宁移动,PPPoE 获取到 10.56.0.0/16 的一个 ip 。大致远程试了试内网用的 192.168.0.0/16 随机,去掉 nat 后不通,路由黑洞。 |
 | 35 unics 2023-03-02 12:52:48 +08:00 理论上不太可行,CGNAT 设备到 LAN 网段没有回程路由 |
 | 36 systemcall 2023-03-02 14:39:18 +08:00 via Android 有些地方的运营商就是这么做的,国内基本上不会这么搞罢了 海外版路由器一般就可以调整这些东西。有些地方的运营商以前是直接给一个 v4 前缀 |
 | 37 a90405 2023-03-02 18:21:38 +08:00 我这边刚试了一下,江西电信,没问题, 关掉 fullcone ,关掉 wan 侧 snat ,能上网。 不过如果有一个和我相同内网的其他用户的如果都关掉 wan 侧 snat 估计会冲突吧,不过估计没人这么干就是了。。 |
 | 39 wwbfred 2023-03-03 15:18:08 +08:00 没有写明的路由会发到默认的接口上,就是目标地址 0.0.0.0/0 的那条路由表。我怀疑默认接口正好就是你们用的这个接口,导致数据包发过来了。然后你的路由器上有路由表,就成功路由了。 这就意味着一旦两个人用同一个内网网段,会出问题。这样的配置肯定是不好的,并不能算是 feature ,有可能会被修复。 |
 | 40 asdgsdg98 2023-03-03 16:36:48 +08:00 杭州华数,不行 |
 | 41 huaxie1988 2023-03-05 16:07:13 +08:00 四川移动测试,不行。 |
 | 42 gzlmx 2023-03-06 23:48:10 +08:00 via iPhone 爱快怎么关闭 snat ? |
 | 43 lxll 2023-03-07 08:34:46 +08:00 via Android 有没有一种可能 10.0.0.0/8 和 100.127.0.0/16 都是 pppoe 地址池的一部分,此时运营商设备会产生 10.0.0.0/8 的路由条目指向 pppoe 虚拟口 |
 | 44 Xymmh 2023-03-29 22:54:13 +08:00 确实可以 |
| 45 huaxie1988 2023-05-04 00:28:42 +08:00 3 看了下文档,这个功能叫 L2NAT ,bras 上如果配置了这个功能就可以采取路由器不配置 NAT 的方式,配置页面 https://support.huawei.com/enterprise/zh/doc/EDOC1100263774/5c10d79e |
 | 46 nkloveni 2023-05-04 13:11:39 +08:00 @huaxie1988 大佬牛逼 |
 | 47 zro 2023-06-19 00:58:56 +08:00 想问下 OP ,如果从安全性角度考虑,内网设备是不是少了一层 NAT 保护? |
 | 48 shanghaojia 2023-11-09 10:12:32 +08:00 我今天遇到了这个问题,routeros 没有做 nat ,局域网设备居然能上网,算是学到了 |
 | 50 htfcuddles 2024-08-16 11:35:37 +08:00 @acbot #29 设备商已经帮你想到了。 > L2NAT ( L2-Aware NAT )是一种特殊的 NAT 技术。一般的 NAT 是将私网 IP+端口映射到公网 IP+端口,L2NAT 使用用户位置信息+用户私网 IP+端口映射到公网 IP+端口,使用的用户位置信息包括 PPP Session 、MAC 地址、用户所在 VLAN 等。 |
 | 51 hwd1118 2024-08-17 20:01:17 +08:00 不行阿,关了动态伪装完全上不了网 |
 | 52 yutian12345 2024-08-17 22:18:38 +08:00 via Android 这个是可以,不过有啥用呢?还是内网 ipv4 啊 |
 | 53 L0lita 233 天前 @huaxie1988 资源不存在或已删除 |
Select Language