V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LGA1150
V2EX  ›  宽带症候群

宽带是内网 IP 并且是路由器拨号的用户,可以尝试关闭路由器的 NAT

  •  1
     
  •   LGA1150 · 2023-03-01 22:06:29 +08:00 · 8367 次点击
    这是一个创建于 643 天前的主题,其中的信息可能已经有所发展或是发生改变。

    理论上只要 ISP 服务器不限制源 IP 段,可以交给 ISP CGNAT ,路由器不需要二次 NAT 。

    测试 ISP:广东电信,WAN 分配 100.127.0.0/16 内网 IP 段,LAN 网段为 10.0.0.0/8 ,关闭 WAN 侧 SNAT 后,LAN 设备仍然可以上网,并且是 Fullcone NAT 。tcpdump WAN 接口入站报文,可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。

    OpenWrt 操作方法:网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。

    各位 V 友也可以测试一下。

    52 条回复    2024-08-17 22:18:38 +08:00
    iijboom
        1
    iijboom  
       2023-03-01 22:13:42 +08:00
    移动,ros 试了,好像不可以
    LGA1150
        2
    LGA1150  
    OP
       2023-03-01 22:18:17 +08:00
    @iijboom 哪个地区的移动?统计一下
    iijboom
        3
    iijboom  
       2023-03-01 22:20:58 +08:00
    @LGA1150 广东的,当然我也不太会设置,我把防火墙,NAT 规则都禁用了
    lingaoyi
        4
    lingaoyi  
       2023-03-01 22:29:45 +08:00
    关闭 WAN 侧 SNAT 后,这个东西在哪里???????
    cwbsw
        5
    cwbsw  
       2023-03-01 22:36:29 +08:00
    可以的,实测可行。
    deorth
        6
    deorth  
       2023-03-01 22:42:41 +08:00 via Android
    lmao 还有这种操作,学到了
    可惜绝大部分家用路由器不提供这种功能
    Lentin
        7
    Lentin  
       2023-03-01 22:46:37 +08:00
    Padavan 在 /Advanced_Netfilter_Content.asp 关闭 启用网络地址转换 (NAT) 应该就可以了

    测试了下河北联通不行
    huaes
        8
    huaes  
       2023-03-01 22:55:45 +08:00
    河北移动可以,爱快改成路由模式就行了,UPNP 内外端口就基本一致了,但是公网的就直接断开了
    MeteorVIP
        9
    MeteorVIP  
       2023-03-01 22:58:44 +08:00 via iPhone
    网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。就上不了网了。是不是要重启?
    我不明白这样做有啥好处? fullcone 吗?勾着就是 fullcone 啦。
    广西移动,内网 10.168.0.0 外网 117.140.0.0
    huaes
        10
    huaes  
       2023-03-01 23:00:45 +08:00
    这样好像就是打洞方便点,还是没法直接拿移动的 IP 直接访问内网?
    qwvy2g
        11
    qwvy2g  
       2023-03-01 23:38:35 +08:00
    这是不是纯路由模式?运营商那边不支持的话可能不行。
    SMGdcAt4kPPQ
        12
    SMGdcAt4kPPQ  
       2023-03-01 23:41:46 +08:00 via Android
    如果同一个大内网里有和你的局域网相同网段的人也这么做,则会冲突
    kyor0
        13
    kyor0  
       2023-03-02 00:21:25 +08:00 via iPhone
    路由器开着 passwall 翻墙,会有影响么
    1423
        14
    1423  
       2023-03-02 00:55:46 +08:00
    sz 电信试了不行,会不会跟 LAN 网段有关?我是 192.168 的
    wheat0r
        15
    wheat0r  
       2023-03-02 01:21:40 +08:00
    思考一下,没有 NAT 的情况下,去到你内网的路由怎么产生?
    SMGdcAt4kPPQ
        16
    SMGdcAt4kPPQ  
       2023-03-02 02:09:20 +08:00 via Android   ❤️ 1
    @wheat0r 我也在想,要到内网去,上级路由至少得有相关的静态路由表吧
    yougo
        17
    yougo  
       2023-03-02 03:15:05 +08:00
    大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗😂
    bigfei
        18
    bigfei  
       2023-03-02 05:23:58 +08:00 via Android
    ros 应该也需要去 mangle 链里面看看有没有对 wan 做 marquee
    @iijboom
    acbot
        19
    acbot  
       2023-03-02 05:25:57 +08:00
    问题一 #6 提到的 "可惜绝大部分家用路由器不提供这种功能" 大部分路由器不支持修改 WAN 口模式目前我只见过那么一两款
    问题二 #17 提到的 "大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗" 如果大家的内网段都一样会怎么样
    Archeb
        20
    Archeb  
       2023-03-02 06:20:36 +08:00
    这相当于电信 BRAS 帮你做 masquerade 了,哈哈哈哈,楼主真是天才,这都能发现
    Archeb
        21
    Archeb  
       2023-03-02 06:23:23 +08:00
    楼主有没有试过如果把内网段配置成电信的(或者别的)公网地址,电信的 CGNAT 服务器会怎么处理。
    letmefly
        22
    letmefly  
       2023-03-02 07:44:02 +08:00
    有什么用啊? openwrt 已经是全锥形了。
    lovelylain
        23
    lovelylain  
       2023-03-02 08:09:58 +08:00 via Android
    可以是可以,但是好像没什么用吧,如果运营商 nat 支持 fullcone ,你自己路由器也 fullcone ,那二级内网也是 fullcone ,反之如果上级不支持,也不会因为少一层 nat 变成 fullcone 。再来说缺点,要是跟你同接入点的用户也这么做了且跟你相同二级网段,会不会产生 ip 冲突?
    LGA1150
        24
    LGA1150  
    OP
       2023-03-02 08:33:28 +08:00 via Android
    @MeteorVIP
    @letmefly
    OpenWrt 官方不支持 fullcone ,是靠第三方补丁实现的
    heiher
        25
    heiher  
       2023-03-02 08:37:27 +08:00 via Android
    这是 CGNAT 没开源地址校验功能呀,否则它应该直接丢弃源地址不是它分配出来的报文,估计这配置不是普遍行为。
    LGA1150
        26
    LGA1150  
    OP
       2023-03-02 08:55:56 +08:00 via Android
    @acbot
    @yougo
    @wheat0r
    我推测 BRAS 有策略路由,实现了源进源出,不需要源 IP 的路由
    acbot
        27
    acbot  
       2023-03-02 09:35:55 +08:00
    @LGA1150 我说的 问题二 这个与是否有源路由没有关系,问题是 IP 和端口冲突如何解决,比如:如果几个用户内网同时是 10.0.0.0 这个段呢,同内网网段这种情况是大概率,因为大多数路由设备默认内网网段就那么连三个?
    llinge
        28
    llinge  
       2023-03-02 09:53:32 +08:00
    @acbot #27 同时用这个网段没问题啊啊
    常见的 snat 都是 dstip dstport proto srcport srcip 五元组
    但是运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了
    acbot
        29
    acbot  
       2023-03-02 10:13:16 +08:00
    @llinge "... 运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 ... " 理论上或者说想象上确实可以,但是实际上我不是很确定这个参数是不是想加就能加的。
    wheat0r
        30
    wheat0r  
       2023-03-02 10:20:47 +08:00 via iPhone
    @acbot 更何况运营商应该不想加
    wheat0r
        31
    wheat0r  
       2023-03-02 10:22:05 +08:00 via iPhone
    我这边联通甚至没有给用户分配 cgnat 地址段,拨号直接从 10.0.0.0/8 里面分
    iijboom
        32
    iijboom  
       2023-03-02 10:27:00 +08:00
    @bigfei 那个是在 NAT 里面的,mangle 一般是 mss 啥的
    hzqim
        33
    hzqim  
       2023-03-02 12:05:56 +08:00 via Android
    对公网 ipv6 影响几何?
    piku
        34
    piku  
       2023-03-02 12:13:45 +08:00 via Android
    辽宁移动,PPPoE 获取到 10.56.0.0/16 的一个 ip 。大致远程试了试内网用的 192.168.0.0/16 随机,去掉 nat 后不通,路由黑洞。
    unics
        35
    unics  
       2023-03-02 12:52:48 +08:00
    理论上不太可行,CGNAT 设备到 LAN 网段没有回程路由
    systemcall
        36
    systemcall  
       2023-03-02 14:39:18 +08:00 via Android
    有些地方的运营商就是这么做的,国内基本上不会这么搞罢了
    海外版路由器一般就可以调整这些东西。有些地方的运营商以前是直接给一个 v4 前缀
    a90405
        37
    a90405  
       2023-03-02 18:21:38 +08:00
    我这边刚试了一下,江西电信,没问题,
    关掉 fullcone ,关掉 wan 侧 snat ,能上网。
    不过如果有一个和我相同内网的其他用户的如果都关掉 wan 侧 snat 估计会冲突吧,不过估计没人这么干就是了。。
    a90405
        38
    a90405  
       2023-03-02 18:23:10 +08:00
    @unicser 能 snat 出去,自然会生成 dnat 回程的吧
    wwbfred
        39
    wwbfred  
       2023-03-03 15:18:08 +08:00
    没有写明的路由会发到默认的接口上,就是目标地址 0.0.0.0/0 的那条路由表。我怀疑默认接口正好就是你们用的这个接口,导致数据包发过来了。然后你的路由器上有路由表,就成功路由了。
    这就意味着一旦两个人用同一个内网网段,会出问题。这样的配置肯定是不好的,并不能算是 feature ,有可能会被修复。
    asdgsdg98
        40
    asdgsdg98  
       2023-03-03 16:36:48 +08:00
    杭州华数,不行
    huaxie1988
        41
    huaxie1988  
       2023-03-05 16:07:13 +08:00
    四川移动测试,不行。
    gzlmx
        42
    gzlmx  
       2023-03-06 23:48:10 +08:00 via iPhone
    爱快怎么关闭 snat ?
    lxll
        43
    lxll  
       2023-03-07 08:34:46 +08:00 via Android
    有没有一种可能 10.0.0.0/8 和 100.127.0.0/16 都是 pppoe 地址池的一部分,此时运营商设备会产生 10.0.0.0/8 的路由条目指向 pppoe 虚拟口
    Xymmh
        44
    Xymmh  
       2023-03-29 22:54:13 +08:00
    确实可以
    huaxie1988
        45
    huaxie1988  
       2023-05-04 00:28:42 +08:00   ❤️ 3
    看了下文档,这个功能叫 L2NAT ,bras 上如果配置了这个功能就可以采取路由器不配置 NAT 的方式,配置页面 https://support.huawei.com/enterprise/zh/doc/EDOC1100263774/5c10d79e
    nkloveni
        46
    nkloveni  
       2023-05-04 13:11:39 +08:00
    @huaxie1988 大佬牛逼
    zro
        47
    zro  
       2023-06-19 00:58:56 +08:00
    想问下 OP ,如果从安全性角度考虑,内网设备是不是少了一层 NAT 保护?
    shanghaojia
        48
    shanghaojia  
       2023-11-09 10:12:32 +08:00
    我今天遇到了这个问题,routeros 没有做 nat ,局域网设备居然能上网,算是学到了
    zmcity
        49
    zmcity  
       363 天前   ❤️ 1
    @zro 是的,但不要把 NAT 当作保护是常识 : )
    htfcuddles
        50
    htfcuddles  
       109 天前
    @acbot #29 设备商已经帮你想到了。
    > L2NAT ( L2-Aware NAT )是一种特殊的 NAT 技术。一般的 NAT 是将私网 IP+端口映射到公网 IP+端口,L2NAT 使用用户位置信息+用户私网 IP+端口映射到公网 IP+端口,使用的用户位置信息包括 PPP Session 、MAC 地址、用户所在 VLAN 等。
    hwd1118
        51
    hwd1118  
       108 天前
    不行阿,关了动态伪装完全上不了网
    yutian12345
        52
    yutian12345  
       108 天前 via Android
    这个是可以,不过有啥用呢?还是内网 ipv4 啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1081 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:11 · PVG 03:11 · LAX 11:11 · JFK 14:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.