理论上只要 ISP 服务器不限制源 IP 段,可以交给 ISP CGNAT ,路由器不需要二次 NAT 。
测试 ISP:广东电信,WAN 分配 100.127.0.0/16 内网 IP 段,LAN 网段为 10.0.0.0/8 ,关闭 WAN 侧 SNAT 后,LAN 设备仍然可以上网,并且是 Fullcone NAT 。tcpdump WAN 接口入站报文,可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。
OpenWrt 操作方法:网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。
各位 V 友也可以测试一下。
1
iijboom 2023-03-01 22:13:42 +08:00
移动,ros 试了,好像不可以
|
4
lingaoyi 2023-03-01 22:29:45 +08:00
关闭 WAN 侧 SNAT 后,这个东西在哪里???????
|
5
cwbsw 2023-03-01 22:36:29 +08:00
可以的,实测可行。
|
6
deorth 2023-03-01 22:42:41 +08:00 via Android
lmao 还有这种操作,学到了
可惜绝大部分家用路由器不提供这种功能 |
7
Lentin 2023-03-01 22:46:37 +08:00
Padavan 在 /Advanced_Netfilter_Content.asp 关闭 启用网络地址转换 (NAT) 应该就可以了
测试了下河北联通不行 |
8
huaes 2023-03-01 22:55:45 +08:00
河北移动可以,爱快改成路由模式就行了,UPNP 内外端口就基本一致了,但是公网的就直接断开了
|
9
MeteorVIP 2023-03-01 22:58:44 +08:00 via iPhone
网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。就上不了网了。是不是要重启?
我不明白这样做有啥好处? fullcone 吗?勾着就是 fullcone 啦。 广西移动,内网 10.168.0.0 外网 117.140.0.0 |
10
huaes 2023-03-01 23:00:45 +08:00
这样好像就是打洞方便点,还是没法直接拿移动的 IP 直接访问内网?
|
11
qwvy2g 2023-03-01 23:38:35 +08:00
这是不是纯路由模式?运营商那边不支持的话可能不行。
|
12
SMGdcAt4kPPQ 2023-03-01 23:41:46 +08:00 via Android
如果同一个大内网里有和你的局域网相同网段的人也这么做,则会冲突
|
13
kyor0 2023-03-02 00:21:25 +08:00 via iPhone
路由器开着 passwall 翻墙,会有影响么
|
14
1423 2023-03-02 00:55:46 +08:00
sz 电信试了不行,会不会跟 LAN 网段有关?我是 192.168 的
|
15
wheat0r 2023-03-02 01:21:40 +08:00
思考一下,没有 NAT 的情况下,去到你内网的路由怎么产生?
|
16
SMGdcAt4kPPQ 2023-03-02 02:09:20 +08:00 via Android 1
@wheat0r 我也在想,要到内网去,上级路由至少得有相关的静态路由表吧
|
17
yougo 2023-03-02 03:15:05 +08:00
大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗😂
|
19
acbot 2023-03-02 05:25:57 +08:00
问题一 #6 提到的 "可惜绝大部分家用路由器不提供这种功能" 大部分路由器不支持修改 WAN 口模式目前我只见过那么一两款
问题二 #17 提到的 "大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗" 如果大家的内网段都一样会怎么样 |
20
Archeb 2023-03-02 06:20:36 +08:00
这相当于电信 BRAS 帮你做 masquerade 了,哈哈哈哈,楼主真是天才,这都能发现
|
21
Archeb 2023-03-02 06:23:23 +08:00
楼主有没有试过如果把内网段配置成电信的(或者别的)公网地址,电信的 CGNAT 服务器会怎么处理。
|
22
letmefly 2023-03-02 07:44:02 +08:00
有什么用啊? openwrt 已经是全锥形了。
|
23
lovelylain 2023-03-02 08:09:58 +08:00 via Android
可以是可以,但是好像没什么用吧,如果运营商 nat 支持 fullcone ,你自己路由器也 fullcone ,那二级内网也是 fullcone ,反之如果上级不支持,也不会因为少一层 nat 变成 fullcone 。再来说缺点,要是跟你同接入点的用户也这么做了且跟你相同二级网段,会不会产生 ip 冲突?
|
24
LGA1150 OP |
25
heiher 2023-03-02 08:37:27 +08:00 via Android
这是 CGNAT 没开源地址校验功能呀,否则它应该直接丢弃源地址不是它分配出来的报文,估计这配置不是普遍行为。
|
26
LGA1150 OP |
27
acbot 2023-03-02 09:35:55 +08:00
@LGA1150 我说的 问题二 这个与是否有源路由没有关系,问题是 IP 和端口冲突如何解决,比如:如果几个用户内网同时是 10.0.0.0 这个段呢,同内网网段这种情况是大概率,因为大多数路由设备默认内网网段就那么连三个?
|
28
llinge 2023-03-02 09:53:32 +08:00
@acbot #27 同时用这个网段没问题啊啊
常见的 snat 都是 dstip dstport proto srcport srcip 五元组 但是运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 |
29
acbot 2023-03-02 10:13:16 +08:00
@llinge "... 运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 ... " 理论上或者说想象上确实可以,但是实际上我不是很确定这个参数是不是想加就能加的。
|
31
wheat0r 2023-03-02 10:22:05 +08:00 via iPhone
我这边联通甚至没有给用户分配 cgnat 地址段,拨号直接从 10.0.0.0/8 里面分
|
33
hzqim 2023-03-02 12:05:56 +08:00 via Android
对公网 ipv6 影响几何?
|
34
piku 2023-03-02 12:13:45 +08:00 via Android
辽宁移动,PPPoE 获取到 10.56.0.0/16 的一个 ip 。大致远程试了试内网用的 192.168.0.0/16 随机,去掉 nat 后不通,路由黑洞。
|
35
unics 2023-03-02 12:52:48 +08:00
理论上不太可行,CGNAT 设备到 LAN 网段没有回程路由
|
36
systemcall 2023-03-02 14:39:18 +08:00 via Android
有些地方的运营商就是这么做的,国内基本上不会这么搞罢了
海外版路由器一般就可以调整这些东西。有些地方的运营商以前是直接给一个 v4 前缀 |
37
a90405 2023-03-02 18:21:38 +08:00
我这边刚试了一下,江西电信,没问题,
关掉 fullcone ,关掉 wan 侧 snat ,能上网。 不过如果有一个和我相同内网的其他用户的如果都关掉 wan 侧 snat 估计会冲突吧,不过估计没人这么干就是了。。 |
39
wwbfred 2023-03-03 15:18:08 +08:00
没有写明的路由会发到默认的接口上,就是目标地址 0.0.0.0/0 的那条路由表。我怀疑默认接口正好就是你们用的这个接口,导致数据包发过来了。然后你的路由器上有路由表,就成功路由了。
这就意味着一旦两个人用同一个内网网段,会出问题。这样的配置肯定是不好的,并不能算是 feature ,有可能会被修复。 |
40
asdgsdg98 2023-03-03 16:36:48 +08:00
杭州华数,不行
|
41
huaxie1988 2023-03-05 16:07:13 +08:00
四川移动测试,不行。
|
42
gzlmx 2023-03-06 23:48:10 +08:00 via iPhone
爱快怎么关闭 snat ?
|
43
lxll 2023-03-07 08:34:46 +08:00 via Android
有没有一种可能 10.0.0.0/8 和 100.127.0.0/16 都是 pppoe 地址池的一部分,此时运营商设备会产生 10.0.0.0/8 的路由条目指向 pppoe 虚拟口
|
44
Xymmh 2023-03-29 22:54:13 +08:00
确实可以
|
45
huaxie1988 2023-05-04 00:28:42 +08:00 3
看了下文档,这个功能叫 L2NAT ,bras 上如果配置了这个功能就可以采取路由器不配置 NAT 的方式,配置页面 https://support.huawei.com/enterprise/zh/doc/EDOC1100263774/5c10d79e
|
46
nkloveni 2023-05-04 13:11:39 +08:00
@huaxie1988 大佬牛逼
|
47
zro 2023-06-19 00:58:56 +08:00
想问下 OP ,如果从安全性角度考虑,内网设备是不是少了一层 NAT 保护?
|
48
shanghaojia 2023-11-09 10:12:32 +08:00
我今天遇到了这个问题,routeros 没有做 nat ,局域网设备居然能上网,算是学到了
|
50
htfcuddles 109 天前
@acbot #29 设备商已经帮你想到了。
> L2NAT ( L2-Aware NAT )是一种特殊的 NAT 技术。一般的 NAT 是将私网 IP+端口映射到公网 IP+端口,L2NAT 使用用户位置信息+用户私网 IP+端口映射到公网 IP+端口,使用的用户位置信息包括 PPP Session 、MAC 地址、用户所在 VLAN 等。 |
51
hwd1118 108 天前
不行阿,关了动态伪装完全上不了网
|
52
yutian12345 108 天前 via Android
这个是可以,不过有啥用呢?还是内网 ipv4 啊
|