V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 1155 days ago, the information mentioned may be changed or developed.
理论上只要 ISP 服务器不限制源 IP 段,可以交给 ISP CGNAT ,路由器不需要二次 NAT 。
测试 ISP:广东电信,WAN 分配 100.127.0.0/16 内网 IP 段,LAN 网段为 10.0.0.0/8 ,关闭 WAN 侧 SNAT 后,LAN 设备仍然可以上网,并且是 Fullcone NAT 。tcpdump WAN 接口入站报文,可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。
OpenWrt 操作方法:网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。
各位 V 友也可以测试一下。
 |
1
iijboom Mar 1, 2023
移动,ros 试了,好像不可以
|
 |
4
lingaoyi Mar 1, 2023
关闭 WAN 侧 SNAT 后,这个东西在哪里???????
|
 |
5
cwbsw Mar 1, 2023
可以的,实测可行。
|
 |
6
deorth Mar 1, 2023 via Android
lmao 还有这种操作,学到了
可惜绝大部分家用路由器不提供这种功能 |
 |
7
Lentin Mar 1, 2023
Padavan 在 /Advanced_Netfilter_Content.asp 关闭 启用网络地址转换 (NAT) 应该就可以了
测试了下河北联通不行 |
 |
8
huaes Mar 1, 2023
河北移动可以,爱快改成路由模式就行了,UPNP 内外端口就基本一致了,但是公网的就直接断开了
|
 |
9
UXha45veSNpWCwZR Mar 1, 2023 via iPhone
网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。就上不了网了。是不是要重启?
我不明白这样做有啥好处? fullcone 吗?勾着就是 fullcone 啦。 广西移动,内网 10.168.0.0 外网 117.140.0.0 |
|
10
huaes Mar 1, 2023
这样好像就是打洞方便点,还是没法直接拿移动的 IP 直接访问内网?
|
 |
11
qwvy2g Mar 1, 2023
这是不是纯路由模式?运营商那边不支持的话可能不行。
|
 |
12
SMGdcAt4kPPQ Mar 1, 2023 via Android
如果同一个大内网里有和你的局域网相同网段的人也这么做,则会冲突
|
 |
13
kyor0 Mar 2, 2023 via iPhone
路由器开着 passwall 翻墙,会有影响么
|
 |
14
slowman Mar 2, 2023
sz 电信试了不行,会不会跟 LAN 网段有关?我是 192.168 的
|
 |
15
wheat0r Mar 2, 2023
思考一下,没有 NAT 的情况下,去到你内网的路由怎么产生?
|
|
16
SMGdcAt4kPPQ Mar 2, 2023 via Android  1
@wheat0r 我也在想,要到内网去,上级路由至少得有相关的静态路由表吧
|
 |
17
yougo Mar 2, 2023
大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗😂
|
 |
19
acbot Mar 2, 2023
问题一 #6 提到的 "可惜绝大部分家用路由器不提供这种功能" 大部分路由器不支持修改 WAN 口模式目前我只见过那么一两款
问题二 #17 提到的 "大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗" 如果大家的内网段都一样会怎么样 |
 |
20
Archeb Mar 2, 2023
这相当于电信 BRAS 帮你做 masquerade 了,哈哈哈哈,楼主真是天才,这都能发现
|
|
21
Archeb Mar 2, 2023
楼主有没有试过如果把内网段配置成电信的(或者别的)公网地址,电信的 CGNAT 服务器会怎么处理。
|
 |
22
letmefly Mar 2, 2023
有什么用啊? openwrt 已经是全锥形了。
|
 |
23
lovelylain Mar 2, 2023 via Android
可以是可以,但是好像没什么用吧,如果运营商 nat 支持 fullcone ,你自己路由器也 fullcone ,那二级内网也是 fullcone ,反之如果上级不支持,也不会因为少一层 nat 变成 fullcone 。再来说缺点,要是跟你同接入点的用户也这么做了且跟你相同二级网段,会不会产生 ip 冲突?
|
 |
25
heiher Mar 2, 2023 via Android
这是 CGNAT 没开源地址校验功能呀,否则它应该直接丢弃源地址不是它分配出来的报文,估计这配置不是普遍行为。
|
|
27
acbot Mar 2, 2023
@LGA1150 我说的 问题二 这个与是否有源路由没有关系,问题是 IP 和端口冲突如何解决,比如:如果几个用户内网同时是 10.0.0.0 这个段呢,同内网网段这种情况是大概率,因为大多数路由设备默认内网网段就那么连三个?
|
 |
28
llinge Mar 2, 2023
@acbot #27 同时用这个网段没问题啊啊
常见的 snat 都是 dstip dstport proto srcport srcip 五元组 但是运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 |
|
29
acbot Mar 2, 2023
@llinge "... 运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 ... " 理论上或者说想象上确实可以,但是实际上我不是很确定这个参数是不是想加就能加的。
|
|
31
wheat0r Mar 2, 2023 via iPhone
我这边联通甚至没有给用户分配 cgnat 地址段,拨号直接从 10.0.0.0/8 里面分
|
 |
33
hzqim Mar 2, 2023 via Android
对公网 ipv6 影响几何?
|
 |
34
piku Mar 2, 2023 via Android
辽宁移动,PPPoE 获取到 10.56.0.0/16 的一个 ip 。大致远程试了试内网用的 192.168.0.0/16 随机,去掉 nat 后不通,路由黑洞。
|
 |
35
unics Mar 2, 2023
理论上不太可行,CGNAT 设备到 LAN 网段没有回程路由
|
 |
36
systemcall Mar 2, 2023 via Android
有些地方的运营商就是这么做的,国内基本上不会这么搞罢了
海外版路由器一般就可以调整这些东西。有些地方的运营商以前是直接给一个 v4 前缀 |
 |
37
a90405 Mar 2, 2023
我这边刚试了一下,江西电信,没问题,
关掉 fullcone ,关掉 wan 侧 snat ,能上网。 不过如果有一个和我相同内网的其他用户的如果都关掉 wan 侧 snat 估计会冲突吧,不过估计没人这么干就是了。。 |
 |
39
wwbfred Mar 3, 2023
没有写明的路由会发到默认的接口上,就是目标地址 0.0.0.0/0 的那条路由表。我怀疑默认接口正好就是你们用的这个接口,导致数据包发过来了。然后你的路由器上有路由表,就成功路由了。
这就意味着一旦两个人用同一个内网网段,会出问题。这样的配置肯定是不好的,并不能算是 feature ,有可能会被修复。 |
 |
40
asdgsdg98 Mar 3, 2023
杭州华数,不行
|
 |
41
huaxie1988 Mar 5, 2023
四川移动测试,不行。
|
 |
42
gzlmx Mar 6, 2023 via iPhone
爱快怎么关闭 snat ?
|
 |
43
lxll Mar 7, 2023 via Android
有没有一种可能 10.0.0.0/8 和 100.127.0.0/16 都是 pppoe 地址池的一部分,此时运营商设备会产生 10.0.0.0/8 的路由条目指向 pppoe 虚拟口
|
 |
44
Xymmh Mar 29, 2023
确实可以
|
|
45
huaxie1988 May 4, 2023 3
看了下文档,这个功能叫 L2NAT ,bras 上如果配置了这个功能就可以采取路由器不配置 NAT 的方式,配置页面 https://support.huawei.com/enterprise/zh/doc/EDOC1100263774/5c10d79e
|
 |
46
nkloveni May 4, 2023
@huaxie1988 大佬牛逼
|
 |
47
zro Jun 19, 2023
想问下 OP ,如果从安全性角度考虑,内网设备是不是少了一层 NAT 保护?
|
 |
48
shanghaojia Nov 9, 2023
我今天遇到了这个问题,routeros 没有做 nat ,局域网设备居然能上网,算是学到了
|
 |
50
htfcuddles Aug 16, 2024
@acbot #29 设备商已经帮你想到了。
> L2NAT ( L2-Aware NAT )是一种特殊的 NAT 技术。一般的 NAT 是将私网 IP+端口映射到公网 IP+端口,L2NAT 使用用户位置信息+用户私网 IP+端口映射到公网 IP+端口,使用的用户位置信息包括 PPP Session 、MAC 地址、用户所在 VLAN 等。 |
 |
51
hwd1118 Aug 17, 2024
不行阿,关了动态伪装完全上不了网
|
 |
52
yutian12345 Aug 17, 2024 via Android
这个是可以,不过有啥用呢?还是内网 ipv4 啊
|
 |
53
L0lita Feb 23, 2025
@huaxie1988 资源不存在或已删除
|
Select Language