Chiphell - 分享与交流用户体验

标题: 宽带不是公网IP的用户，可以尝试关闭路由器、光猫、软路由的 NAT （转载） [打印本页]

作者: proc 时间: 2024-8-17 16:50
标题: 宽带不是公网IP的用户，可以尝试关闭路由器、光猫、软路由的 NAT （转载）
理论上只要 ISP 服务器不限制源 IP 段，可以交给 ISP CGNAT ，路由器不需要二次 NAT 。

测试 ISP：广东电信，WAN 分配 100.127.0.0/16 内网 IP 段，LAN 网段为 10.0.0.0/8 ，关闭 WAN 侧 SNAT 后，LAN 设备仍然可以上网，并且是 Fullcone NAT 。tcpdump WAN 接口入站报文，可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。

OpenWrt 操作方法：网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。

原帖地址：https://www.v2ex.com/t/920289

作者: proc 时间: 2024-8-17 16:51
本帖最后由 proc 于 2024-8-17 17:05 编辑

评论区指出这是因为运营商启用了一项叫L2NAT的技术。

我这边实测已经启用了。禁用光猫的NAT，局域网能正常上网，在光猫上抓包wan口的流量，目标地址是局域网的192.168.1.0/24，没有经过光猫NAT转换。

PS：有的光猫、软路由会在FORWARD链上把发往局域网的流量DROP掉，导致打洞之后外网无法访问局域网主机，记得删掉对应的防火墙规则。

作者: proc 时间: 2024-8-17 17:00
目前还没有找到实际的使用场景，两个可能的用法：

1. 降低NAT等级

基于Linux内核的软路由不原生支持fullclone nat，必须自己打补丁。现在直接避免NAT转换，可以降低nat等级。

根据测试，现在我这边TCP已经是fullclone nat了，udp被block了。

2. 提高软路由性能

软路由的一大缺点就是没有硬件nat，性能比不上硬路由，现在直接避免了nat，网络性能应该会略有提高。

作者: hu2851 时间: 2024-8-17 17:24
哎
俺把用了好几年的三个hs8546v卖了
好像是差不多85一个陆陆续续买的，一共卖了280 邮费20块

作者: yan1990_y 时间: 2024-8-17 17:26
不就是光猫拨号么

作者: Mufasa 时间: 2024-8-17 17:29
云宽带可以这么弄，老旧区域的普通设备应该还不行。

作者: proc 时间: 2024-8-17 17:38
本帖最后由 proc 于 2024-8-17 20:52 编辑

Mufasa 发表于 2024-8-17 17:29
云宽带可以这么弄，老旧区域的普通设备应该还不行。

普通的宽带也能用，我这边就是正常的宽带。但具体有没有效果取决当地是否启用了L2NAT，需要自己测试。

作者: Mufasa 时间: 2024-8-17 17:42

proc 发表于 2024-8-17 17:38
普通的宽带也能用，我这边就是正常的宽带。但具体有没有效果取决当地是否启用了L2NAT，需要自己测试。 ...

四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT

作者: proc 时间: 2024-8-17 17:49

Mufasa 发表于 2024-8-17 17:42
四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT ...

都是解决IPv4短缺的过渡技术，有公网自然用不到

作者: Mashiro_plan_C 时间: 2024-8-17 18:13
对网络质量有追求就不会用光猫拨号了吧……

作者: proc 时间: 2024-8-17 18:47

Mashiro_plan_C 发表于 2024-8-17 18:13
对网络质量有追求就不会用光猫拨号了吧……

加上光猫只是因为我在用光猫，去掉nat主要利好软路由用户，不用再考虑软nat、硬nat了

作者: lzbnet 时间: 2024-8-17 19:44
实测广州移动不行

作者: blanksign 时间: 2024-8-17 19:48
这啥意思？？？就是OP拨号，拿到的IP是100.127开头的，然后内网是10.0.0.0/8的，然后不需要做SNAT就能上网？？PPPOE的CGNAT这么神奇了。

作者: hwd1118 时间: 2024-8-17 20:01
不行阿，关了动态伪装完全上不了网

作者: 老饭 时间: 2024-8-17 20:35
100.127 到内网10/8，不伪装咋上，直接路由？

作者: proc 时间: 2024-8-17 20:56

blanksign 发表于 2024-8-17 19:48
这啥意思？？？就是OP拨号，拿到的IP是100.127开头的，然后内网是10.0.0.0/8的，然后不需要做SNAT就能上网 ...

L2NAT的文档：https://support.huawei.com/enter ... 1100325276/befabf55

作者: proc 时间: 2024-8-17 20:59
本帖最后由 proc 于 2024-8-17 21:00 编辑

老饭发表于 2024-8-17 20:35
100.127 到内网10/8，不伪装咋上，直接路由？

对，直接路由，运营商可以跟踪网络流量，直接把目标地址是你内网的流量送回你的拨号设备。

作者: proc 时间: 2024-8-17 21:00

hwd1118 发表于 2024-8-17 20:01
不行阿，关了动态伪装完全上不了网

当地运营商的设备不支持，或者没有开对应功能

作者: blanksign 时间: 2024-8-17 21:15

proc 发表于 2024-8-17 20:56
L2NAT的文档：https://support.huawei.com/enterprise/zh/doc/EDOC1100325276/befabf55

确实有点难理解。等什么时候改造上线了，我再看看。

作者: 老饭 时间: 2024-8-17 21:16

proc 发表于 2024-8-17 20:59
对，直接路由，运营商可以跟踪网络流量，直接把目标地址是你内网的流量送回你的拨号设备。 ...

感觉不太可能，如果你邻居也是10/8的ip，数据包发给谁？

作者: proc 时间: 2024-8-17 21:21

老饭发表于 2024-8-17 21:16
感觉不太可能，如果你邻居也是10/8的ip，数据包发给谁？

看我发的说明书，运营商做nat时除了记录三层的IP地址还会记录二层拨号设备的MAC，这就是所谓的L2-Aware

作者: Misyo 时间: 2024-8-17 23:17

Mufasa 发表于 2024-8-17 17:42
四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT ...

四川哪哦还能拿到公网Ip，打电话要都不得行

作者: Mufasa 时间: 2024-8-17 23:52

Misyo 发表于 2024-8-17 23:17
四川哪哦还能拿到公网Ip，打电话要都不得行

只有很早以前的存量宽带可以继续保有，新装没了。

存量业务如果升级带宽也会失去公网IP

作者: suaxi 时间: 2024-8-18 00:08
今天下午刚在natter tg群看到这个消息，明天试试

作者: greney 时间: 2024-8-19 07:06
我路由器拨号获取的IPV4是100开头但是有IPV6 这样的可以用L2NAT吗

作者: yutian12345 时间: 2024-8-19 08:07
这个弄了有啥作用呢

作者: ganxy 时间: 2024-8-19 09:17
所以，这前提是在光猫拨号还是路由器/软路由拨号？

作者: Horo 时间: 2024-8-19 13:24
本帖最后由 Horo 于 2024-8-19 13:28 编辑

ganxy 发表于 2024-8-19 09:17
所以，这前提是在光猫拨号还是路由器/软路由拨号？

前提是当地运营商启用了L2NAT功能才行，在哪里拨号无所谓吧。

作者: proc 时间: 2024-8-19 15:01

greney 发表于 2024-8-19 07:06
我路由器拨号获取的IPV4是100开头但是有IPV6 这样的可以用L2NAT吗

你试一试呗，关掉nat之后还能上网，说明当地开了，否则就没开

作者: wolfing 时间: 2024-8-19 17:30
关了有啥好处？

作者: greney 时间: 2024-8-19 17:42
是不是必须为10.0.0.0/8的IP段吗

作者: MyDearst 时间: 2024-8-19 18:00
刚试了一下，关闭之后无法打开网页。

作者: proc 时间: 2024-8-19 21:17

greney 发表于 2024-8-19 17:42
是不是必须为10.0.0.0/8的IP段吗

内网网段不影响。原贴楼主10.0.0.0/8，我这边192.168.1.0/24，都可以。

作者: WD5d 时间: 2024-8-19 22:24
看文档只能在ipv4单栈上跑？

可问题是ipv6好处多多为什么要自我阉割

作者: proc 时间: 2024-8-19 22:24

WD5d 发表于 2024-8-19 22:24
看文档只能在ipv4单栈上跑？

可问题是ipv6好处多多为什么要自我阉割

不影响IPv6

作者: Krakenius 时间: 2024-11-8 19:24
本帖最后由 Krakenius 于 2024-11-8 20:57 编辑

才看到这个帖子，我想问一下大佬，如果是IPv6的私网地址呢？一样能直接不做NAT上网吗？

作者: lightingstar 时间: 2024-11-8 19:51
公网IP，无所畏惧

作者: 逺行 时间: 2024-11-8 21:28
广东电信，关了不能上网

作者: plzQvQ 时间: 2024-11-10 17:00
是在防火墙只关WAN的IP伪装动态还是把私有地址的DHCP和NAT全关掉

作者: cyberms 时间: 2024-11-10 17:05
没啥用，三家都可以开IPV6，直接用IPV6。

作者: yangzi123aaa20 时间: 2024-11-10 17:05
广州移动爱快拨号选nat1模式就是fullcone了，但是v4没公网就是没公网

作者: proc 时间: 2024-11-11 12:59

plzQvQ 发表于 2024-11-10 17:00
是在防火墙只关WAN的IP伪装动态还是把私有地址的DHCP和NAT全关掉

(, 下载次数: 54)

作者: wuhao0015 时间: 2024-11-11 13:48
坐标025，我在设备上测试了下，哎，可以的，真神奇。
<XXX-IPV6-R1>ping -a 192.168.188.252 218.2.2.2
  PING 218.2.2.2: 56  data bytes, press CTRL_C to break
Reply from 218.2.2.2: bytes=56 Sequence=1 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=2 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=3 ttl=61 time=2 ms
Reply from 218.2.2.2: bytes=56 Sequence=4 ttl=61 time=1 ms

  --- 218.2.2.2 ping statistics ---
4 packet(s) transmitted
4 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/2 ms
<XCKJ-IPV6-R1>dis nat session all
  NAT Session Table Information:
   Protocol       : ICMP(1)
   SrcAddr **    : 192.168.188.252
   DestAddr  **    : 218.2.2.2
   Type Code IcmpId  : 8 0 52907
   NAT-Info
   New SrcAddr    : 100.110.132.199
   New DestAddr : ----
   New IcmpId    : 10240

  Total : 1
这个是nat开启的状态。
我把nat关闭后。
<XXX-IPV6-R1>ping -a 192.168.188.252 218.2.2.2
  PING 218.2.2.2: 56  data bytes, press CTRL_C to break
Reply from 218.2.2.2: bytes=56 Sequence=1 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=2 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=3 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=4 ttl=61 time=1 ms
Reply from 218.2.2.2: bytes=56 Sequence=5 ttl=61 time=1 ms

  --- 218.2.2.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms

<XXX-IPV6-R1>
<XXX-IPV6-R1>dis nat session all
  NAT Session Table Information:

  Total : 0
<XXX-IPV6-R1>

不错，不错。。。

作者: yinqingle 时间: 2024-11-11 14:06
上海电信国际精品网，一直是公网IP

作者: 1014982466 时间: 2024-12-9 20:46
深圳电信试了似乎可以，在这里可以看NAT
https://mao.fan/mynat

作者: 二手烟 时间: 2024-12-9 21:34
比较好奇，这样做会不会容易被攻击？

作者: proc 时间: 2024-12-9 23:26

二手烟发表于 2024-12-9 21:34
比较好奇，这样做会不会容易被攻击？

并不会，用户的地址始终是内网地址，无法被外界主动连接

作者: updateing 时间: 2024-12-10 00:54
深圳电信确认可用。访问控制策略记得要做

作者: IceyHeart 时间: 2024-12-10 14:25
福建移动测试不行
Padavan 在高级设置_防火墙_Netfilter 关闭启用网络地址转换 (NAT)

作者: IceyHeart 时间: 2024-12-12 14:19

1014982466 发表于 2024-12-9 20:46
深圳电信试了似乎可以，在这里可以看NAT
https://mao.fan/mynat

我测出来是“ 网络环境是NAT4类型，限制最严格，玩游戏会不稳定、基本告别P2P了，赶快优化一下！”，但是我BT是满速的，玩游戏不稳定更是不存在。

作者: tasagapro 时间: 2024-12-12 14:59
看了看原理，CGNAT设备上会话表中加了二层信息，主体为ONT的Mac地址

作者: 1014982466 时间: 2024-12-12 17:27

IceyHeart 发表于 2024-12-12 14:19
我测出来是“ 网络环境是NAT4类型，限制最严格，玩游戏会不稳定、基本告别P2P了，赶快优化一下！”，但是 ...

BT得看你是什么软件吧，而且你只下载不上传和这个没关系
而且你玩的网游大概率都不是P2P的吧，基本只有自己建房间联机的才需要这个

作者: IceyHeart 时间: 2024-12-13 19:07

1014982466 发表于 2024-12-12 17:27
BT得看你是什么软件吧，而且你只下载不上传和这个没关系
而且你玩的网游大概率都不是P2P的吧，基本只有自 ...

也可能是因为我有IPV6

作者: 腿毛飘飘 时间: 2024-12-13 19:13
这样是不是相当于一层nat，跟公网IP，自家路由NAT是差不多的。

作者: 小心夹脚 时间: 2024-12-13 20:39
提示: 作者被禁止或删除内容自动屏蔽

作者: 1014982466 时间: 2024-12-13 21:13

IceyHeart 发表于 2024-12-13 19:07
也可能是因为我有IPV6

对，IPV6对下载上传比较有帮助，对P2P游戏无效

作者: 1014982466 时间: 2024-12-13 21:14

小心夹脚发表于 2024-12-13 20:39
为什么不直接桥+nat1

因为有的地方桥接会有很多玄学bug
还有一点是有的出租屋就是光猫Wi-Fi一体

作者: tonyshva 时间: 2024-12-18 22:02
我的光猫是HG5140A，桥接模式下面没有nat选项，要改成连接模式=路由下面才有NAT IPv6NAT，也就是说要光猫拨号才能这么用吧

作者: proc 时间: 2024-12-19 13:51

tonyshva 发表于 2024-12-18 22:02
我的光猫是HG5140A，桥接模式下面没有nat选项，要改成连接模式=路由下面才有NAT IPv6NAT，也就是说要光猫拨 ...

这种转换是发生在上级运营商设备上的，与你用光猫还是路由器拨号无关

作者: tonyshva 时间: 2024-12-19 14:53

proc 发表于 2024-12-19 13:51
这种转换是发生在上级运营商设备上的，与你用光猫还是路由器拨号无关

好吧，我光猫是桥接的，现在已经被强制100.0了，关了动态伪装是上不了网的，不知道要怎么设才能用上这个

作者: proc 时间: 2024-12-19 15:21

tonyshva 发表于 2024-12-19 14:53
好吧，我光猫是桥接的，现在已经被强制100.0了，关了动态伪装是上不了网的，不知道要怎么设才能用上这个
...

能不能用取决于你当地的运营商

作者: tobacco 时间: 2024-12-27 00:08
本帖最后由 tobacco 于 2024-12-27 00:13 编辑

proc 发表于 2024-11-11 12:59

电信光猫的超级密码变了！

以前这个 nE7jA%5m 不行了！

telnet 23端口封死好像也破解不了了

崩溃，心态炸裂

万恶的河北电信，
偷偷把公网ip改成私网10.0.X.X
又偷偷改光猫超级密码

艹艹艹，我日

作者: bucom 时间: 2025-3-18 16:36

tobacco 发表于 2024-12-27 00:08
电信光猫的超级密码变了！

以前这个 nE7jA%5m 不行了！

超密一直会变啊

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)