理论上只要 ISP 服务器不限制源 IP 段,可以交给 ISP CGNAT ,路由器不需要二次 NAT 。
测试 ISP:广东电信,WAN 分配 100.127.0.0/16 内网 IP 段,LAN 网段为 10.0.0.0/8 ,关闭 WAN 侧 SNAT 后,LAN 设备仍然可以上网,并且是 Fullcone NAT 。tcpdump WAN 接口入站报文,可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。
OpenWrt 操作方法:网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。
各位 V 友也可以测试一下。
 |
1
iijboom Mar 1, 2023
移动,ros 试了,好像不可以
|
 |
4
lingaoyi Mar 1, 2023
关闭 WAN 侧 SNAT 后,这个东西在哪里???????
|
 |
5
cwbsw Mar 1, 2023
可以的,实测可行。
|
 |
6
deorth Mar 1, 2023 via Android
lmao 还有这种操作,学到了
可惜绝大部分家用路由器不提供这种功能 |
 |
7
Lentin Mar 1, 2023
Padavan 在 /Advanced_Netfilter_Content.asp 关闭 启用网络地址转换 (NAT) 应该就可以了
测试了下河北联通不行 |
 |
8
huaes Mar 1, 2023
河北移动可以,爱快改成路由模式就行了,UPNP 内外端口就基本一致了,但是公网的就直接断开了
|
 |
9
UXha45veSNpWCwZR Mar 1, 2023 via iPhone
网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。就上不了网了。是不是要重启?
我不明白这样做有啥好处? fullcone 吗?勾着就是 fullcone 啦。 广西移动,内网 10.168.0.0 外网 117.140.0.0 |
|
10
huaes Mar 1, 2023
这样好像就是打洞方便点,还是没法直接拿移动的 IP 直接访问内网?
|
 |
11
qwvy2g Mar 1, 2023
这是不是纯路由模式?运营商那边不支持的话可能不行。
|
 |
12
SMGdcAt4kPPQ Mar 1, 2023 via Android
如果同一个大内网里有和你的局域网相同网段的人也这么做,则会冲突
|
 |
13
kyor0 Mar 2, 2023 via iPhone
路由器开着 passwall 翻墙,会有影响么
|
 |
14
slowman Mar 2, 2023
sz 电信试了不行,会不会跟 LAN 网段有关?我是 192.168 的
|
 |
15
wheat0r Mar 2, 2023
思考一下,没有 NAT 的情况下,去到你内网的路由怎么产生?
|
|
16
SMGdcAt4kPPQ Mar 2, 2023 via Android  1
@wheat0r 我也在想,要到内网去,上级路由至少得有相关的静态路由表吧
|
 |
17
yougo Mar 2, 2023
大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗😂
|
 |
19
acbot Mar 2, 2023
问题一 #6 提到的 "可惜绝大部分家用路由器不提供这种功能" 大部分路由器不支持修改 WAN 口模式目前我只见过那么一两款
问题二 #17 提到的 "大家都是大内网下同一个网段,这是赌同一个内网下没有其他人关闭 SNAT 吗" 如果大家的内网段都一样会怎么样 |
 |
20
Archeb Mar 2, 2023
这相当于电信 BRAS 帮你做 masquerade 了,哈哈哈哈,楼主真是天才,这都能发现
|
|
21
Archeb Mar 2, 2023
楼主有没有试过如果把内网段配置成电信的(或者别的)公网地址,电信的 CGNAT 服务器会怎么处理。
|
 |
22
letmefly Mar 2, 2023
有什么用啊? openwrt 已经是全锥形了。
|
 |
23
lovelylain Mar 2, 2023 via Android
可以是可以,但是好像没什么用吧,如果运营商 nat 支持 fullcone ,你自己路由器也 fullcone ,那二级内网也是 fullcone ,反之如果上级不支持,也不会因为少一层 nat 变成 fullcone 。再来说缺点,要是跟你同接入点的用户也这么做了且跟你相同二级网段,会不会产生 ip 冲突?
|
 |
25
heiher Mar 2, 2023 via Android
这是 CGNAT 没开源地址校验功能呀,否则它应该直接丢弃源地址不是它分配出来的报文,估计这配置不是普遍行为。
|
|
27
acbot Mar 2, 2023
@LGA1150 我说的 问题二 这个与是否有源路由没有关系,问题是 IP 和端口冲突如何解决,比如:如果几个用户内网同时是 10.0.0.0 这个段呢,同内网网段这种情况是大概率,因为大多数路由设备默认内网网段就那么连三个?
|
 |
28
llinge Mar 2, 2023
@acbot #27 同时用这个网段没问题啊啊
常见的 snat 都是 dstip dstport proto srcport srcip 五元组 但是运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 |
|
29
acbot Mar 2, 2023
@llinge "... 运营商可以往里面加一个 用户 id 来实现六元组啊 这样就不怕冲突了 ... " 理论上或者说想象上确实可以,但是实际上我不是很确定这个参数是不是想加就能加的。
|
|
31
wheat0r Mar 2, 2023 via iPhone
我这边联通甚至没有给用户分配 cgnat 地址段,拨号直接从 10.0.0.0/8 里面分
|
 |
33
hzqim Mar 2, 2023 via Android
对公网 ipv6 影响几何?
|
 |
34
piku Mar 2, 2023 via Android
辽宁移动,PPPoE 获取到 10.56.0.0/16 的一个 ip 。大致远程试了试内网用的 192.168.0.0/16 随机,去掉 nat 后不通,路由黑洞。
|
 |
35
unics Mar 2, 2023
理论上不太可行,CGNAT 设备到 LAN 网段没有回程路由
|
 |
36
systemcall Mar 2, 2023 via Android
有些地方的运营商就是这么做的,国内基本上不会这么搞罢了
海外版路由器一般就可以调整这些东西。有些地方的运营商以前是直接给一个 v4 前缀 |
 |
37
a90405 Mar 2, 2023
我这边刚试了一下,江西电信,没问题,
关掉 fullcone ,关掉 wan 侧 snat ,能上网。 不过如果有一个和我相同内网的其他用户的如果都关掉 wan 侧 snat 估计会冲突吧,不过估计没人这么干就是了。。 |
 |
39
wwbfred Mar 3, 2023
没有写明的路由会发到默认的接口上,就是目标地址 0.0.0.0/0 的那条路由表。我怀疑默认接口正好就是你们用的这个接口,导致数据包发过来了。然后你的路由器上有路由表,就成功路由了。
这就意味着一旦两个人用同一个内网网段,会出问题。这样的配置肯定是不好的,并不能算是 feature ,有可能会被修复。 |
 |
40
asdgsdg98 Mar 3, 2023
杭州华数,不行
|
 |
41
huaxie1988 Mar 5, 2023
四川移动测试,不行。
|
 |
42
gzlmx Mar 6, 2023 via iPhone
爱快怎么关闭 snat ?
|
 |
43
lxll Mar 7, 2023 via Android
有没有一种可能 10.0.0.0/8 和 100.127.0.0/16 都是 pppoe 地址池的一部分,此时运营商设备会产生 10.0.0.0/8 的路由条目指向 pppoe 虚拟口
|
 |
44
Xymmh Mar 29, 2023
确实可以
|
|
45
huaxie1988 May 4, 2023 3
看了下文档,这个功能叫 L2NAT ,bras 上如果配置了这个功能就可以采取路由器不配置 NAT 的方式,配置页面 https://support.huawei.com/enterprise/zh/doc/EDOC1100263774/5c10d79e
|
 |
46
nkloveni May 4, 2023
@huaxie1988 大佬牛逼
|
 |
47
zro Jun 19, 2023
想问下 OP ,如果从安全性角度考虑,内网设备是不是少了一层 NAT 保护?
|
 |
48
shanghaojia Nov 9, 2023
我今天遇到了这个问题,routeros 没有做 nat ,局域网设备居然能上网,算是学到了
|
 |
50
htfcuddles Aug 16, 2024
@acbot #29 设备商已经帮你想到了。
> L2NAT ( L2-Aware NAT )是一种特殊的 NAT 技术。一般的 NAT 是将私网 IP+端口映射到公网 IP+端口,L2NAT 使用用户位置信息+用户私网 IP+端口映射到公网 IP+端口,使用的用户位置信息包括 PPP Session 、MAC 地址、用户所在 VLAN 等。 |
 |
51
hwd1118 Aug 17, 2024
不行阿,关了动态伪装完全上不了网
|
 |
52
yutian12345 Aug 17, 2024 via Android
这个是可以,不过有啥用呢?还是内网 ipv4 啊
|
 |
53
L0lita Feb 23, 2025
@huaxie1988 资源不存在或已删除
|
Select Language