社区 › 电脑讨论(新) › 宽带不是公网IP的用户，可以尝试关闭路由器、光猫、软路由的 NAT （转载）

proc 发表于 2024-8-17 16:50

宽带不是公网IP的用户，可以尝试关闭路由器、光猫、软路由的 NAT （转载）

理论上只要 ISP 服务器不限制源 IP 段，可以交给 ISP CGNAT ，路由器不需要二次 NAT 。

测试 ISP：广东电信，WAN 分配 100.127.0.0/16 内网 IP 段，LAN 网段为 10.0.0.0/8 ，关闭 WAN 侧 SNAT 后，LAN 设备仍然可以上网，并且是 Fullcone NAT 。tcpdump WAN 接口入站报文，可以看到 CGNAT 服务器过来的报文目的 IP 就是 LAN 网段的 IP 。

OpenWrt 操作方法：网络-防火墙-区域-WAN-取消“IP 动态伪装”的对勾。

原帖地址：https://www.v2ex.com/t/920289

proc 发表于 2024-8-17 16:51

本帖最后由 proc 于 2024-8-17 17:05 编辑

评论区指出这是因为运营商启用了一项叫L2NAT的技术。

我这边实测已经启用了。禁用光猫的NAT，局域网能正常上网，在光猫上抓包wan口的流量，目标地址是局域网的192.168.1.0/24，没有经过光猫NAT转换。

PS：有的光猫、软路由会在FORWARD链上把发往局域网的流量DROP掉，导致打洞之后外网无法访问局域网主机，记得删掉对应的防火墙规则。

proc 发表于 2024-8-17 17:00

目前还没有找到实际的使用场景，两个可能的用法：

1. 降低NAT等级

基于Linux内核的软路由不原生支持fullclone nat，必须自己打补丁。现在直接避免NAT转换，可以降低nat等级。

根据测试，现在我这边TCP已经是fullclone nat了，udp被block了。

2. 提高软路由性能

软路由的一大缺点就是没有硬件nat，性能比不上硬路由，现在直接避免了nat，网络性能应该会略有提高。

hu2851 发表于 2024-8-17 17:24

哎
俺把用了好几年的三个hs8546v卖了
好像是差不多85一个陆陆续续买的，一共卖了280 邮费20块

yan1990_y 发表于 2024-8-17 17:26

不就是光猫拨号么

Mufasa 发表于 2024-8-17 17:29

云宽带可以这么弄，老旧区域的普通设备应该还不行。

proc 发表于 2024-8-17 17:38

本帖最后由 proc 于 2024-8-17 20:52 编辑

Mufasa 发表于 2024-8-17 17:29
云宽带可以这么弄，老旧区域的普通设备应该还不行。

普通的宽带也能用，我这边就是正常的宽带。但具体有没有效果取决当地是否启用了L2NAT，需要自己测试。

Mufasa 发表于 2024-8-17 17:42

proc 发表于 2024-8-17 17:38
普通的宽带也能用，我这边就是正常的宽带。但具体有没有效果取决当地是否启用了L2NAT，需要自己测试。 ...

四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT

proc 发表于 2024-8-17 17:49

Mufasa 发表于 2024-8-17 17:42
四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT ...

都是解决IPv4短缺的过渡技术，有公网自然用不到

Mashiro_plan_C 发表于 2024-8-17 18:13

对网络质量有追求就不会用光猫拨号了吧……

proc 发表于 2024-8-17 18:47

Mashiro_plan_C 发表于 2024-8-17 18:13
对网络质量有追求就不会用光猫拨号了吧……

加上光猫只是因为我在用光猫，去掉nat主要利好软路由用户，不用再考虑软nat、硬nat了

lzbnet 发表于 2024-8-17 19:44

实测广州移动不行

blanksign 发表于 2024-8-17 19:48

这啥意思？？？就是OP拨号，拿到的IP是100.127开头的，然后内网是10.0.0.0/8的，然后不需要做SNAT就能上网？？PPPOE的CGNAT这么神奇了。

hwd1118 发表于 2024-8-17 20:01

不行阿，关了动态伪装完全上不了网

老饭 发表于 2024-8-17 20:35

100.127到内网10/8，不伪装咋上，直接路由？

proc 发表于 2024-8-17 20:56

blanksign 发表于 2024-8-17 19:48
这啥意思？？？就是OP拨号，拿到的IP是100.127开头的，然后内网是10.0.0.0/8的，然后不需要做SNAT就能上网 ...

L2NAT的文档：https://support.huawei.com/enterprise/zh/doc/EDOC1100325276/befabf55

proc 发表于 2024-8-17 20:59

本帖最后由 proc 于 2024-8-17 21:00 编辑

老饭 发表于 2024-8-17 20:35
100.127到内网10/8，不伪装咋上，直接路由？

对，直接路由，运营商可以跟踪网络流量，直接把目标地址是你内网的流量送回你的拨号设备。

proc 发表于 2024-8-17 21:00

hwd1118 发表于 2024-8-17 20:01
不行阿，关了动态伪装完全上不了网

当地运营商的设备不支持，或者没有开对应功能

blanksign 发表于 2024-8-17 21:15

proc 发表于 2024-8-17 20:56
L2NAT的文档：https://support.huawei.com/enterprise/zh/doc/EDOC1100325276/befabf55

确实有点难理解。等什么时候改造上线了，我再看看。

老饭 发表于 2024-8-17 21:16

proc 发表于 2024-8-17 20:59
对，直接路由，运营商可以跟踪网络流量，直接把目标地址是你内网的流量送回你的拨号设备。 ...

感觉不太可能，如果你邻居也是10/8的ip，数据包发给谁？

proc 发表于 2024-8-17 21:21

老饭 发表于 2024-8-17 21:16
感觉不太可能，如果你邻居也是10/8的ip，数据包发给谁？

看我发的说明书，运营商做nat时除了记录三层的IP地址还会记录二层拨号设备的MAC，这就是所谓的L2-Aware

Misyo 发表于 2024-8-17 23:17

Mufasa 发表于 2024-8-17 17:42
四川这边普通宽带还是走的PPPoE，可以拿到公网IP

所以没事绝对不能折腾，公网强于任何NAT ...

四川哪哦还能拿到公网Ip，打电话要都不得行

Mufasa 发表于 2024-8-17 23:52

Misyo 发表于 2024-8-17 23:17
四川哪哦还能拿到公网Ip，打电话要都不得行

只有很早以前的存量宽带可以继续保有，新装没了。

存量业务如果升级带宽也会失去公网IP

suaxi 发表于 2024-8-18 00:08

今天下午刚在natter tg群看到这个消息，明天试试[偷笑]

greney 发表于 2024-8-19 07:06

我路由器拨号获取的IPV4是100开头 但是有IPV6 这样的可以用L2NAT吗

yutian12345 发表于 2024-8-19 08:07

这个弄了有啥作用呢

ganxy 发表于 2024-8-19 09:17

所以，这前提是在光猫拨号还是 路由器/软路由 拨号？

Horo 发表于 2024-8-19 13:24

本帖最后由 Horo 于 2024-8-19 13:28 编辑

ganxy 发表于 2024-8-19 09:17
所以，这前提是在光猫拨号还是 路由器/软路由 拨号？

前提是当地运营商启用了L2NAT功能才行，在哪里拨号无所谓吧。

proc 发表于 2024-8-19 15:01

greney 发表于 2024-8-19 07:06
我路由器拨号获取的IPV4是100开头 但是有IPV6 这样的可以用L2NAT吗

你试一试呗，关掉nat之后还能上网，说明当地开了，否则就没开

wolfing 发表于 2024-8-19 17:30

关了有啥好处？

查看完整版本: 宽带不是公网IP的用户，可以尝试关闭路由器、光猫、软路由的 NAT （转载）