公网IP总掉线？我花三天终于揪出真凶：运营商偷偷启用的CGNAT

上周搭建的NAS突然抽风，远程访问时断时续。作为十年老网工，我原以为是路由器问题，结果排查三天才发现——运营商竟然偷偷给我上了CGNAT！今天就把这次踩坑经历写成实战指南，教你如何识别和解决这个”网络刺客”。

一、症状：那些让我抓狂的异常表现

最开始发现异常是上周三凌晨，我正在用手机访问家里的Jellyfin服务器追剧，突然提示”连接超时”。重连几次后又能看，但每隔20分钟就会断一次。当时我的排查路线是这样的：

• 重启光猫和路由器 → 故障依旧
• 更换DDNS服务商 → 仍然抽风
• 用ping -t持续测试 → 发现TTL值会突然从114跳到64

这个TTL跳变引起了我的警觉——正常公网IP的TTL值不应该这样突变！

二、破案：用三个命令揪出CGNAT

在论坛看到有人提到运营商级NAT（CGNAT）这个概念后，我立即用以下方法验证：

# 方法1：对比路由追踪结果
tracert 8.8.8.8
# 正常公网IP应该在第二跳显示运营商网关
# 我的结果却出现了10.x.x.x的内网地址！

# 方法2：检查WAN口IP
curl ifconfig.me
# 对比路由器获取的WAN口IP，发现完全不同！

# 方法3：检测NAT类型（需要STUN服务器）
natpmpc
# 返回"NAT-PMP not available"

这三个测试做完，基本可以确认：我被运营商塞进了CGNAT的大内网！简单说就是运营商没有给我分配真实公网IP，而是让我和其他用户共享一个IP地址。

三、突围：实测有效的三种解决方案

经过和运营商斗智斗勇，我总结出这些可行方案（按效果排序）：

方案1：直接索要公网IP（推荐）

拨打运营商客服，我的话术是：”我是IT从业者需要搭建视频会议系统，请帮我取消CGNAT并分配静态公网IP”。实测电信/联通成功率较高，移动需要多磨几次。

方案2：IPv6穿透（免费但有限制）

# 先确认光猫支持IPv6
ping6 240c::6666
# 在路由器开启IPv6穿透
# 注意：部分老旧设备不支持IPv6

方案3：内网穿透工具（终极备选）

最后我给自己留了条后路，在树莓派部署了frp做中转：

# frpc.ini配置示例
[common]
server_addr = 你的VPSIP
server_port = 7000

[ssh]
type = tcp
local_ip = 192.168.1.100
local_port = 22
remote_port = 6000

四、血泪教训：这些细节要注意

1. 新装宽带默认CGNAT：现在三大运营商对新用户基本默认开启，要主动申请取消
2. 动态IP≠公网IP：即使IP会变，只要不是10/100开头的内网段就行
3. 企业宽带也有坑：别以为高价企业宽带就稳，我朋友299/月的专线也中招过

这次折腾让我深刻体会到：现在的公网IP就像稀缺资源，运营商都在偷偷回收。如果你也遇到类似问题，希望这篇实战记录能帮你少走弯路。最后提醒下，测试前记得备份路由器配置，别问我怎么知道的…