我的公网访问老掉线？原来是运营商 CGNAT 在搞鬼！

大家好，我是33blog的站长。最近在折腾家庭NAS时遇到了一个特别烦人的问题：远程访问老是莫名其妙掉线，而且规律性特别强——每48小时必断一次。经过一周的排查，终于揪出了罪魁祸首：运营商的CGNAT技术。今天就来和大家分享这段踩坑经历。

症状：48小时准时掉线的玄学问题

上个月给家里装了台群晖NAS，配置好DDNS和端口转发后，刚开始远程访问美滋滋。但很快发现一个诡异现象：每到第48小时左右，连接必定中断，必须重启光猫才能恢复。

最气人的是，这个时间准得跟闹钟似的：

2023-11-01 14:30:00 - 连接建立
2023-11-03 14:29:58 - 连接中断

排查：从怀疑设备到发现真相

起初我以为是路由器或NAS的问题：

• 换了三个不同品牌的路由器
• 重装了三遍群晖系统
• 甚至换了网线和光猫

直到用traceroute命令发现一个奇怪现象：我的”公网IP”在路由追踪时竟然出现在运营商内网段！这才恍然大悟——我被套在CGNAT里了。

什么是CGNAT？运营商的新套路

CGNAT（Carrier-Grade NAT）是运营商应对IPv4地址枯竭的解决方案。简单说就是把多个用户塞到同一个公网IP后面，就像小区共用一个信箱：

你的设备 → 运营商内网IP → 共享公网IP → 互联网
          ↑这里是CGNAT转换层

最坑爹的是，运营商为了节省资源，会给NAT映射设置超时（通常48小时），这就是我定期掉线的根本原因。

解决方案：实测有效的三种方法

经过实测，这几个方法确实管用：

1. 申请真实公网IP（推荐）

直接打电话给运营商客服，就说要装监控需要公网IP。我用的移动宽带，客服很爽快就给改了（不过听说电信现在要签协议）。

2. 使用IPv6（如果支持）

现在新光猫基本都支持IPv6，在路由器开启IPv6防火墙后，实测延迟比CGNAT环境下低30%：

# 群晖IPv6设置示例
ifconfig eth0 inet6 add 2408:8207:xxxx:xxxx::2/64

3. 内网穿透方案

作为备选方案，可以用frp或zerotier：

• frp需要云服务器中转
• zerotier的免费版偶尔抽风

血泪教训：这些坑千万别踩

最后分享几个我踩过的坑：

• 不要相信”动态公网IP”：有些客服会说”本来就是公网IP”，一定要用IP查询网站确认
• 警惕”优化网络”服务：某运营商推销的加速服务其实就是关CGNAT，还要额外收费
• 光猫重启会重置NAT表：在CGNAT环境下，重启光猫可能导致端口映射变化

现在我的NAS终于可以稳定远程访问了。如果你也遇到类似问题，希望这篇分享能帮到你！有什么疑问欢迎在评论区交流~