外网访问不了内网服务?先看这几个地方
家里搭了个NAS,公司想从外面连回来,结果死活连不上。或者你开了个游戏服务器,朋友说IP填了就是进不去。这种情况八成是广域网(WAN)链路出了问题,尤其是端口映射没搞好。
路由器公网IP是不是假的?
很多人以为自己有公网IP,结果一查发现是运营商给的内网地址,比如100.64.x.x开头的。这种叫CGNAT,根本没法做端口映射。你在路由器上设了80端口转发,外网根本找不到你的设备。
解决办法:登录路由器后台,看WAN口IP是不是属于公网范围。如果是192.168、10、172.16-31开头,或者100.64-127开头,基本就是内网IP。这时候得联系运营商申请公网IP,有些地区可以开通,有些不行。
端口映射规则写对了吗?
规则设置看似简单,但错一个地方就全废。常见错误:
- 内部IP写错了,比如设备DHCP重新分配后IP变了,但映射没更新
- 内部端口和实际服务端口不一致,比如Web服务跑在8080,但映射写了80到80
- 协议选错了,TCP能通,UDP不通,或者反过来
举个例子,你想把外网8080指向内网192.168.1.100的80端口,规则应该是:
外部端口:8080
内部IP:192.168.1.100
内部端口:80
协议:TCP防火墙拦了没?
路由器可能自带防火墙,默认阻止某些入站连接。有的品牌路由器(比如TP-Link、华硕)需要手动开启“DMZ主机”或“允许UPnP”来放行流量。
另外别忘了电脑本身的防火墙。Windows防火墙可能会拦掉陌生端口的请求,哪怕路由器转过去了,系统也直接丢包。可以临时关掉防火墙测试一下,确认是不是它的问题。
域名和DDNS配对了吗?
如果你用的是动态公网IP,那必须上DDNS(动态域名解析)。不然今天IP是123.123.123.123,明天变124.124.124.124,别人根本记不住。
主流路由器都支持花生壳、DynDNS这些服务。配置完之后,你可以用域名代替IP访问,比如nas.myhost.com:8080。记得检查DDNS状态是否为“已连接”,否则域名解析的还是旧IP。
远程测试别只靠自己
很多人在家测端口映射,用自己的手机切到流量网络去试。这其实不够准,因为有些运营商会做内网优化,同一个局域网内的流量走的是内网路径,看起来通了,其实外网根本打不开。
靠谱的做法是让外地的朋友帮你 telnet 一下你的公网IP+端口,或者用在线端口检测工具,比如yougetsignal.com里的“Open Port Check Tool”。输入IP和端口,它从外网发起探测,结果更真实。
ISP封了常用端口?换个端口试试
有些运营商默认封掉80、443、21这些端口,防你私自搭网站或FTP。你明明配置都对了,就是不通,可能就是被封了。
解决方法:别用80,改成8080、8888这类非常用端口做映射。虽然访问时要加端口号,但至少能通。等以后有条件再考虑换线路或上云服务器。
广域网这事儿,看着复杂,其实就几个关键点:有没有真公网IP、映射规则对不对、防火墙放不放、外网能不能真正触达。一个个排查,问题多半能搞定。