MSR3610-XS路由器外网映射

1、检查下内部映射业务是否正常

2、检查下映射业务到路由器的连通性

3、检查下有没有设备做限制

外网是固定地址吗？

外网映射无法访问，常见原因可能出在路由器配置、服务器、甚至是运营商侧。我为你整理了一份排查清单，从最基础的开始，一步步帮你定位问题。

 端口映射问题排查清单

1.  配置核查：确认映射规则准确无误

排查的第一步是确认路由器上的端口映射配置完全正确。登录你的MSR3610-XS路由器，执行下面这条命令或查看Web界面，确认公网IP/端口、内网IP/端口、协议（TCP/UDP）都填写无误。

• 重点关注公网端口是否写错，以及内网IP是否为服务器当前使用的真实IP地址。

• 注意：如果服务器IP是动态获取的，需要在路由器上做IP-MAC绑定或设置静态IP，防止因IP变化导致映射自动失效。

2.  基础连通性：测试网络链路是否畅通

排查完配置，确认配置无误后，需要测试网络的两端是否可达。

• 从外网测试：找一台外网电脑，ping一下路由器那台MSR3610-XS的公网接口IP（注意：很多网络会禁ping，不通不代表故障，但能通说明外网到路由器的基础连接正常）。

• 从路由器测试：登录MSR3610-XS，ping一下需要映射的内网服务器IP。如果不通，说明路由器到服务器这段内网线路有问题，需要检查交换机、网线或服务器网关配置。

3.  核心验证：检查NAT会话是否建立

这一步是确认外网的访问请求确实已经送到了路由器。在你从外网访问应用的同时，快速在路由器上运行以下命令：

• 此命令用于查看发往特定内网服务器的所有连接。

• 观察结果：

  • 有会话信息：说明外网请求已成功到达路由器并被正确转换，此时可跳过第4步，直接前往第5步排查。

  • 无会话信息：说明请求根本没到路由器，问题很可能出在外网链路、运营商，或路由器的公网IP配置、MASQUE（如ALG）功能上。

4.  外部因素排查：排除路由与运营商问题

如果上一步未发现会话，说明外网请求被阻塞了，接下来排查两个最常见的外部因素。

• 运营商端口封锁：特别是80、8080、443这类常用端口，很多运营商为了合规会默认封禁-11。可以尝试将公网映射端口改成一个5位数的高位端口（如34567），再试试能不能访问，这是很关键的测试。

• 多出口路由问题：如果路由器接入了多条线路，流量可能从一条线进来，回应却走了另一条线。可以检查是否配置了策略路由，确保来回路径一致。或者，临时使用ip last-hop hold功能确保回包从原路返回。

5.  安全策略检查（防火墙才重点排查）

如果你的MSR3610-XS开启了部分防火墙过滤功能，你需要检查一下策略，确保允许untrust到trust区域的TCP端口流量通过。

如果已经能观察到NAT会话或外网请求确实到了，但仍然连接失败，那问题大概率出在服务器本身上。

• 服务状态检查：在服务器本地用127.0.0.1和telnet <本机IP> <端口>分别测试，确认服务是否正在监听正确的IP地址和端口。

• 防火墙放行：检查服务器系统（Windows、Linux等）的自带防火墙，是否已添加了允许外部访问该端口的入站规则。

• 软件应用层排查：如果服务是HTTP/HTTPS，检查Web服务器配置，确保它被允许接收来自所有IP（如0.0.0.0）的连接。

7.  高级诊断：抓包分析终极定位

如果以上步骤都未能解决，可以进行抓包来精准定位。在路由器的公网和内网接口同时抓包，分析数据包走向。