一边是 NAT1 ，另一边不是公网还是连不上，这主要是因为客户端上报的端口号与映射的公网端口号不一致。

具体来说客户端上报的是内网监听端口号，通过公网映射后分配了另外一个不同的端口号，Peers 拿的内网端口号并上公网 IP 地址尝试去建立连接显然是不行的。

解决办法最直接的当然是改客户端，使其上报公网端口，比如先用 STUN 获取。折中一点的是使用 Natter/NATMap 等工具，先获得公网端口号，再通知客户端修改本地监听端口号与公网的一致。在内网相同的情况下，即使 Peers 拿的是内网端口号，连接也能建立起来。

@studyingss 是的，DNS 两项是配置的 VPN 网络的 DNS 地址，不支持直接指定端口。就分流的需求来说，其实可以实现在服务端，因为 DNS 流量也是通过 Socks5 的。

@mogging 确实可能，一些使用 VPN 方案的抓包应用就是使用 tun2socks 方案实现的 TCP 流重组并直接对接到物理网络。

@TongNianShanHe 增加了的 udp relay over udp 的方式

@TongNianShanHe Android VPN over socks5 proxy 参考实现: https://github.com/heiher/sockstun

@skies457 #7 那不是更 gg 了嘛 :D

@thereone #5 电信级 NAT 地址段 YD/T 2544-2013 好像没有说要符合某个 RFC :-P

@yagamil #43 轻量那个小毛细管只能走走控制面流量，要说真香还是在私网家宽上打洞白嫖运营商公网 IP 搭 FRP 服务端，在公司也方便访问: https://github.com/heiher/natmap/wiki/frp

@cwbsw #2 这一点毋庸置疑，现在很多地区仍旧是 NAT1 ，就是看看行业标准是否有相关规定，能不能用魔法打败魔法，哈哈~

@leido #1 据我所知，NAT4 理论上可以做到更节约公网地址和端口，但相对需要占用更多的地址转换会话记录条目，对硬件加速实现要求更高。比如一个公网地址、端口在 NAT1 上一个时刻只能分配给一个用户，而在 NAT4 上就可以同时分配给多个用户建立与不同目的地址、端口的连接。

@GeruzoniAnsasu #29 即使是建站需求来说，套国外 CDN 慢，国内 CDN 贵，还是打洞走非标端口传输体验最佳。

@GeruzoniAnsasu #24 目前来说，企业内网几乎没有 IPv6 吧，家庭网络 IPv6 确实是基本覆盖了，然而在公司还是连不上家里……

使用 NATMap 在 NAT-1 私网 IP 宽带上部署 Web 服务: https://github.com/heiher/natmap/wiki/web

没有公网 IP 依赖打洞的话，公网端口几乎肯定是非标的，那么能够接受 URL 带端口，就用 HTTP 302 重定向方法。否则，只能通过一些支持指定回源端口的 CDN(比如 Cloudflare)转为标准端口，当然这样就不是直连了。

@heiher #16 s/也会 /不会

@LeeReamond #15 不套支持指定源站端口 CDN 的话，URL 只能带端口，也可以用 URL 跳转方法，但端口也会隐藏的。

公网 IP 盒子几乎都是采用流量从有公网 IP 的服务器中转的方案；如果你的宽带是 NAT1 的，试试打洞方法（相当于白嫖运营商的公网 IP ）：

https://github.com/heiher/natmap/wiki/NATMap
https://github.com/MikeWang000000/Natter

@MeteorVIP #37 我没有理解错，已经启动的 natmap 的 -p 参数还不能运行时修改，建议使用防火墙的端口转发实现 -t 172.16.1.111 -p 23456 的转发功能，性能更好，而且也方便更新目标端口。

如果暂时非要用 natmap 的应用程序端口转发，那么一种 workaround 方法是先后启动两个 natmap ，打同一个端口：

1. natmap -4 -d -i pppoe-wan -s stun.stunprotocol.org -h qq.com -b 48083 -t 172.16.1.111 -p 23456 -e script1
2. natmap -4 -d -i pppoe-wan -s stun.stunprotocol.org -h baidu.com -b 48083 -t 172.16.1.111 -p 54321 -e script2

script1 负责启动第二个 natmap ，并关闭第一个 natmap 。script2 实现同等的功能，当公网端口映射变更时。需要注意的是 -h 参数两个 natmap 需要不同，防止冲突。两个不同的 http server 可以交替使用。

还是建议使用防火墙方式，可以参考这个更新脚本：

https://github.com/Mythologyli/qBittorrent-NAT-TCP-Hole-Punching/blob/master/update.sh#L21

@TongNianShanHe #16 好的，hev-socks5-tunnel 的 udp 功能需要配合 hev-socks5-server 或兼容的服务端使用。

@TongNianShanHe #15 是的，hev-socks5-tunnel 的 udp relay 是采用扩展的 socks5 cmd 实现的 udp over tcp ，不是协议标准的 udp 方式，原因是为了让所有流量都走 tcp ，这样方便过 cdn 。