인터넷 IPv6·CGNAT 포트포워딩 이슈 체크 포인트｜DS-Lite·NAT64·MAP-E/T까지 한 번에

“분명 열었는데 외부 접속이 안 돼요.” 대부분은 회선 구조가 원인입니다. 

인터넷 IPv6·CGNAT 포트포워딩 이슈는 단순 설정 문제가 아니고, 내 회선이 어떤 방식인지부터 확인해야 풀립니다. 

아래 순서대로 보면, 지금 상태가 가능/불가/우회 필요 중 어디인지 바로 가늠됩니다.

1) 핵심 개념 3줄 요약

• CGNAT(대역 100.64.0.0/10): 통신사 내부 NAT를 한 번 더 타므로 IPv4 인바운드 포워딩이 원천적으로 막히는 경우가 많습니다. 예외는 통신사가 PCP(Port Control Protocol) 같은 맵핑 수단을 열어줄 때뿐. 

• IPv6: NAT가 전제되지 않으므로 “포트포워딩” 대신 방화벽 허용 규칙을 추가해 인바운드 열면 됩니다. 주소만 글로벌(2000::/3)이고 방화벽이 허용되면 외부에서 바로 접근 가능합니다.

• 전환 기술(DS-Lite/NAT64/MAP-E·T): IPv4를 IPv6 위로 실어 나르거나 변환하는 구조. 대개 IPv4 인바운드 포워딩은 불가이며, 해법은 IPv6 개방 혹은 터널/프록시입니다. 

2) 우리 집 회선 구조 판별 체크

• 라우터 WAN IPv4가 사설(10/172.16–31/192.168/100.64–127.x) → CGNAT 의심. 이 경우 외부 IPv4 인바운드는 기본적으로 불가. 

• 라우터 상태창에 DS-Lite/AFTR 표기 → IPv4가 IPv6 터널(DS-Lite)로 나가므로 IPv4 포워딩 불가. 

• IPv6만 글로벌이고 IPv4는 사설 → NAT64/DNS64·MAP-E/T 가능성. IPv6 인바운드는 방화벽 허용 시 가능, IPv4 인바운드는 불가에 가깝습니다. 

• 라우터 고급설정에 PCP/UPnP/NAT-PMP가 있고, ISP가 PCP를 지원한다고 명시 → 제한적 IPv4 인바운드가 가능할 수 있음(통신사 정책 의존).

3) 구조별 “포트포워딩 가능/불가” 판단표

• 듀얼스택(공인 IPv4 + IPv6)

  • IPv4: 라우터 포워딩 규칙으로 가능

  • IPv6: 방화벽 허용 규칙(포트/프로토콜)만 만들면 됨(포워딩 개념 아님).

• CGNAT(공유주소 100.64/10)

  • IPv4: 기본 불가. 단, PCP 지원·별도 포트 임대가 있으면 예외적 가능. 

• DS-Lite(IPv4-in-IPv6)

  • IPv4: 불가(AFTR가 통신사 망 안에 있어 외부에서 못 들어옴). IPv6 경로로 노출하거나 터널 사용. 

• NAT64/DNS64

  • IPv6: 가능(방화벽 허용). IPv4 인바운드는 구조상 곤란. 

• MAP-E / MAP-T

  • IPv4 인바운드: 정책·설계에 따라 제한적. 다수 가정용 환경에선 기대 어렵고, IPv6 공개·터널이 현실적. 

4) 바로 적용하는 해결 루트(상황별)

• 내 서비스가 외부에서 보여야 한다(웹·NAS·게임 호스트 등)

  1. IPv6 개방: 서버 장비에 글로벌 IPv6를 부여하고 라우터 방화벽 허용(예: TCP/443). DNS에 AAAA 레코드 등록.

  2. 공인 IPv4 옵션: 통신사에 공인 IPv4(고정/유동) 제공 여부 문의(유료일 수 있음).

  3. PCP 맵핑: ISP·라우터가 PCP를 지원하면 요청해 임시/장기 포트를 맵핑.

  4. 터널/역프록시: 클라우드 터널(제로트러스트/프록시)·VPN(사이트-투-사이트/와이어가드)로 인바운드 경로 우회.

• 내부에서 내 도메인으로 접속이 안 된다(헤어핀 문제)

  • 라우터가 NAT loopback(헤어핀 NAT)을 지원해야 한다. 미지원이면 스플릿-DNS로 내부는 내부 IP로 해석. 

5) 설정 체크리스트(실수 방지)

• IPv6

  • 라우터에서 방화벽 인바운드 규칙 생성(“포워딩”이 아니라 “허용”)

  • 서버 장비가 전역 유니캐스트 주소를 받고 있는지(ULA fc00::/7만 있으면 외부 노출 불가)

  • 프라이버시 주소가 수시로 바뀌면 고정(DHCPv6/고정 IPv6)로 서버에 할당

• IPv4

  • WAN이 공인 IPv4가 맞는지부터 확인(아니면 포워딩 시도 무의미)

  • UPnP/NAT-PMP는 편하지만 보안 리스크 → 필요 포트만 수동 개방

• 공통 보안

  • 기본 포트 노출은 최소화, 방화벽 화이트리스트/IP 제한

  • 최신 펌웨어, 관리자 페이지 외부 노출 금지, 강력한 인증(키·OTP)

6) 자주 묻는 질문(FAQ)

• IPv6인데 ‘포트포워딩 메뉴’가 없어요.
  IPv6는 NAT이 아니라 방화벽 개념입니다. 인바운드 허용 규칙을 추가하면 됩니다. 

• CGNAT인데 게임 방 만들 수 있나요?
  대개 불가. 가능하려면 PCP·공인 IPv4·터널 중 하나가 필요합니다. 

• DS-Lite인데 CCTV 외부 접속은요?
  IPv6 공개 또는 클라우드 릴레이/터널을 사용하세요. DS-Lite에서 IPv4 인바운드는 원칙적으로 막힙니다. 

• 내 IPv4가 100.64.x.x인데 맞는 건가요?
  네, 공유주소(Shared Address Space)입니다. 통신사 CGNAT 구간이 맞습니다. 

7) 문제풀이 순서(1분 컷)

1. WAN 주소 확인: 공인 IPv4인지/CGNAT인지, IPv6 전역 주소 있는지

2. 라우터에 DS-Lite/AFTR/NAT64/MAP 표기 여부 확인

3. IPv6 노출 가능하면 방화벽 허용 + AAAA 등록

4. IPv4가 꼭 필요하면 공인 IPv4/PCP/터널 중 선택

5. 내부 접근 문제는 헤어핀 NAT 또는 스플릿-DNS로 해결

계산 메모(복붙｜실납부액 관점)

• 월 평균 실납부액 = {(월요금 + 임대 − 각종 월할인) × 약정개월 + 설치비} ÷ 약정개월

• 공인 IPv4 옵션·터널 유료 플랜이 있으면 월 평균에 더해 실제 체감을 비교하세요.

한줄 결론

인터넷 IPv6·CGNAT 포트포워딩 이슈는 회선 구조 파악 → IPv6 개방 또는 공인 IPv4/PCP/터널 선택의 문제입니다. 구조만 알면, 열 수 있는 포트와 우회해야 할 포트가 바로 갈립니다.