Remote Access
Accés remot a MikroTik darrere de CGNAT
Aprèn què és el CGNAT, per què bloqueja l'accés entrant als routers MikroTik i com gestionar la teva flota de manera remota amb túnels de sortida.
Resum El CGNAT (Carrier-Grade NAT) permet a un ISP compartir una única adreça IPv4 pública entre molts abonats, cosa que conserva adreces escasses però trenca les connexions entrants — així que el reenviament de ports a un router MikroTik que hi ha darrere simplement no funciona. Com que el router no té cap adreça pública accessible, la solució fiable és invertir la direcció: fer que el router truqui cap enfora a un punt de trobada que tu controles. Aquesta guia explica què és el CGNAT, com detectar-lo i com gestionar routers MikroTik que hi ha darrere mitjançant túnels de sortida.
Què és el CGNAT?
El CGNAT és una segona capa de traducció d’adreces de xarxa que s’executa dins la xarxa de l’ISP i que assigna molts clients a un petit conjunt d’adreces IPv4 públiques compartides, normalment donant a cada abonat una adreça privada del rang d’operador 100.64.0.0/10 en lloc d’una IP pública real. Existeix perquè el món es va quedar sense blocs IPv4 lliures fa anys: en lloc de comprar adreces cada cop més cares, la majoria de proveïdors de sense fil fix, mòbil, fibra i satèl·lit ara situen els abonats darrere d’una passarel·la compartida. El teu MikroTik continua tenint accés a internet i pot iniciar connexions de sortida amb normalitat — però des del punt de vista d’internet públic, el teu router no té una adreça pròpia. (Carrier-grade NAT — Wikipedia)
Com trenca el CGNAT l’accés entrant a un MikroTik?
El reenviament de ports normal assumeix que la teva interfície WAN té una IP pública que la resta d’internet pot abastar. Sota CGNAT aquesta assumpció falla per partida doble. Primer, la teva adreça WAN és privada (sovint 100.64.x.x), de manera que un port reenviat al teu MikroTik apunta a una adreça que ningú fora de l’operador pot encaminar. Segon, la IP pública real es troba al dispositiu NAT mestre de l’ISP, que es comparteix amb desenes d’altres abonats i no et reenviarà cap port entrant arbitrari — no el controles tu. (Open Port Checkers — Per què el reenviament de ports falla amb CGNAT)
La conseqüència pràctica per a qualsevol que gestioni una flota de routers és greu: no pots accedir per Winbox, WebFig, SSH ni API al MikroTik d’un client des de l’oficina, perquè no hi ha cap camí entrant cap a ell. Un nom DNS dinàmic tampoc ajuda — resoldria cap a la IP compartida de l’operador, no cap al teu router. És el mateix mur amb què topen els usuaris de Starlink, que tractem en detall al nostre estudi de cas dels canvis d’IP de Starlink.
Com saps si un MikroTik és darrere de CGNAT?
Comprova l’adreça de la interfície WAN i compara-la amb la IP pública que la connexió mostra realment a internet. En un terminal de Winbox o WebFig:
/ip address printSi la interfície WAN té una adreça dins de 100.64.0.0 – 100.127.255.255 (el rang compartit 100.64.0.0/10), 10.0.0.0/8 o un altre rang privat RFC1918, gairebé segur que estàs darrere de CGNAT. Confirma-ho comparant aquesta adreça amb el que reporta un servei extern de “what is my IP”: si difereixen, hi ha un NAT d’operador entre tu i internet. Un traceroute que mostri un o més salts privats abans del primer salt públic és un altre senyal fort. (oneuptime — Com detectar si ets darrere de CGNAT)
Com gestiones routers MikroTik darrere de CGNAT?
La solució duradora és deixar d’intentar connectar-te cap a dins i en canvi deixar que el router es connecti cap a fora a un punt de trobada amb una adreça pública estable. Com que la connexió de sortida s’inicia des de darrere del CGNAT, el NAT de l’operador la permet de bon grat — de la mateixa manera que el teu navegador abasta qualsevol lloc web. Un cop establert aquest túnel, abastes el router de tornada a través seu. Hi ha quatre maneres habituals de construir-ho, cadascuna documentada a la seva pròpia guia:
Una VPN autoallotjada a un VPS és l’enfocament clàssic: un VPS Linux barat amb IP pública actua com a punt de trobada i cada MikroTik hi truca. WireGuard és l’opció moderna per defecte — ràpid, de baix consum de CPU i tolerant als canvis d’adreça que comporten el CGNAT i les IP dinàmiques. La guia més àmplia de gestió basada en VPS cobreix la mateixa idea amb altres tipus de túnel.
Una VPN mesh gestionada elimina la major part de la lampisteria manual. Tailscale i ZeroTier proporcionen tots dos un pla de control que s’encarrega de la travessia de NAT i de la distribució de claus per tu, de manera que un router darrere de CGNAT s’uneix a la xarxa amb gairebé cap configuració per dispositiu.
Una plataforma TR-069 / ACS és l’opció estàndard de les telecos quan operes a gran escala: el CPE obre una sessió de sortida cap a un servidor d’autoconfiguració, que llavors envia configuració i firmware. Està dissenyada expressament per gestionar dispositius d’abonat que viuen darrere del NAT d’operador.
Un núvol de gestió dissenyat a propòsit combina la idea del túnel de sortida amb monitoratge i control d’accés en un sol lloc, que és el model que utilitza el NATCloud de MKController.
Consells
- L’IPv6 sovint esquiva el CGNAT del tot. Si el teu ISP assigna un prefix IPv6 encaminable, potser pots abastar el router per IPv6 fins i tot mentre l’IPv4 queda atrapat darrere del NAT d’operador — però només si cada salt del teu camí de gestió també té IPv6.
- Estableix sempre un keepalive als túnels de sortida (per exemple
persistent-keepalive=25a WireGuard) perquè l’operador no descarti silenciosament l’assignació NAT inactiva. - Alguns ISP venen una adreça IPv4 estàtica o pública com a complement de pagament. Per a un únic emplaçament crític pot ser més simple que un túnel; per a una flota no escala en cost.
- No exposis mai Winbox, WebFig ni SSH directament a internet com a “solució provisional”. Darrere de CGNAT no funcionaria igualment, i en una IP pública real és una invitació permanent als atacants.
Preguntes freqüents
Un servei de DNS dinàmic soluciona el CGNAT? No. El DNS dinàmic només actualitza un nom de host perquè apunti a la IP pública que tinguis. Darrere de CGNAT aquesta IP pública pertany a l’operador i és compartida, de manera que el nom de host no pot abastar el teu router.
El CGNAT és el mateix que el NAT del meu propi router? No. El NAT del teu router tradueix la teva LAN privada a la teva adreça WAN, i tu controles les seves regles de reenviament de ports. El CGNAT afegeix un segon NAT dins de l’ISP que no controles, i per això es trenca el reenviament entrant.
Puc demanar simplement a l’ISP que el desactivi? De vegades. Molts proveïdors ofereixen una adreça IPv4 pública o estàtica per una tarifa o sota petició. La disponibilitat i el preu varien molt segons l’operador i la regió.
Fes el següent pas
Construir el teu propi túnel per a un router és senzill. Fer-ho a través de desenes o centenars de MikroTiks — cadascun darrere d’un operador CGNAT diferent, amb claus per rotar i configuracions de VPS per vigilar — és on s’acumula el cost operatiu.
El NATCloud de MKController està fet exactament per a això. Cada MikroTik es connecta en línia mitjançant un túnel de sortida cap al pla de control, sense IP pública, sense reenviament de ports i sense necessitat d’edicions de VPS per dispositiu. Obtens monitoratge centralitzat i accés remot segur a cada router, fins i tot els que estan enterrats ben endins darrere del NAT d’operador.