Remote Access
Vzdálený přístup k MikroTiku za CGNAT
Zjistěte, co je CGNAT, proč blokuje příchozí přístup k routerům MikroTik a jak svou flotilu spravovat na dálku pomocí odchozích tunelů.
Shrnutí CGNAT (Carrier-Grade NAT) umožňuje poskytovateli sdílet jednu veřejnou IPv4 adresu mezi mnoho účastníků, což šetří vzácné adresy, ale láme příchozí spojení — proto přesměrování portů na router MikroTik za ním jednoduše nefunguje. Protože router nemá dosažitelnou veřejnou adresu, spolehlivým řešením je obrátit směr: nechat router volat ven do místa setkání, které ovládáte. Tento průvodce vysvětluje, co je CGNAT, jak ho rozpoznat a jak spravovat routery MikroTik za ním pomocí odchozích tunelů.
Co je CGNAT?
CGNAT je druhá vrstva překladu síťových adres běžící uvnitř sítě poskytovatele, která mapuje mnoho zákazníků na malou skupinu sdílených veřejných IPv4 adres a obvykle každému účastníkovi přiděluje privátní adresu z operátorského rozsahu 100.64.0.0/10 místo skutečné veřejné IP. Existuje proto, že světu došly volné IPv4 bloky už před lety: místo nákupu stále dražších adres dnes většina poskytovatelů pevného bezdrátu, mobilního, optického a satelitního připojení umisťuje účastníky za sdílenou bránu. Váš MikroTik stále má přístup k internetu a může běžně iniciovat odchozí spojení — ale z pohledu veřejného internetu váš router nemá vlastní adresu. (Carrier-grade NAT — Wikipedia)
Jak CGNAT láme příchozí přístup k MikroTiku?
Běžné přesměrování portů předpokládá, že vaše rozhraní WAN drží veřejnou IP, kterou zbytek internetu může dosáhnout. Pod CGNAT tento předpoklad selhává hned dvakrát. Zaprvé je vaše WAN adresa privátní (často 100.64.x.x), takže přesměrovaný port na vašem MikroTiku míří na adresu, kterou nikdo mimo operátora nedokáže směrovat. Zadruhé skutečná veřejná IP sídlí na hlavním NAT zařízení poskytovatele, které je sdílené s desítkami dalších účastníků a libovolný příchozí port vám nepřesměruje — neovládáte ho. (Open Port Checkers — Proč přesměrování portů selhává s CGNAT)
Praktický důsledek pro každého, kdo provozuje flotilu routerů, je závažný: nemůžete se z kanceláře dostat do zákazníkova MikroTiku přes Winbox, WebFig, SSH ani API, protože k němu nevede žádná příchozí cesta. Nepomůže ani dynamický DNS hostname — přeložil by se na sdílenou IP operátora, ne na váš router. Je to tatáž zeď, na kterou narážejí uživatelé Starlinku, kterou podrobně rozebíráme v naší případové studii změn IP u Starlinku.
Jak poznáte, že je MikroTik za CGNAT?
Zkontrolujte adresu na rozhraní WAN a porovnejte ji s veřejnou IP, kterou spojení skutečně ukazuje internetu. V terminálu Winbox nebo WebFig:
/ip address printPokud rozhraní WAN drží adresu v rozsahu 100.64.0.0 – 100.127.255.255 (sdílený rozsah 100.64.0.0/10), 10.0.0.0/8 nebo jiný privátní rozsah RFC1918, jste téměř jistě za CGNAT. Potvrďte to porovnáním této adresy s tím, co hlásí externí služba „what is my IP“: pokud se liší, sedí mezi vámi a internetem operátorský NAT. Traceroute, který ukazuje jeden či více privátních skoků před prvním veřejným skokem, je dalším silným signálem. (oneuptime — Jak zjistit, zda jste za CGNAT)
Jak spravovat routery MikroTik za CGNAT?
Trvalým řešením je přestat se snažit připojovat dovnitř a místo toho nechat router připojit se ven do místa setkání se stabilní veřejnou adresou. Protože odchozí spojení je iniciováno zpoza CGNAT, operátorův NAT ho ochotně povolí — stejně jako váš prohlížeč dosáhne jakékoli webové stránky. Jakmile je tunel ustaven, dostanete se zpět k routeru přes něj. Existují čtyři běžné způsoby, jak ho postavit, každý zdokumentovaný ve vlastním průvodci:
Vlastně hostovaná VPN na VPS je klasický přístup: levný linuxový VPS s veřejnou IP funguje jako místo setkání a každý MikroTik se k němu připojuje. WireGuard je moderní výchozí volba — rychlý, nenáročný na CPU a odolný vůči změnám adres, které přicházejí s CGNAT a dynamickými IP. Širší průvodce správa založená na VPS pokrývá tutéž myšlenku s jinými typy tunelů.
Spravovaná mesh VPN odstraňuje většinu ruční instalatérské práce. Tailscale i ZeroTier poskytují řídicí rovinu, která za vás obstarává průchod NATem a distribuci klíčů, takže router za CGNAT se připojí k síti s téměř nulovou konfigurací na zařízení.
Platforma TR-069 / ACS je telekomunikační standardní volba, když pracujete ve velkém měřítku: CPE otevře odchozí relaci k autokonfiguračnímu serveru, který pak posílá konfiguraci a firmware. Je účelově navržená pro správu účastnických zařízení žijících za operátorským NATem.
Účelově postavený cloud pro správu kombinuje myšlenku odchozího tunelu s monitoringem a řízením přístupu na jednom místě, což je model, který používá NATCloud od MKController.
Tipy
- IPv6 často CGNAT zcela obchází. Pokud vám poskytovatel přidělí směrovatelnou IPv6 předponu, můžete být schopni dosáhnout routeru přes IPv6, i když je IPv4 uvězněna za operátorským NATem — ale jen pokud každý skok na vaší cestě správy má rovněž IPv6.
- Na odchozích tunelech vždy nastavte keepalive (například
persistent-keepalive=25u WireGuardu), aby operátor tiše nezahodil nečinné NAT mapování. - Někteří poskytovatelé prodávají statickou nebo veřejnou IPv4 adresu jako placený doplněk. Pro jediné kritické pracoviště to může být jednodušší než tunel; pro flotilu se to nákladově neškáluje.
- Nikdy nevystavujte Winbox, WebFig ani SSH přímo internetu jako „náhradní řešení“. Za CGNAT by to stejně nefungovalo a na skutečné veřejné IP je to stálé pozvání pro útočníky.
Časté dotazy
Vyřeší dynamická DNS služba CGNAT? Ne. Dynamická DNS jen aktualizuje hostname tak, aby ukazoval na jakoukoli veřejnou IP, kterou máte. Za CGNAT tato veřejná IP patří operátorovi a je sdílená, takže hostname nemůže dosáhnout vašeho routeru.
Je CGNAT totéž co NAT na mém vlastním routeru? Ne. NAT vašeho routeru překládá vaši privátní LAN na vaši WAN adresu a vy ovládáte jeho pravidla přesměrování portů. CGNAT přidává druhý NAT uvnitř poskytovatele, který neovládáte, a proto se příchozí přesměrování láme.
Můžu prostě požádat poskytovatele, aby ho vypnul? Někdy. Mnoho poskytovatelů nabízí veřejnou nebo statickou IPv4 adresu za poplatek nebo na požádání. Dostupnost a cena se výrazně liší podle operátora a regionu.
Udělejte další krok
Postavit si vlastní tunel pro jeden router je přímočaré. Udělat to napříč desítkami nebo stovkami MikroTiků — každý za jiným CGNAT operátorem, s klíči k rotaci a VPS konfiguracemi k hlídání — je místo, kde se provozní náklady kupí.
NATCloud od MKController je postaven přesně pro tohle. Každý MikroTik se připojí online přes odchozí tunel k řídicí rovině, bez veřejné IP, bez přesměrování portů a bez nutnosti úprav VPS na zařízení. Získáte centralizovaný monitoring a zabezpečený vzdálený přístup ke každému routeru, i k těm zahrabaným hluboko za operátorským NATem.