Gå til indhold
InstagramYouTubeFacebook

Remote Access

MikroTik-fjernadgang bag CGNAT

Lær hvad CGNAT er, hvorfor det blokerer indgående adgang til MikroTik-routere, og hvordan du fjernstyrer din flåde med udgående tunneler.

Resumé CGNAT (Carrier-Grade NAT) lader en internetudbyder dele én offentlig IPv4-adresse mellem mange abonnenter, hvilket sparer på de knappe adresser, men bryder indgående forbindelser — så port forwarding til en MikroTik-router bag det virker simpelthen ikke. Da routeren ikke har en offentlig adresse, der kan nås, er den pålidelige løsning at vende retningen om: lad routeren ringe ud til et mødested, som du kontrollerer. Denne guide forklarer, hvad CGNAT er, hvordan du opdager det, og hvordan du administrerer MikroTik-routere bag det med udgående tunneler.

Hvad er CGNAT?

CGNAT er et andet lag netværksadresseoversættelse, der kører inde i udbyderens netværk og afbilder mange kunder på en lille pulje af delte offentlige IPv4-adresser, idet hver abonnent typisk får en privat adresse fra udbyderintervallet 100.64.0.0/10 i stedet for en rigtig offentlig IP. Det findes, fordi verden løb tør for ledige IPv4-blokke for år tilbage: i stedet for at købe stadigt dyrere adresser placerer de fleste udbydere af fast trådløst, mobilt, fiber og satellit nu abonnenter bag en delt gateway. Din MikroTik får stadig internetadgang og kan starte udgående forbindelser normalt — men set fra det offentlige internet har din router ikke sin egen adresse. (Carrier-grade NAT — Wikipedia)

Hvordan bryder CGNAT indgående adgang til en MikroTik?

Normal port forwarding antager, at din WAN-grænseflade har en offentlig IP, som resten af internettet kan nå. Under CGNAT fejler den antagelse dobbelt. For det første er din WAN-adresse privat (ofte 100.64.x.x), så en videresendt port på din MikroTik peger på en adresse, som ingen uden for udbyderen kan rute til. For det andet sidder den rigtige offentlige IP på udbyderens master-NAT-enhed, som deles med snesevis af andre abonnenter og ikke vil videresende en vilkårlig indgående port til dig — du kontrollerer den ikke. (Open Port Checkers — Hvorfor port forwarding fejler med CGNAT)

Den praktiske konsekvens for enhver, der driver en flåde af routere, er alvorlig: du kan ikke Winboxe, WebFigge, SSH’e eller API’e ind i en kundes MikroTik fra kontoret, fordi der ikke er nogen indgående vej til den. Et dynamisk DNS-værtsnavn hjælper heller ikke — det ville pege på den delte udbyder-IP, ikke på din router. Det er den samme mur, Starlink-brugere render ind i, hvilket vi dækker i detaljer i vores casestudie om Starlinks IP-ændringer.

Hvordan ser du, om en MikroTik er bag CGNAT?

Tjek adressen på WAN-grænsefladen, og sammenlign den med den offentlige IP, som forbindelsen faktisk viser til internettet. I en Winbox- eller WebFig-terminal:

/ip address print

Hvis WAN-grænsefladen har en adresse inden for 100.64.0.0100.127.255.255 (det delte interval 100.64.0.0/10), 10.0.0.0/8 eller et andet privat RFC1918-interval, er du næsten med sikkerhed bag CGNAT. Bekræft det ved at sammenligne den adresse med, hvad en ekstern “what is my IP”-tjeneste rapporterer: hvis de afviger, sidder en udbyder-NAT mellem dig og internettet. En traceroute, der viser et eller flere private hop før det første offentlige hop, er endnu et stærkt signal. (oneuptime — Sådan opdager du, om du er bag CGNAT)

Hvordan administrerer du MikroTik-routere bag CGNAT?

Den holdbare løsning er at holde op med at prøve at forbinde ind og i stedet lade routeren forbinde ud til et mødested med en stabil offentlig adresse. Da den udgående forbindelse startes bag CGNAT, tillader udbyderens NAT den gladelig — på samme måde som din browser når enhver hjemmeside. Når den tunnel er etableret, når du routeren tilbage gennem den. Der er fire almindelige måder at bygge dette på, hver dokumenteret i sin egen guide:

En selvhostet VPN til en VPS er den klassiske tilgang: en billig Linux-VPS med en offentlig IP fungerer som mødested, og hver MikroTik ringer ind. WireGuard er den moderne standard — hurtig, lav-CPU og tolerant over for de adresseændringer, der følger med CGNAT og dynamiske IP’er. Den bredere guide om VPS-baseret administration dækker samme idé med andre tunneltyper.

En administreret mesh-VPN fjerner det meste af det manuelle blikkenslagerarbejde. Tailscale og ZeroTier leverer begge et kontrolplan, der håndterer NAT-traversering og nøglefordeling for dig, så en router bag CGNAT slutter sig til netværket med næsten ingen konfiguration pr. enhed.

En TR-069 / ACS-platform er telco-standardvalget, når du opererer i stor skala: CPE’en åbner en udgående session til en auto-konfigurationsserver, som derefter sender konfiguration og firmware. Det er specialbygget til at administrere abonnentenheder, der lever bag udbyder-NAT.

En formålsbygget administrationssky kombinerer idéen om den udgående tunnel med overvågning og adgangskontrol ét sted, hvilket er den model, MKControllers NATCloud bruger.

Tips

  • IPv6 omgår ofte CGNAT helt. Hvis din udbyder tildeler et rutbart IPv6-præfiks, kan du muligvis nå routeren over IPv6, selv mens IPv4 er fanget bag udbyder-NAT — men kun hvis hvert hop i din administrationssti også har IPv6.
  • Sæt altid en keepalive på udgående tunneler (for eksempel persistent-keepalive=25 på WireGuard), så udbyderen ikke stille dropper den inaktive NAT-afbildning.
  • Nogle udbydere sælger en statisk eller offentlig IPv4-adresse som et betalt tilvalg. For en enkelt kritisk lokation kan det være enklere end en tunnel; for en flåde skalerer det ikke på pris.
  • Eksponer aldrig Winbox, WebFig eller SSH direkte til internettet som en “løsning”. Bag CGNAT ville det alligevel ikke virke, og på en rigtig offentlig IP er det en stående invitation til angribere.

Ofte stillede spørgsmål

Løser en dynamisk DNS-tjeneste CGNAT? Nej. Dynamisk DNS opdaterer kun et værtsnavn til at pege på den offentlige IP, du har. Bag CGNAT tilhører den offentlige IP udbyderen og er delt, så værtsnavnet kan ikke nå din router.

Er CGNAT det samme som NAT på min egen router? Nej. Din routers NAT oversætter dit private LAN til din WAN-adresse, og du kontrollerer dens port-forward-regler. CGNAT tilføjer en anden NAT inde i udbyderen, som du ikke kontrollerer, og derfor bryder indgående videresendelse.

Kan jeg bare bede min udbyder slå det fra? Nogle gange. Mange udbydere tilbyder en offentlig eller statisk IPv4-adresse mod et gebyr eller på anmodning. Tilgængelighed og pris varierer meget efter udbyder og region.

Tag det næste skridt

At bygge din egen tunnel til én router er ligetil. At gøre det på tværs af snesevis eller hundredvis af MikroTiks — hver bag en forskellig CGNAT-udbyder, med nøgler at rotere og VPS-konfigurationer at passe — er der, hvor de driftsmæssige omkostninger hober sig op.

MKControllers NATCloud er bygget præcis til dette. Hver MikroTik kommer online over en udgående tunnel til kontrolplanet, uden offentlig IP, uden port forwarding og uden VPS-redigeringer pr. enhed. Du får centraliseret overvågning og sikker fjernadgang til hver eneste router, selv dem begravet dybt bag udbyder-NAT.

Start din gratis MKController-prøveperiode