Remote Access
MikroTik-Fernzugriff hinter CGNAT
Erfahren Sie, was CGNAT ist, warum es eingehenden Zugriff auf MikroTik-Router blockiert und wie Sie Ihre Flotte per ausgehenden Tunneln verwalten.
Zusammenfassung CGNAT (Carrier-Grade NAT) erlaubt einem ISP, eine einzige öffentliche IPv4-Adresse auf viele Teilnehmer aufzuteilen, was knappe Adressen schont, aber eingehende Verbindungen unterbricht — Portweiterleitung zu einem MikroTik-Router dahinter funktioniert daher schlicht nicht. Da der Router keine erreichbare öffentliche Adresse hat, ist die zuverlässige Lösung, die Richtung umzukehren: Der Router wählt sich zu einem Treffpunkt aus, den Sie kontrollieren. Dieser Leitfaden erklärt, was CGNAT ist, wie man es erkennt und wie man MikroTik-Router dahinter mit ausgehenden Tunneln verwaltet.
Was ist CGNAT?
CGNAT ist eine zweite Schicht der Netzwerkadressübersetzung, die innerhalb des ISP-Netzes läuft und viele Kunden auf einen kleinen Pool gemeinsam genutzter öffentlicher IPv4-Adressen abbildet, wobei jeder Teilnehmer in der Regel eine private Adresse aus dem Carrier-Bereich 100.64.0.0/10 statt einer echten öffentlichen IP erhält. Es existiert, weil der Welt schon vor Jahren die freien IPv4-Blöcke ausgingen: Statt immer teurere Adressen zu kaufen, setzen die meisten Anbieter von festem Funk, Mobilfunk, Glasfaser und Satellit ihre Teilnehmer nun hinter ein gemeinsames Gateway. Ihr MikroTik erhält weiterhin Internetzugang und kann ausgehende Verbindungen normal aufbauen — aber aus Sicht des öffentlichen Internets hat Ihr Router keine eigene Adresse. (Carrier-grade NAT — Wikipedia)
Wie unterbricht CGNAT den eingehenden Zugriff auf einen MikroTik?
Normale Portweiterleitung setzt voraus, dass Ihre WAN-Schnittstelle eine öffentliche IP hält, die der Rest des Internets erreichen kann. Unter CGNAT scheitert diese Annahme gleich doppelt. Erstens ist Ihre WAN-Adresse privat (oft 100.64.x.x), sodass ein weitergeleiteter Port auf Ihrem MikroTik auf eine Adresse zeigt, die niemand außerhalb des Carriers routen kann. Zweitens liegt die echte öffentliche IP auf dem Master-NAT-Gerät des ISP, das mit Dutzenden anderer Teilnehmer geteilt wird und keinen beliebigen eingehenden Port an Sie weiterleitet — Sie kontrollieren es nicht. (Open Port Checkers — Why port forwarding fails with CGNAT)
Die praktische Folge für alle, die eine Flotte von Routern betreiben, ist gravierend: Sie können den MikroTik eines Kunden nicht per Winbox, WebFig, SSH oder API aus dem Büro erreichen, weil es keinen eingehenden Pfad dorthin gibt. Ein dynamischer DNS-Hostname hilft ebenfalls nicht — er würde auf die geteilte Carrier-IP auflösen, nicht auf Ihren Router. Das ist dieselbe Wand, an die Starlink-Nutzer stoßen, die wir ausführlich in unserer Fallstudie zu den Starlink-IP-Änderungen behandeln.
Wie erkennt man, ob ein MikroTik hinter CGNAT steckt?
Prüfen Sie die Adresse auf der WAN-Schnittstelle und vergleichen Sie sie mit der öffentlichen IP, die die Verbindung dem Internet tatsächlich zeigt. In einem Winbox- oder WebFig-Terminal:
/ip address printWenn die WAN-Schnittstelle eine Adresse innerhalb von 100.64.0.0 – 100.127.255.255 (dem geteilten Bereich 100.64.0.0/10), 10.0.0.0/8 oder einem anderen privaten RFC1918-Bereich hält, stecken Sie mit ziemlicher Sicherheit hinter CGNAT. Bestätigen Sie das, indem Sie diese Adresse mit dem vergleichen, was ein externer „what is my IP”-Dienst meldet: Unterscheiden sie sich, sitzt ein Carrier-NAT zwischen Ihnen und dem Internet. Ein Traceroute, der einen oder mehrere private Hops vor dem ersten öffentlichen Hop zeigt, ist ein weiteres starkes Signal. (oneuptime — How to detect if you are behind CGNAT)
Wie verwaltet man MikroTik-Router hinter CGNAT?
Die dauerhafte Lösung besteht darin, nicht mehr hinein verbinden zu wollen und stattdessen den Router heraus zu einem Treffpunkt mit stabiler öffentlicher Adresse verbinden zu lassen. Da die ausgehende Verbindung von hinter dem CGNAT aufgebaut wird, lässt das NAT des Carriers sie bereitwillig zu — genauso, wie Ihr Browser jede Website erreicht. Sobald dieser Tunnel steht, erreichen Sie den Router rückwärts durch ihn. Es gibt vier verbreitete Wege, das aufzubauen, jeder in seinem eigenen Leitfaden dokumentiert:
Ein selbst gehostetes VPN zu einem VPS ist der klassische Ansatz: Ein günstiger Linux-VPS mit öffentlicher IP dient als Treffpunkt, und jeder MikroTik wählt sich ein. WireGuard ist der moderne Standard — schnell, CPU-schonend und tolerant gegenüber den Adresswechseln, die mit CGNAT und dynamischen IPs einhergehen. Der breitere Leitfaden zur VPS-basierten Verwaltung deckt dieselbe Idee mit anderen Tunneltypen ab.
Ein verwaltetes Mesh-VPN nimmt Ihnen die meiste manuelle Klempnerei ab. Tailscale und ZeroTier bieten beide eine Steuerungsebene, die NAT-Traversal und Schlüsselverteilung für Sie übernimmt, sodass ein Router hinter CGNAT dem Netzwerk fast ohne Konfiguration pro Gerät beitritt.
Eine TR-069- / ACS-Plattform ist die Telco-Standardoption, wenn Sie im großen Maßstab arbeiten: Das CPE öffnet eine ausgehende Sitzung zu einem Auto-Configuration-Server, der dann Konfiguration und Firmware ausspielt. Das ist eigens dafür gebaut, Teilnehmergeräte zu verwalten, die hinter Carrier-NAT leben.
Eine eigens gebaute Management-Cloud verbindet die Idee des ausgehenden Tunnels mit Monitoring und Zugriffskontrolle an einem Ort — das ist das Modell, das MKControllers NATCloud nutzt.
Tipps
- IPv6 umgeht CGNAT oft vollständig. Wenn Ihr ISP ein routbares IPv6-Präfix zuweist, können Sie den Router womöglich über IPv6 erreichen, selbst während IPv4 hinter dem Carrier-NAT gefangen ist — aber nur, wenn auch jeder Hop in Ihrem Management-Pfad IPv6 hat.
- Setzen Sie auf ausgehenden Tunneln immer ein Keepalive (zum Beispiel
persistent-keepalive=25bei WireGuard), damit der Carrier das untätige NAT-Mapping nicht stillschweigend verwirft. - Manche ISPs verkaufen eine statische oder öffentliche IPv4-Adresse als kostenpflichtiges Add-on. Für einen einzelnen kritischen Standort kann das einfacher sein als ein Tunnel; für eine Flotte skaliert es preislich nicht.
- Stellen Sie Winbox, WebFig oder SSH niemals als „Workaround” direkt ins Internet. Hinter CGNAT würde es ohnehin nicht funktionieren, und auf einer echten öffentlichen IP ist es eine stehende Einladung an Angreifer.
FAQ
Behebt ein dynamischer DNS-Dienst CGNAT? Nein. Dynamisches DNS aktualisiert nur einen Hostnamen, damit er auf die öffentliche IP zeigt, die Sie gerade haben. Hinter CGNAT gehört diese öffentliche IP dem Carrier und ist geteilt, sodass der Hostname Ihren Router nicht erreichen kann.
Ist CGNAT dasselbe wie das NAT auf meinem eigenen Router? Nein. Das NAT Ihres Routers übersetzt Ihr privates LAN auf Ihre WAN-Adresse, und Sie steuern dessen Portweiterleitungsregeln. CGNAT fügt ein zweites NAT innerhalb des ISP hinzu, das Sie nicht steuern — deshalb bricht die eingehende Weiterleitung.
Kann ich meinen ISP einfach bitten, es abzuschalten? Manchmal. Viele Anbieter bieten eine öffentliche oder statische IPv4-Adresse gegen Gebühr oder auf Anfrage an. Verfügbarkeit und Preis variieren stark je nach Carrier und Region.
Machen Sie den nächsten Schritt
Den eigenen Tunnel für einen Router zu bauen, ist unkompliziert. Es über Dutzende oder Hunderte MikroTiks zu tun — jeder hinter einem anderen CGNAT-Carrier, mit zu rotierenden Schlüsseln und zu betreuenden VPS-Konfigurationen — da stapeln sich die Betriebskosten.
MKControllers NATCloud ist genau dafür gebaut. Jeder MikroTik kommt über einen ausgehenden Tunnel zur Steuerungsebene online, ganz ohne öffentliche IP, ohne Portweiterleitung und ohne VPS-Anpassungen pro Gerät. Sie erhalten zentrales Monitoring und sicheren Fernzugriff auf jeden Router, selbst auf die tief hinter dem Carrier-NAT vergrabenen.