Skip to content
InstagramYouTubeFacebook

Remote Access

MikroTik kaughaldus CGNAT taga

Õpi, mis on CGNAT, miks see blokeerib sissetuleva juurdepääsu MikroTik ruuteritele ja kuidas hallata oma parki kaugjuhtimisega väljuvate tunnelite kaudu.

Kokkuvõte CGNAT (Carrier-Grade NAT) võimaldab internetiteenuse pakkujal jagada üht avalikku IPv4-aadressi paljude abonentide vahel, mis säästab nappe aadresse, kuid katkestab sissetulevad ühendused — seega portide suunamine selle taga oleva MikroTik ruuterini lihtsalt ei tööta. Kuna ruuteril pole kättesaadavat avalikku aadressi, on usaldusväärne lahendus suuna ümberpööramine: lasta ruuteril helistada välja sinu kontrollitud kohtumispunkti. See juhend selgitab, mis on CGNAT, kuidas seda tuvastada ja kuidas hallata selle taga olevaid MikroTik ruutereid väljuvate tunnelite abil.

Mis on CGNAT?

CGNAT on teine võrguaadressi tõlke kiht, mis töötab internetiteenuse pakkuja võrgus ja kaardistab palju kliente väikesele jagatud avalike IPv4-aadresside kogumile, andes tavaliselt igale abonendile privaataadressi operaatori vahemikust 100.64.0.0/10 reaalse avaliku IP asemel. See eksisteerib, sest maailmas said vabad IPv4-plokid aastaid tagasi otsa: selle asemel et osta üha kallimaid aadresse, paigutavad enamik fikseeritud traadita, mobiili-, kiudoptiliste ja satelliitteenuse pakkujaid nüüd abonendid jagatud lüüsi taha. Sinu MikroTik saab endiselt internetiühenduse ja saab tavapäraselt algatada väljuvaid ühendusi — kuid avaliku interneti vaatenurgast pole sinu ruuteril oma aadressi. (Carrier-grade NAT — Wikipedia)

Kuidas CGNAT katkestab sissetuleva juurdepääsu MikroTikule?

Tavaline portide suunamine eeldab, et sinu WAN-liides hoiab avalikku IP-d, milleni ülejäänud internet saab jõuda. CGNAT-i all see eeldus ebaõnnestub kahekordselt. Esiteks on sinu WAN-aadress privaatne (sageli 100.64.x.x), seega suunatud port sinu MikroTikus osutab aadressile, mille suunamiseks pole kellelgi väljaspool operaatorit teed. Teiseks asub reaalne avalik IP internetiteenuse pakkuja peamisel NAT-seadmel, mida jagatakse kümnete teiste abonentidega ja mis ei suuna suvalist sissetulevat porti sinuni — sa ei kontrolli seda. (Open Port Checkers — Miks portide suunamine CGNAT-iga ebaõnnestub)

Praktiline tagajärg igaühele, kes haldab ruuteripark, on tõsine: sa ei saa kontorist Winbox, WebFig, SSH ega API kaudu kliendi MikroTikusse pääseda, sest sinna pole sissetulevat teed. Dünaamilise DNS-i hostinimi samuti ei aita — see lahendaks jagatud operaatori IP-le, mitte sinu ruuterile. See on sama sein, mida tabavad Starlink kasutajad, mida käsitleme üksikasjalikult oma Starlink IP muutuste juhtumianalüüsis.

Kuidas teha kindlaks, kas MikroTik on CGNAT taga?

Kontrolli WAN-liidese aadressi ja võrdle seda avaliku IP-ga, mida ühendus tegelikult internetile näitab. Winboxi või WebFigi terminalis:

/ip address print

Kui WAN-liides hoiab aadressi vahemikus 100.64.0.0100.127.255.255 (jagatud vahemik 100.64.0.0/10), 10.0.0.0/8 või mõnes muus RFC1918 privaatvahemikus, oled peaaegu kindlasti CGNAT taga. Kinnita seda, võrreldes seda aadressi sellega, mida raporteerib väline “what is my IP” teenus: kui need erinevad, asub sinu ja interneti vahel operaatori NAT. Traceroute, mis näitab ühte või mitut privaathüppet enne esimest avalikku hüpet, on samuti tugev signaal. (oneuptime — Kuidas tuvastada, kas oled CGNAT taga)

Kuidas hallata CGNAT taga olevaid MikroTik ruutereid?

Püsiv lahendus on lõpetada katsed ühenduda sisse ja lasta ruuteril selle asemel ühenduda välja kohtumispunkti, millel on stabiilne avalik aadress. Kuna väljuv ühendus algatatakse CGNAT-i tagant, lubab operaatori NAT seda heameelega — samamoodi nagu sinu brauser jõuab mis tahes veebisaidile. Kui see tunnel on loodud, jõuad ruuterini selle kaudu tagasi. Selle ehitamiseks on neli levinud viisi, igaüks oma juhendis dokumenteeritud:

Iseseisvalt majutatud VPN VPS-ile on klassikaline lähenemine: odav avaliku IP-ga Linuxi VPS toimib kohtumiskohana ja iga MikroTik helistab sisse. WireGuard on kaasaegne vaikevalik — kiire, väikese CPU-kasutusega ja taluv aadressimuutuste suhtes, mis kaasnevad CGNAT-i ja dünaamiliste IP-dega. Laiem VPS-põhise halduse juhend käsitleb sama ideed muude tunnelitüüpidega.

Hallatud mesh-VPN eemaldab suurema osa käsitsi torustikust. Tailscale ja ZeroTier pakuvad mõlemad juhttasandit, mis tegeleb sinu eest NAT-i läbimise ja võtmete jaotamisega, nii et CGNAT taga olev ruuter liitub võrguga peaaegu ilma seadmepõhise konfiguratsioonita.

TR-069 / ACS platvorm on telekomistandardi valik, kui töötad suures mahus: CPE avab väljuva seansi automaatkonfiguratsiooni serverile, mis seejärel lükkab edasi konfiguratsiooni ja püsivara. See on spetsiaalselt loodud operaatori NAT-i taga elavate abonentide seadmete haldamiseks.

Spetsiaalselt loodud halduspilv ühendab väljuva tunneli idee monitooringu ja juurdepääsu kontrolliga ühes kohas, mis on mudel, mida kasutab MKController NATCloud.

Nõuanded

  • IPv6 läheb sageli CGNAT-ist täielikult mööda. Kui sinu internetiteenuse pakkuja määrab marsruuditava IPv6-prefiksi, võid sa pääseda ruuterile IPv6 kaudu isegi siis, kui IPv4 on operaatori NAT-i taga lõksus — kuid ainult juhul, kui ka iga hüpe sinu haldusteel toetab IPv6.
  • Sea väljuvatele tunnelitele alati keepalive (näiteks persistent-keepalive=25 WireGuardis), et operaator ei viskaks vaikselt jõude NAT-kaardistust maha.
  • Mõned internetiteenuse pakkujad müüvad staatilist või avalikku IPv4-aadressi tasulise lisana. Ühe kriitilise asukoha jaoks võib see olla lihtsam kui tunnel; pargi jaoks ei skaleeru see kulu poolest.
  • Ära kunagi paljasta Winboxi, WebFigi ega SSH-d otse internetile kui “lahendust”. CGNAT taga see niikuinii ei töötaks ja reaalsel avalikul IP-l on see püsiv kutse ründajatele.

KKK

Kas dünaamiline DNS-teenus lahendab CGNAT-i? Ei. Dünaamiline DNS ainult uuendab hostinime, et see osutaks sellele avalikule IP-le, mis sul on. CGNAT taga kuulub see avalik IP operaatorile ja on jagatud, seega hostinimi ei saa sinu ruuterini jõuda.

Kas CGNAT on sama mis NAT minu enda ruuteris? Ei. Sinu ruuteri NAT tõlgib su privaatset LAN-i su WAN-aadressiks ja sa kontrollid selle portide suunamise reegleid. CGNAT lisab teise NAT-i internetiteenuse pakkuja sisse, mida sa ei kontrolli, mistõttu sissetulev suunamine katkeb.

Kas ma saan lihtsalt paluda oma internetiteenuse pakkujal see välja lülitada? Mõnikord. Paljud pakkujad pakuvad avalikku või staatilist IPv4-aadressi tasu eest või soovi korral. Saadavus ja hind varieeruvad operaatori ja piirkonna lõikes oluliselt.

Tee järgmine samm

Ühele ruuterile oma tunneli ehitamine on lihtne. Selle tegemine kümnete või sadade MikroTikute lõikes — igaüks erineva CGNAT-operaatori taga, võtmetega, mida pöörata, ja VPS-konfiguratsioonidega, mille järele tuleb pidevalt vaadata — on koht, kus operatsioonikulu kuhjub.

MKController NATCloud on loodud just selleks. Iga MikroTik tuleb võrku väljuva tunneli kaudu juhttasandile, ilma avaliku IP-ta, ilma portide suunamiseta ja ilma seadmepõhiste VPS-muudatusteta. Saad tsentraliseeritud monitooringu ja turvalise kaugjuurdepääsu igale ruuterile, isegi neile, mis on sügaval operaatori NAT-i taga.

Alusta oma tasuta MKControlleri prooviperioodi