Skip to content
InstagramYouTubeFacebook

Remote Access

MikroTikin etähallinta CGNATin takana

Opi mikä CGNAT on, miksi se estää saapuvan pääsyn MikroTik-reitittimiin ja kuinka hallita laitekantaasi etänä lähtevillä tunneleilla.

Yhteenveto CGNAT (Carrier-Grade NAT) antaa operaattorin jakaa yhden julkisen IPv4-osoitteen monen tilaajan kesken, mikä säästää niukkoja osoitteita mutta rikkoo saapuvat yhteydet — joten porttiohjaus sen takana olevaan MikroTik-reitittimeen ei yksinkertaisesti toimi. Koska reitittimellä ei ole tavoitettavaa julkista osoitetta, luotettava korjaus on suunnan kääntäminen: anna reitittimen soittaa ulospäin hallitsemaasi kohtaamispisteeseen. Tämä opas selittää mikä CGNAT on, kuinka se tunnistetaan ja kuinka sen takana olevia MikroTik-reitittimiä hallitaan lähtevillä tunneleilla.

Mikä CGNAT on?

CGNAT on toinen verkko-osoitteen muunnoskerros, joka toimii operaattorin verkon sisällä ja kuvaa monta asiakasta pieneen joukkoon jaettuja julkisia IPv4-osoitteita, antaen tyypillisesti jokaiselle tilaajalle yksityisen osoitteen operaattorialueesta 100.64.0.0/10 oikean julkisen IP:n sijaan. Se on olemassa, koska maailmasta loppuivat vapaat IPv4-lohkot vuosia sitten: sen sijaan että ostettaisiin yhä kalliimpia osoitteita, useimmat kiinteät langattomat, mobiili-, valokuitu- ja satelliittioperaattorit sijoittavat nyt tilaajat jaetun yhdyskäytävän taakse. MikroTikisi saa edelleen internetyhteyden ja voi muodostaa lähteviä yhteyksiä normaalisti — mutta julkisen internetin näkökulmasta reitittimelläsi ei ole omaa osoitetta. (Carrier-grade NAT — Wikipedia)

Kuinka CGNAT rikkoo saapuvan pääsyn MikroTikiin?

Tavallinen porttiohjaus olettaa, että WAN-liitäntäsi pitää julkista IP:tä, jonka muu internet voi tavoittaa. CGNATin alla tämä oletus epäonnistuu kahdesti. Ensinnäkin WAN-osoitteesi on yksityinen (usein 100.64.x.x), joten MikroTikiisi ohjattu portti osoittaa osoitteeseen, jota kukaan operaattorin ulkopuolella ei voi reitittää. Toiseksi oikea julkinen IP sijaitsee operaattorin pää-NAT-laitteessa, joka on jaettu kymmenien muiden tilaajien kanssa eikä ohjaa sinulle mielivaltaista saapuvaa porttia — et hallitse sitä. (Open Port Checkers — Miksi porttiohjaus epäonnistuu CGNATin kanssa)

Käytännön seuraus jokaiselle, joka hallitsee reititinkantaa, on vakava: et voi käyttää Winboxia, WebFigiä, SSH:ta tai APIa asiakkaan MikroTikiin toimistolta, koska sinne ei ole saapuvaa reittiä. Dynaaminen DNS-isäntänimi ei myöskään auta — se ratkeaisi jaettuun operaattorin IP:hen, ei reitittimeesi. Tämä on sama seinä, johon Starlink-käyttäjät törmäävät, mitä käsittelemme yksityiskohtaisesti Starlinkin IP-muutosten tapaustutkimuksessamme.

Kuinka tunnistaa, onko MikroTik CGNATin takana?

Tarkista WAN-liitännän osoite ja vertaa sitä julkiseen IP:hen, jonka yhteys todella näyttää internetille. Winbox- tai WebFig-terminaalissa:

/ip address print

Jos WAN-liitäntä pitää osoitetta välillä 100.64.0.0100.127.255.255 (jaettu alue 100.64.0.0/10), 10.0.0.0/8 tai jollain muulla RFC1918-yksityisalueella, olet lähes varmasti CGNATin takana. Vahvista vertaamalla tuota osoitetta siihen, mitä ulkoinen “what is my IP” -palvelu raportoi: jos ne eroavat, operaattorin NAT sijaitsee sinun ja internetin välissä. Traceroute, joka näyttää yhden tai useamman yksityisen hypyn ennen ensimmäistä julkista hyppyä, on toinen vahva merkki. (oneuptime — Kuinka tunnistaa, oletko CGNATin takana)

Kuinka hallita CGNATin takana olevia MikroTik-reitittimiä?

Kestävä korjaus on lopettaa yrittäminen yhdistää sisään ja antaa sen sijaan reitittimen yhdistää ulos kohtaamispisteeseen, jolla on vakaa julkinen osoite. Koska lähtevä yhteys muodostetaan CGNATin takaa, operaattorin NAT sallii sen mielellään — samalla tavoin kuin selaimesi tavoittaa minkä tahansa verkkosivuston. Kun tunneli on muodostettu, tavoitat reitittimen takaisin sen kautta. Tämän rakentamiseen on neljä yleistä tapaa, kukin omassa oppaassaan dokumentoituna:

Itse isännöity VPN VPS:lle on klassinen lähestymistapa: halpa julkisella IP:llä varustettu Linux-VPS toimii kohtaamispaikkana, ja jokainen MikroTik soittaa sisään. WireGuard on moderni oletus — nopea, vähän CPU:ta kuluttava ja sietää CGNATin ja dynaamisten IP:iden mukanaan tuomia osoitemuutoksia. Laajempi VPS-pohjaisen hallinnan opas käsittelee samaa ideaa muilla tunnelityypeillä.

Hallittu mesh-VPN poistaa suurimman osan manuaalisesta putkistosta. Tailscale ja ZeroTier tarjoavat molemmat hallintatason, joka hoitaa NATin läpäisyn ja avainten jakelun puolestasi, joten CGNATin takana oleva reititin liittyy verkkoon lähes ilman laitekohtaista määritystä.

TR-069 / ACS -alusta on teleoperaattorin standardivalinta, kun toimit suuressa mittakaavassa: CPE avaa lähtevän istunnon automaattimääritysserveriin, joka sitten työntää määrityksen ja laiteohjelmiston. Tämä on suunniteltu nimenomaan operaattorin NATin takana elävien tilaajalaitteiden hallintaan.

Tarkoitukseen rakennettu hallintapilvi yhdistää lähtevän tunnelin idean valvontaan ja pääsynhallintaan yhdessä paikassa, mikä on malli, jota MKControllerin NATCloud käyttää.

Vinkkejä

  • IPv6 ohittaa usein CGNATin kokonaan. Jos operaattorisi määrittää reititettävän IPv6-etuliitteen, saatat tavoittaa reitittimen IPv6:n kautta vaikka IPv4 olisi loukussa operaattorin NATin takana — mutta vain jos jokainen hyppy hallintapolullasi tukee myös IPv6:ta.
  • Aseta lähteville tunneleille aina keepalive (esimerkiksi persistent-keepalive=25 WireGuardissa), jotta operaattori ei hiljaa pudota joutilasta NAT-kuvausta.
  • Jotkin operaattorit myyvät staattisen tai julkisen IPv4-osoitteen maksullisena lisänä. Yhdelle kriittiselle sijainnille se voi olla yksinkertaisempi kuin tunneli; laitekannalle se ei skaalaudu kustannusten osalta.
  • Älä koskaan paljasta Winboxia, WebFigiä tai SSH:ta suoraan internetille “kiertotienä”. CGNATin takana se ei kuitenkaan toimisi, ja oikealla julkisella IP:llä se on jatkuva kutsu hyökkääjille.

UKK

Korjaako dynaaminen DNS-palvelu CGNATin? Ei. Dynaaminen DNS vain päivittää isäntänimen osoittamaan mihin tahansa julkiseen IP:hen, joka sinulla on. CGNATin takana tuo julkinen IP kuuluu operaattorille ja on jaettu, joten isäntänimi ei voi tavoittaa reitintäsi.

Onko CGNAT sama kuin oman reitittimeni NAT? Ei. Reitittimesi NAT muuntaa yksityisen LANisi WAN-osoitteeksi, ja sinä hallitset sen porttiohjaussääntöjä. CGNAT lisää toisen NATin operaattorin sisään, jota et hallitse, minkä vuoksi saapuva ohjaus rikkoutuu.

Voinko vain pyytää operaattoriani sammuttamaan sen? Joskus. Monet operaattorit tarjoavat julkisen tai staattisen IPv4-osoitteen maksusta tai pyynnöstä. Saatavuus ja hinta vaihtelevat suuresti operaattorin ja alueen mukaan.

Ota seuraava askel

Oman tunnelin rakentaminen yhdelle reitittimelle on suoraviivaista. Sen tekeminen kymmenien tai satojen MikroTikien yli — kukin eri CGNAT-operaattorin takana, avaimineen kierrätettävänä ja VPS-määrityksineen vahdittavana — on kohta, jossa operatiiviset kustannukset kasaantuvat.

MKControllerin NATCloud on rakennettu juuri tähän. Jokainen MikroTik tulee verkkoon lähtevän tunnelin kautta hallintatasolle, ilman julkista IP:tä, ilman porttiohjausta ja ilman laitekohtaisia VPS-muokkauksia. Saat keskitetyn valvonnan ja turvallisen etäkäytön jokaiseen reitittimeen, jopa niihin, jotka ovat syvällä operaattorin NATin takana.

Aloita ilmainen MKController-kokeilu