Remote Access
ניהול MikroTik מרחוק מאחורי CGNAT
למדו מהו CGNAT, מדוע הוא חוסם גישה נכנסת לנתבי MikroTik, וכיצד לנהל את הצי שלכם מרחוק באמצעות מנהרות יוצאות.
תקציר CGNAT (Carrier-Grade NAT) מאפשר לספק האינטרנט לשתף כתובת IPv4 ציבורית אחת בין מנויים רבים, מה שחוסך כתובות נדירות אך שובר חיבורים נכנסים — כך שהפניית פורטים לנתב MikroTik שמאחוריו פשוט לא עובדת. מכיוון שלנתב אין כתובת ציבורית נגישה, התיקון האמין הוא להפוך את הכיוון: לגרום לנתב לחייג החוצה לנקודת מפגש שבשליטתכם. מדריך זה מסביר מהו CGNAT, כיצד לזהות אותו וכיצד לנהל נתבי MikroTik שמאחוריו באמצעות מנהרות יוצאות.
מהו CGNAT?
CGNAT הוא שכבה שנייה של תרגום כתובות רשת הפועלת בתוך רשת ספק האינטרנט, הממפה לקוחות רבים אל מאגר קטן של כתובות IPv4 ציבוריות משותפות, ובדרך כלל מקצה לכל מנוי כתובת פרטית מטווח המפעיל 100.64.0.0/10 במקום IP ציבורי אמיתי. הוא קיים מכיוון שהעולם מיצה את בלוקי ה-IPv4 הפנויים לפני שנים: במקום לקנות כתובות יקרות יותר ויותר, רוב ספקי האלחוט הקבוע, הסלולר, הסיב והלוויין ממקמים כיום מנויים מאחורי שער משותף. ה-MikroTik שלכם עדיין מקבל גישה לאינטרנט ויכול ליזום חיבורים יוצאים כרגיל — אך מנקודת מבטו של האינטרנט הציבורי, לנתב שלכם אין כתובת משלו. (Carrier-grade NAT — Wikipedia)
כיצד CGNAT שובר את הגישה הנכנסת ל-MikroTik?
הפניית פורטים רגילה מניחה שממשק ה-WAN שלכם מחזיק IP ציבורי שכל שאר האינטרנט יכול להגיע אליו. תחת CGNAT הנחה זו נכשלת פעמיים. ראשית, כתובת ה-WAN שלכם פרטית (לעיתים קרובות 100.64.x.x), כך שפורט שהופנה ב-MikroTik שלכם מצביע על כתובת שאיש מחוץ למפעיל אינו יכול לנתב אליה. שנית, ה-IP הציבורי האמיתי יושב על מכשיר ה-NAT הראשי של הספק, המשותף עם עשרות מנויים אחרים ולא יפנה אליכם פורט נכנס שרירותי — אינכם שולטים בו. (Open Port Checkers — מדוע הפניית פורטים נכשלת עם CGNAT)
ההשלכה המעשית עבור כל מי שמפעיל צי נתבים חמורה: אינכם יכולים להתחבר ב-Winbox, WebFig, SSH או API אל ה-MikroTik של לקוח מהמשרד, מכיוון שאין אליו נתיב נכנס. שם מארח DNS דינמי גם אינו עוזר — הוא יתורגם ל-IP המשותף של המפעיל, ולא לנתב שלכם. זהו אותו קיר שבו נתקלים משתמשי Starlink, שבו אנו עוסקים בפירוט במקרה הבוחן של שינויי IP ב-Starlink.
כיצד לדעת אם MikroTik נמצא מאחורי CGNAT?
בדקו את הכתובת בממשק ה-WAN והשוו אותה ל-IP הציבורי שהחיבור מציג בפועל לאינטרנט. במסוף Winbox או WebFig:
/ip address printאם ממשק ה-WAN מחזיק כתובת בטווח 100.64.0.0 – 100.127.255.255 (הטווח המשותף 100.64.0.0/10), 10.0.0.0/8, או טווח פרטי אחר של RFC1918, אתם כמעט בוודאות מאחורי CGNAT. אשרו זאת על ידי השוואת אותה כתובת למה ששירות חיצוני של “what is my IP” מדווח: אם הם שונים, NAT של המפעיל יושב בינכם לבין האינטרנט. traceroute המציג קפיצה פרטית אחת או יותר לפני הקפיצה הציבורית הראשונה הוא סימן חזק נוסף. (oneuptime — כיצד לזהות אם אתם מאחורי CGNAT)
כיצד לנהל נתבי MikroTik מאחורי CGNAT?
התיקון העמיד הוא להפסיק לנסות להתחבר פנימה ובמקום זאת לתת לנתב להתחבר החוצה לנקודת מפגש בעלת כתובת ציבורית יציבה. מכיוון שהחיבור היוצא יוזם מאחורי ה-CGNAT, ה-NAT של המפעיל מתיר אותו בשמחה — באותו אופן שבו הדפדפן שלכם מגיע לכל אתר. ברגע שהמנהרה הזו נוצרת, אתם מגיעים בחזרה לנתב דרכה. ישנן ארבע דרכים נפוצות לבנות זאת, כל אחת מתועדת במדריך משלה:
VPN באירוח עצמי ל-VPS היא הגישה הקלאסית: VPS לינוקס זול עם IP ציבורי משמש כנקודת המפגש, וכל MikroTik מחייג פנימה. WireGuard הוא ברירת המחדל המודרנית — מהיר, חסכוני במעבד וסובלני לשינויי הכתובות הנלווים ל-CGNAT ול-IP דינמיים. המדריך הרחב יותר על ניהול מבוסס VPS מכסה את אותו רעיון עם סוגי מנהרות אחרים.
mesh VPN מנוהל מסיר את רוב הצנרת הידנית. Tailscale ו-ZeroTier מספקים שניהם מישור בקרה שמטפל עבורכם בחציית NAT ובהפצת מפתחות, כך שנתב מאחורי CGNAT מצטרף לרשת כמעט ללא תצורה לכל מכשיר.
פלטפורמת TR-069 / ACS היא האפשרות הסטנדרטית בתעשיית התקשורת כשאתם פועלים בקנה מידה גדול: ה-CPE פותח הפעלה יוצאת אל שרת תצורה אוטומטית, אשר לאחר מכן דוחף תצורה וקושחה. זה נבנה במיוחד לניהול מכשירי מנויים החיים מאחורי NAT של המפעיל.
ענן ניהול ייעודי משלב את רעיון המנהרה היוצאת עם ניטור ובקרת גישה במקום אחד, וזה הדגם שבו משתמש NATCloud של MKController.
טיפים
- IPv6 לעיתים קרובות עוקף את CGNAT לחלוטין. אם ספק האינטרנט שלכם מקצה קידומת IPv6 שניתנת לניתוב, ייתכן שתוכלו להגיע לנתב דרך IPv6 גם כאשר IPv4 כלוא מאחורי NAT של המפעיל — אך רק אם לכל קפיצה בנתיב הניהול שלכם יש גם IPv6.
- הגדירו תמיד keepalive במנהרות יוצאות (לדוגמה
persistent-keepalive=25ב-WireGuard) כדי שהמפעיל לא ישמיט בשקט את מיפוי ה-NAT הלא פעיל. - חלק מספקי האינטרנט מוכרים כתובת IPv4 סטטית או ציבורית כתוספת בתשלום. עבור אתר קריטי בודד זה יכול להיות פשוט יותר ממנהרה; עבור צי זה אינו ניתן להרחבה מבחינת עלות.
- לעולם אל תחשפו את Winbox, WebFig או SSH ישירות לאינטרנט כ”פתרון עוקף”. מאחורי CGNAT זה ממילא לא יעבוד, ועל IP ציבורי אמיתי זוהי הזמנה קבועה לתוקפים.
שאלות נפוצות
האם שירות DNS דינמי מתקן את CGNAT? לא. DNS דינמי רק מעדכן שם מארח כך שיצביע על כל IP ציבורי שיש לכם. מאחורי CGNAT אותו IP ציבורי שייך למפעיל והוא משותף, כך ששם המארח אינו יכול להגיע לנתב שלכם.
האם CGNAT זהה ל-NAT שבנתב שלי? לא. ה-NAT של הנתב שלכם מתרגם את ה-LAN הפרטי שלכם לכתובת ה-WAN, ואתם שולטים בכללי הפניית הפורטים שלו. CGNAT מוסיף NAT שני בתוך ספק האינטרנט שאינכם שולטים בו, ולכן הפניה נכנסת נשברת.
האם אני יכול פשוט לבקש מספק האינטרנט לכבות אותו? לפעמים. ספקים רבים מציעים כתובת IPv4 ציבורית או סטטית בתשלום או לפי בקשה. הזמינות והמחיר משתנים מאוד לפי מפעיל ואזור.
עשו את הצעד הבא
בניית מנהרה משלכם עבור נתב אחד היא פשוטה. לעשות זאת על פני עשרות או מאות נתבי MikroTik — כל אחד מאחורי מפעיל CGNAT שונה, עם מפתחות לסבב ותצורות VPS לתחזק — היא המקום שבו העלות התפעולית מצטברת.
NATCloud של MKController נבנה בדיוק לשם כך. כל MikroTik עולה לרשת דרך מנהרה יוצאת אל מישור הבקרה, ללא IP ציבורי, ללא הפניית פורטים וללא צורך בעריכות VPS לכל מכשיר. אתם מקבלים ניטור מרכזי וגישה מרחוק מאובטחת לכל נתב, אפילו לאלה הקבורים עמוק מאחורי NAT של המפעיל.