Skip to content
InstagramYouTubeFacebook

Remote Access

MikroTik távoli elérése CGNAT mögött

Tudja meg, mi az a CGNAT, miért blokkolja a bejövő hozzáférést a MikroTik routerekhez, és hogyan kezelheti flottáját távolról kimenő alagutakkal.

Összefoglaló A CGNAT (Carrier-Grade NAT) lehetővé teszi az internetszolgáltató számára, hogy egyetlen nyilvános IPv4-címet megosszon sok előfizető között, ami megőrzi a szűkös címeket, de megtöri a bejövő kapcsolatokat — így a portátirányítás egy mögötte lévő MikroTik routerhez egyszerűen nem működik. Mivel a routernek nincs elérhető nyilvános címe, a megbízható megoldás az irány megfordítása: a router hívjon ki egy Ön által vezérelt találkozási pontra. Ez az útmutató elmagyarázza, mi a CGNAT, hogyan ismerhető fel, és hogyan kezelhetők a mögötte lévő MikroTik routerek kimenő alagutakkal.

Mi az a CGNAT?

A CGNAT a hálózati címfordítás második rétege, amely az internetszolgáltató hálózatán belül fut, és sok ügyfelet képez le a megosztott nyilvános IPv4-címek kis készletére, jellemzően valódi nyilvános IP helyett egy privát címet adva minden előfizetőnek a 100.64.0.0/10 szolgáltatói tartományból. Azért létezik, mert a világ évekkel ezelőtt kifogyott a szabad IPv4-blokkokból: a egyre drágább címek megvásárlása helyett a legtöbb fix vezeték nélküli, mobil-, optikai és műholdas szolgáltató most megosztott átjáró mögé helyezi az előfizetőket. A MikroTik továbbra is hozzáfér az internethez, és a megszokott módon kezdeményezhet kimenő kapcsolatokat — de a nyilvános internet szemszögéből nézve a routernek nincs saját címe. (Carrier-grade NAT — Wikipedia)

Hogyan töri meg a CGNAT a MikroTikhoz való bejövő hozzáférést?

A normál portátirányítás feltételezi, hogy a WAN-interfész egy nyilvános IP-t tart, amelyet az internet többi része elérhet. CGNAT alatt ez a feltételezés kétszeresen is meghiúsul. Először is, a WAN-címe privát (gyakran 100.64.x.x), így a MikroTikon átirányított port egy olyan címre mutat, amelyet a szolgáltatón kívül senki sem tud útválasztani. Másodszor, a valódi nyilvános IP a szolgáltató fő NAT-eszközén ül, amelyet több tucat másik előfizetővel osztanak meg, és nem fog tetszőleges bejövő portot Önhöz továbbítani — Ön nem irányítja azt. (Open Port Checkers — Miért hiúsul meg a portátirányítás CGNAT esetén)

A gyakorlati következmény bárki számára, aki routerflottát üzemeltet, súlyos: nem tud az irodából Winboxszal, WebFiggel, SSH-val vagy API-val belépni egy ügyfél MikroTikjába, mert nincs hozzá bejövő útvonal. A dinamikus DNS-hostnév sem segít — az a megosztott szolgáltatói IP-re oldódna fel, nem a routerre. Ez ugyanaz a fal, amelybe a Starlink-felhasználók ütköznek, amelyet részletesen tárgyalunk a Starlink IP-változások esettanulmányunkban.

Hogyan állapítható meg, hogy egy MikroTik CGNAT mögött van-e?

Ellenőrizze a WAN-interfész címét, és hasonlítsa össze azzal a nyilvános IP-vel, amelyet a kapcsolat ténylegesen mutat az internetnek. Winbox vagy WebFig terminálban:

/ip address print

Ha a WAN-interfész egy 100.64.0.0100.127.255.255 közötti címet tart (a 100.64.0.0/10 megosztott tartomány), 10.0.0.0/8-at vagy egy másik RFC1918 privát tartományt, akkor szinte biztosan CGNAT mögött van. Ezt megerősítheti, ha összehasonlítja ezt a címet azzal, amit egy külső „what is my IP” szolgáltatás jelent: ha különböznek, egy szolgáltatói NAT ül Ön és az internet között. Egy traceroute, amely egy vagy több privát ugrást mutat az első nyilvános ugrás előtt, szintén erős jel. (oneuptime — Hogyan állapítható meg, hogy CGNAT mögött van-e)

Hogyan kezelhetők a CGNAT mögötti MikroTik routerek?

A tartós megoldás az, hogy felhagy a befelé csatlakozás kísérletével, és ehelyett hagyja, hogy a router kifelé csatlakozzon egy stabil nyilvános címmel rendelkező találkozási ponthoz. Mivel a kimenő kapcsolat a CGNAT mögül indul, a szolgáltató NAT-ja örömmel engedélyezi — ugyanúgy, ahogy a böngészője elér bármely weboldalt. Miután az alagút létrejött, azon keresztül éri el visszafelé a routert. Ennek kiépítésére négy gyakori módszer van, mindegyik saját útmutatóban dokumentálva:

Az önállóan üzemeltetett VPN egy VPS-hez a klasszikus megközelítés: egy olcsó, nyilvános IP-vel rendelkező Linux VPS szolgál találkozási pontként, és minden MikroTik betárcsáz. A WireGuard a modern alapértelmezett — gyors, alacsony CPU-igényű, és toleráns a CGNAT-tal és a dinamikus IP-kkel járó címváltozásokkal szemben. A tágabb VPS-alapú kezelés útmutató ugyanezt az ötletet fedi le más alagúttípusokkal.

A felügyelt mesh VPN eltávolítja a kézi vezetékezés nagy részét. A Tailscale és a ZeroTier egyaránt biztosít egy vezérlősíkot, amely Ön helyett kezeli a NAT-áthaladást és a kulcsterjesztést, így egy CGNAT mögötti router szinte eszközönkénti konfiguráció nélkül csatlakozik a hálózathoz.

A TR-069 / ACS platform a telekommunikációs szabványos lehetőség, amikor nagy léptékben üzemel: a CPE kimenő munkamenetet nyit egy automatikus konfigurációs szerverhez, amely aztán konfigurációt és firmware-t küld. Ezt kifejezetten a szolgáltatói NAT mögött élő előfizetői eszközök kezelésére tervezték.

A célra épített kezelőfelhő egy helyen egyesíti a kimenő alagút ötletét a felügyelettel és a hozzáférés-vezérléssel, ami az a modell, amelyet az MKController NATCloudja használ.

Tippek

  • Az IPv6 gyakran teljesen megkerüli a CGNAT-ot. Ha az internetszolgáltatója útválasztható IPv6-prefixet rendel hozzá, akkor elérheti a routert IPv6-on keresztül, még akkor is, ha az IPv4 a szolgáltatói NAT mögött ragadt — de csak akkor, ha a kezelési útvonal minden ugrásának is van IPv6-ja.
  • Mindig állítson be keepalive-ot a kimenő alagutakon (például persistent-keepalive=25 a WireGuardon), hogy a szolgáltató ne ejtse el csendben a tétlen NAT-leképezést.
  • Egyes internetszolgáltatók fizetős kiegészítőként árulnak statikus vagy nyilvános IPv4-címet. Egyetlen kritikus helyszín esetén ez egyszerűbb lehet, mint egy alagút; flotta esetén költségileg nem skálázható.
  • Soha ne tegye ki a Winboxot, WebFiget vagy SSH-t közvetlenül az internetnek „kerülő megoldásként”. CGNAT mögött ez amúgy sem működne, valódi nyilvános IP-n pedig állandó meghívás a támadóknak.

GYIK

Megoldja a dinamikus DNS-szolgáltatás a CGNAT-ot? Nem. A dinamikus DNS csak frissít egy hostnevet, hogy az bármely nyilvános IP-re mutasson, amellyel rendelkezik. CGNAT mögött ez a nyilvános IP a szolgáltatóé és megosztott, így a hostnév nem érheti el a routert.

A CGNAT ugyanaz, mint a saját routerem NAT-ja? Nem. A router NAT-ja lefordítja a privát LAN-t a WAN-címre, és Ön irányítja a portátirányítási szabályait. A CGNAT egy második NAT-ot ad hozzá az internetszolgáltatón belül, amelyet Ön nem irányít, ezért törik meg a bejövő átirányítás.

Egyszerűen megkérhetem az internetszolgáltatómat, hogy kapcsolja ki? Néha. Sok szolgáltató kínál nyilvános vagy statikus IPv4-címet díj ellenében vagy kérésre. Az elérhetőség és az ár szolgáltatónként és régiónként nagyban eltér.

Tegye meg a következő lépést

Egyetlen routerhez saját alagutat építeni egyszerű. Több tucat vagy száz MikroTikon megtenni — mindegyik más CGNAT-szolgáltató mögött, rotálandó kulcsokkal és felügyelendő VPS-konfigurációkkal — ott halmozódik fel az üzemeltetési költség.

Az MKController NATCloudja pontosan erre épült. Minden MikroTik egy kimenő alagúton keresztül kerül online a vezérlősíkhoz, nyilvános IP, portátirányítás és eszközönkénti VPS-szerkesztés nélkül. Központosított felügyeletet és biztonságos távoli hozzáférést kap minden routerhez, még azokhoz is, amelyek mélyen a szolgáltatói NAT mögött rejtőznek.

Indítsa el ingyenes MKController próbaverzióját