Remote Access
Akses Jarak Jauh MikroTik di Balik CGNAT
Pelajari apa itu CGNAT, mengapa ia memblokir akses masuk ke router MikroTik, dan cara mengelola armada Anda dari jauh dengan terowongan keluar.
Ringkasan CGNAT (Carrier-Grade NAT) memungkinkan ISP berbagi satu alamat IPv4 publik di antara banyak pelanggan, yang menghemat alamat yang langka tetapi merusak koneksi masuk — sehingga penerusan port ke router MikroTik di baliknya sama sekali tidak berfungsi. Karena router tidak memiliki alamat publik yang dapat dijangkau, solusi yang andal adalah membalik arahnya: buat router menghubungi titik pertemuan yang Anda kendalikan. Panduan ini menjelaskan apa itu CGNAT, cara mendeteksinya, dan cara mengelola router MikroTik di baliknya menggunakan terowongan keluar.
Apa Itu CGNAT?
CGNAT adalah lapisan kedua dari terjemahan alamat jaringan yang dijalankan di dalam jaringan ISP yang memetakan banyak pelanggan ke kumpulan kecil alamat IPv4 publik bersama, biasanya memberikan setiap pelanggan alamat privat dari rentang operator 100.64.0.0/10 alih-alih IP publik yang sebenarnya. Ia ada karena dunia kehabisan blok IPv4 yang tersedia bertahun-tahun lalu: alih-alih membeli alamat yang semakin mahal, sebagian besar penyedia nirkabel tetap, seluler, fiber, dan satelit kini menempatkan pelanggan di balik gateway bersama. MikroTik Anda tetap mendapat akses internet dan dapat memulai koneksi keluar secara normal — tetapi dari sudut pandang internet publik, router Anda tidak memiliki alamatnya sendiri. (Carrier-grade NAT — Wikipedia)
Bagaimana CGNAT merusak akses masuk ke MikroTik?
Penerusan port normal mengasumsikan antarmuka WAN Anda memiliki IP publik yang dapat dijangkau oleh seluruh internet. Di bawah CGNAT, asumsi itu gagal dua kali. Pertama, alamat WAN Anda privat (sering kali 100.64.x.x), sehingga port yang diteruskan pada MikroTik Anda menunjuk ke alamat yang tidak dapat dirutekan oleh siapa pun di luar operator. Kedua, IP publik yang sebenarnya berada di perangkat NAT utama ISP, yang dibagi dengan puluhan pelanggan lain dan tidak akan meneruskan port masuk sembarangan kepada Anda — Anda tidak mengendalikannya. (Open Port Checkers — Why port forwarding fails with CGNAT)
Konsekuensi praktis bagi siapa pun yang menjalankan armada router sangat berat: Anda tidak dapat masuk ke MikroTik pelanggan melalui Winbox, WebFig, SSH, atau API dari kantor, karena tidak ada jalur masuk ke sana. Nama host DNS dinamis juga tidak membantu — ia akan menyelesaikan ke IP bersama operator, bukan ke router Anda. Ini adalah tembok yang sama yang dihadapi pengguna Starlink, yang kami bahas secara rinci dalam studi kasus perubahan IP Starlink kami.
Bagaimana cara mengetahui apakah MikroTik berada di balik CGNAT?
Periksa alamat pada antarmuka WAN dan bandingkan dengan IP publik yang sebenarnya ditunjukkan koneksi ke internet. Di terminal Winbox atau WebFig:
/ip address printJika antarmuka WAN memiliki alamat di dalam 100.64.0.0 – 100.127.255.255 (rentang bersama 100.64.0.0/10), 10.0.0.0/8, atau rentang privat RFC1918 lainnya, Anda hampir pasti berada di balik CGNAT. Konfirmasikan dengan membandingkan alamat itu dengan apa yang dilaporkan layanan eksternal “what is my IP”: jika berbeda, ada NAT operator di antara Anda dan internet. Traceroute yang menunjukkan satu atau lebih lompatan privat sebelum lompatan publik pertama adalah sinyal kuat lainnya. (oneuptime — How to detect if you are behind CGNAT)
Bagaimana cara mengelola router MikroTik di balik CGNAT?
Solusi yang bertahan lama adalah berhenti mencoba terhubung ke dalam dan justru membiarkan router terhubung keluar ke titik pertemuan dengan alamat publik yang stabil. Karena koneksi keluar dimulai dari balik CGNAT, NAT operator dengan senang hati mengizinkannya — sama seperti browser Anda menjangkau situs web mana pun. Setelah terowongan itu terbentuk, Anda menjangkau router kembali melaluinya. Ada empat cara umum untuk membangun ini, masing-masing didokumentasikan dalam panduannya sendiri:
VPN yang di-host sendiri ke VPS adalah pendekatan klasik: VPS Linux murah dengan IP publik bertindak sebagai titik pertemuan, dan setiap MikroTik menghubunginya. WireGuard adalah default modern — cepat, hemat CPU, dan toleran terhadap perubahan alamat yang datang bersama CGNAT dan IP dinamis. Panduan manajemen berbasis VPS yang lebih luas membahas ide yang sama dengan jenis terowongan lainnya.
VPN mesh terkelola menghilangkan sebagian besar pekerjaan manual. Tailscale dan ZeroTier keduanya menyediakan control plane yang menangani traversal NAT dan distribusi kunci untuk Anda, sehingga router di balik CGNAT bergabung ke jaringan dengan hampir tanpa konfigurasi per perangkat.
Platform TR-069 / ACS adalah opsi standar telco saat Anda beroperasi dalam skala besar: CPE membuka sesi keluar ke server konfigurasi otomatis, yang kemudian mendorong konfigurasi dan firmware. Ini dibuat khusus untuk mengelola perangkat pelanggan yang berada di balik NAT operator.
Cloud manajemen khusus menggabungkan ide terowongan keluar dengan pemantauan dan kontrol akses di satu tempat, yang merupakan model yang digunakan NATCloud dari MKController.
Tips
- IPv6 sering kali sepenuhnya menghindari CGNAT. Jika ISP Anda menetapkan prefiks IPv6 yang dapat dirutekan, Anda mungkin dapat menjangkau router melalui IPv6 bahkan ketika IPv4 terjebak di balik NAT operator — tetapi hanya jika setiap lompatan di jalur manajemen Anda juga memiliki IPv6.
- Selalu atur keepalive pada terowongan keluar (misalnya
persistent-keepalive=25pada WireGuard) agar operator tidak diam-diam membuang pemetaan NAT yang menganggur. - Beberapa ISP menjual alamat IPv4 statis atau publik sebagai tambahan berbayar. Untuk satu situs penting, itu bisa lebih sederhana daripada terowongan; untuk armada, itu tidak hemat biaya dalam skala besar.
- Jangan pernah mengekspos Winbox, WebFig, atau SSH langsung ke internet sebagai “solusi sementara”. Di balik CGNAT itu tetap tidak akan berfungsi, dan pada IP publik yang sebenarnya itu adalah undangan terbuka bagi penyerang.
FAQ
Apakah layanan DNS dinamis memperbaiki CGNAT? Tidak. DNS dinamis hanya memperbarui nama host untuk menunjuk ke IP publik apa pun yang Anda miliki. Di balik CGNAT, IP publik itu milik operator dan dibagikan, sehingga nama host tidak dapat menjangkau router Anda.
Apakah CGNAT sama dengan NAT pada router saya sendiri? Tidak. NAT router Anda menerjemahkan LAN privat Anda ke alamat WAN Anda, dan Anda mengendalikan aturan penerusan portnya. CGNAT menambahkan NAT kedua di dalam ISP yang tidak Anda kendalikan, itulah sebabnya penerusan masuk rusak.
Bisakah saya cukup meminta ISP untuk mematikannya? Terkadang. Banyak penyedia menawarkan alamat IPv4 publik atau statis dengan biaya atau atas permintaan. Ketersediaan dan harga sangat bervariasi menurut operator dan wilayah.
Ambil langkah berikutnya
Membangun terowongan Anda sendiri untuk satu router itu mudah. Melakukannya di puluhan atau ratusan MikroTik — masing-masing di balik operator CGNAT yang berbeda, dengan kunci yang harus dirotasi dan konfigurasi VPS yang harus dijaga — di situlah biaya operasional menumpuk.
NATCloud dari MKController dibuat persis untuk ini. Setiap MikroTik online melalui terowongan keluar ke control plane, tanpa IP publik, tanpa penerusan port, dan tanpa perlu pengeditan VPS per perangkat. Anda mendapatkan pemantauan terpusat dan akses jarak jauh yang aman ke setiap router, bahkan yang terkubur jauh di balik NAT operator.