Salta ai contenuti
InstagramYouTubeFacebook

Remote Access

Accesso remoto a MikroTik dietro CGNAT

Scopri cos'è il CGNAT, perché blocca l'accesso in entrata ai router MikroTik e come gestire il tuo parco da remoto con tunnel in uscita.

Riepilogo Il CGNAT (Carrier-Grade NAT) consente a un ISP di condividere un singolo indirizzo IPv4 pubblico tra molti abbonati, il che preserva gli scarsi indirizzi ma interrompe le connessioni in entrata — quindi il port forwarding verso un router MikroTik dietro di esso semplicemente non funziona. Poiché il router non ha un indirizzo pubblico raggiungibile, la soluzione affidabile è invertire la direzione: far sì che il router componga verso un punto d’incontro che controlli tu. Questa guida spiega cos’è il CGNAT, come rilevarlo e come gestire i router MikroTik dietro di esso usando tunnel in uscita.

Cos’è il CGNAT?

Il CGNAT è un secondo livello di traduzione degli indirizzi di rete eseguito all’interno della rete dell’ISP che mappa molti clienti su un piccolo pool di indirizzi IPv4 pubblici condivisi, assegnando tipicamente a ogni abbonato un indirizzo privato dell’intervallo dell’operatore 100.64.0.0/10 invece di un vero IP pubblico. Esiste perché il mondo ha esaurito i blocchi IPv4 liberi anni fa: anziché acquistare indirizzi sempre più costosi, la maggior parte dei provider fixed-wireless, mobili, in fibra e satellitari ora colloca gli abbonati dietro un gateway condiviso. Il tuo MikroTik ottiene comunque l’accesso a internet e può avviare normalmente connessioni in uscita — ma dal punto di vista di internet pubblico, il tuo router non ha un indirizzo proprio. (Carrier-grade NAT — Wikipedia)

Come fa il CGNAT a interrompere l’accesso in entrata a un MikroTik?

Il normale port forwarding presuppone che la tua interfaccia WAN possieda un IP pubblico che il resto di internet può raggiungere. Sotto CGNAT quel presupposto fallisce due volte. Primo, il tuo indirizzo WAN è privato (spesso 100.64.x.x), quindi una porta inoltrata sul tuo MikroTik punta a un indirizzo che nessuno al di fuori dell’operatore può instradare. Secondo, il vero IP pubblico risiede sul dispositivo NAT principale dell’ISP, condiviso con decine di altri abbonati, che non inoltrerà a te una porta in entrata arbitraria — non lo controlli. (Open Port Checkers — Perché il port forwarding fallisce con il CGNAT)

La conseguenza pratica per chiunque gestisca un parco di router è grave: non puoi accedere via Winbox, WebFig, SSH o API al MikroTik di un cliente dall’ufficio, perché non esiste un percorso in entrata verso di esso. Nemmeno un hostname DNS dinamico aiuta — si risolverebbe nell’IP condiviso dell’operatore, non nel tuo router. È lo stesso muro contro cui sbattono gli utenti Starlink, che trattiamo in dettaglio nel nostro caso di studio sui cambi di IP di Starlink.

Come capire se un MikroTik è dietro CGNAT?

Controlla l’indirizzo sull’interfaccia WAN e confrontalo con l’IP pubblico che la connessione mostra effettivamente a internet. In un terminale Winbox o WebFig:

/ip address print

Se l’interfaccia WAN possiede un indirizzo all’interno di 100.64.0.0100.127.255.255 (l’intervallo condiviso 100.64.0.0/10), 10.0.0.0/8 o un altro intervallo privato RFC1918, sei quasi certamente dietro CGNAT. Conferma confrontando quell’indirizzo con quanto riporta un servizio esterno “what is my IP”: se differiscono, un NAT dell’operatore si trova tra te e internet. Un traceroute che mostra uno o più hop privati prima del primo hop pubblico è un altro forte segnale. (oneuptime — Come rilevare se sei dietro CGNAT)

Come gestire i router MikroTik dietro CGNAT?

La soluzione duratura è smettere di provare a connettersi verso l’interno e lasciare invece che il router si connetta verso l’esterno a un punto d’incontro con un indirizzo pubblico stabile. Poiché la connessione in uscita è avviata da dietro il CGNAT, il NAT dell’operatore la consente volentieri — allo stesso modo in cui il tuo browser raggiunge qualsiasi sito web. Una volta stabilito quel tunnel, raggiungi il router attraverso di esso. Ci sono quattro modi comuni per costruirlo, ciascuno documentato nella propria guida:

Una VPN auto-ospitata verso un VPS è l’approccio classico: un VPS Linux economico con un IP pubblico funge da punto d’incontro, e ogni MikroTik si connette. WireGuard è l’impostazione predefinita moderna — veloce, a basso consumo di CPU e tollerante ai cambi di indirizzo che accompagnano CGNAT e IP dinamici. La guida più ampia sulla gestione basata su VPS copre la stessa idea con altri tipi di tunnel.

Una VPN mesh gestita elimina gran parte del cablaggio manuale. Tailscale e ZeroTier forniscono entrambi un control plane che gestisce per te l’attraversamento del NAT e la distribuzione delle chiavi, così un router dietro CGNAT si unisce alla rete con quasi nessuna configurazione per dispositivo.

Una piattaforma TR-069 / ACS è l’opzione standard delle telco quando operi su larga scala: il CPE apre una sessione in uscita verso un server di configurazione automatica, che poi invia configurazione e firmware. È progettata appositamente per gestire dispositivi di abbonati che vivono dietro il NAT dell’operatore.

Un cloud di gestione costruito su misura combina l’idea del tunnel in uscita con monitoraggio e controllo degli accessi in un unico luogo, ovvero il modello usato da NATCloud di MKController.

Suggerimenti

  • L’IPv6 spesso aggira completamente il CGNAT. Se il tuo ISP assegna un prefisso IPv6 instradabile, potresti riuscire a raggiungere il router tramite IPv6 anche mentre l’IPv4 è intrappolato dietro il NAT dell’operatore — ma solo se ogni hop nel tuo percorso di gestione ha anch’esso IPv6.
  • Imposta sempre un keepalive sui tunnel in uscita (ad esempio persistent-keepalive=25 su WireGuard) in modo che l’operatore non scarti silenziosamente la mappatura NAT inattiva.
  • Alcuni ISP vendono un indirizzo IPv4 statico o pubblico come componente aggiuntivo a pagamento. Per un singolo sito critico può essere più semplice di un tunnel; per un parco non scala dal punto di vista dei costi.
  • Non esporre mai Winbox, WebFig o SSH direttamente a internet come “soluzione alternativa”. Dietro CGNAT non funzionerebbe comunque, e su un vero IP pubblico è un invito permanente per gli aggressori.

FAQ

Un servizio DNS dinamico risolve il CGNAT? No. Il DNS dinamico aggiorna solo un hostname per puntare a qualsiasi IP pubblico tu abbia. Dietro CGNAT quell’IP pubblico appartiene all’operatore ed è condiviso, quindi l’hostname non può raggiungere il tuo router.

Il CGNAT è uguale al NAT sul mio router? No. Il NAT del tuo router traduce la tua LAN privata nel tuo indirizzo WAN, e tu controlli le sue regole di port forwarding. Il CGNAT aggiunge un secondo NAT all’interno dell’ISP che non controlli, ed è per questo che l’inoltro in entrata si interrompe.

Posso semplicemente chiedere al mio ISP di disattivarlo? A volte. Molti provider offrono un indirizzo IPv4 pubblico o statico a pagamento o su richiesta. Disponibilità e prezzo variano notevolmente per operatore e regione.

Compi il prossimo passo

Costruire il proprio tunnel per un singolo router è semplice. Farlo su decine o centinaia di MikroTik — ciascuno dietro un diverso operatore CGNAT, con chiavi da ruotare e configurazioni VPS da accudire — è dove il costo operativo si accumula.

NATCloud di MKController è costruito esattamente per questo. Ogni MikroTik si connette tramite un tunnel in uscita al control plane, senza IP pubblico, senza port forwarding e senza modifiche VPS per dispositivo. Ottieni monitoraggio centralizzato e accesso remoto sicuro a ogni router, anche a quelli sepolti in profondità dietro il NAT dell’operatore.

Avvia la tua prova gratuita di MKController