Pāriet uz saturu
InstagramYouTubeFacebook

Remote Access

MikroTik attālā piekļuve aiz CGNAT

Uzziniet, kas ir CGNAT, kāpēc tas bloķē ienākošo piekļuvi MikroTik maršrutētājiem un kā attālināti pārvaldīt iekārtas, izmantojot izejošos tuneļus.

Kopsavilkums CGNAT (Carrier-Grade NAT) ļauj interneta pakalpojumu sniedzējam dalīt vienu publisku IPv4 adresi starp daudziem abonentiem, kas taupa trūkstošās adreses, bet pārtrauc ienākošos savienojumus — tādēļ portu pāradresēšana uz aiz tā esošu MikroTik maršrutētāju vienkārši nedarbojas. Tā kā maršrutētājam nav sasniedzamas publiskas adreses, uzticams risinājums ir mainīt virzienu: likt maršrutētājam pašam izsaukt jūsu kontrolēto satikšanās punktu. Šajā rokasgrāmatā ir izskaidrots, kas ir CGNAT, kā to noteikt un kā pārvaldīt aiz tā esošus MikroTik maršrutētājus, izmantojot izejošos tuneļus.

Kas ir CGNAT?

CGNAT ir otrais tīkla adrešu tulkošanas slānis, kas darbojas interneta pakalpojumu sniedzēja tīkla iekšienē un kartē daudzus klientus uz nelielu kopīgu publisku IPv4 adrešu kopu, parasti katram abonentam piešķirot privātu adresi no 100.64.0.0/10 operatora diapazona, nevis īstu publisku IP. Tas pastāv tāpēc, ka pasaulē jau pirms vairākiem gadiem beidzās brīvie IPv4 bloki: tā vietā, lai pirktu arvien dārgākas adreses, lielākā daļa fiksēto bezvadu, mobilo, optisko un satelītu pakalpojumu sniedzēju tagad novieto abonentus aiz kopīgas vārtejas. Jūsu MikroTik joprojām saņem interneta piekļuvi un var parasti iniciēt izejošos savienojumus, taču no publiskā interneta skatpunkta jūsu maršrutētājam nav savas adreses. (Carrier-grade NAT — Wikipedia)

Kā CGNAT pārtrauc ienākošo piekļuvi MikroTik?

Parasta portu pāradresēšana pieņem, ka jūsu WAN saskarnei ir publiska IP, kuru var sasniegt pārējais internets. Ar CGNAT šis pieņēmums neizdodas divkārši. Pirmkārt, jūsu WAN adrese ir privāta (bieži 100.64.x.x), tāpēc pāradresēts ports jūsu MikroTik norāda uz adresi, kuru neviens ārpus operatora nevar maršrutēt. Otrkārt, īstā publiskā IP atrodas interneta pakalpojumu sniedzēja galvenajā NAT ierīcē, kas tiek dalīta ar desmitiem citu abonentu un nepāradresēs jums patvaļīgu ienākošo portu — jūs to nekontrolējat. (Open Port Checkers — Why port forwarding fails with CGNAT)

Praktiskās sekas ikvienam, kurš pārvalda maršrutētāju parku, ir nopietnas: jūs nevarat ar Winbox, WebFig, SSH vai API pieslēgties klienta MikroTik no biroja, jo uz to nav ienākošā ceļa. Dinamiskā DNS resursdatora nosaukums arī nepalīdz — tas tiktu izšķirts uz kopīgo operatora IP, nevis uz jūsu maršrutētāju. Tā ir tā pati siena, kurā atduras Starlink lietotāji, ko detalizēti aprakstām savā Starlink IP izmaiņu gadījuma analīzē.

Kā noteikt, vai MikroTik atrodas aiz CGNAT?

Pārbaudiet WAN saskarnes adresi un salīdziniet to ar publisko IP, ko savienojums faktiski rāda internetam. Winbox vai WebFig terminālī:

/ip address print

Ja WAN saskarnei ir adrese diapazonā 100.64.0.0100.127.255.255 (kopīgais diapazons 100.64.0.0/10), 10.0.0.0/8 vai citā RFC1918 privātajā diapazonā, jūs gandrīz noteikti atrodaties aiz CGNAT. Apstipriniet, salīdzinot šo adresi ar to, ko ziņo ārējs „kāda ir mana IP” pakalpojums: ja tās atšķiras, starp jums un internetu atrodas operatora NAT. Traceroute, kas rāda vienu vai vairākus privātus lēcienus pirms pirmā publiskā lēciena, ir vēl viens spēcīgs signāls. (oneuptime — How to detect if you are behind CGNAT)

Kā pārvaldīt MikroTik maršrutētājus aiz CGNAT?

Noturīgais risinājums ir pārstāt mēģināt savienoties iekšā un tā vietā ļaut maršrutētājam savienoties ārā ar satikšanās punktu, kuram ir stabila publiska adrese. Tā kā izejošais savienojums tiek iniciēts no aiz CGNAT, operatora NAT to labprāt atļauj — tāpat kā jūsu pārlūks sasniedz jebkuru tīmekļa vietni. Kad šis tunelis ir izveidots, jūs caur to atpakaļ sasniedzat maršrutētāju. Ir četri izplatīti veidi, kā to izveidot, katrs aprakstīts savā rokasgrāmatā:

Pašmitināts VPN uz VPS ir klasiskā pieeja: lēts Linux VPS ar publisku IP darbojas kā satikšanās vieta, un katrs MikroTik tam pieslēdzas. WireGuard ir mūsdienu noklusējuma izvēle — ātrs, ar zemu procesora slodzi un izturīgs pret adrešu izmaiņām, ko rada CGNAT un dinamiskās IP. Plašākā VPS balstītas pārvaldības rokasgrāmata aplūko to pašu ideju ar citiem tuneļu veidiem.

Pārvaldīts tīkla (mesh) VPN noņem lielāko daļu manuālā darba. Tailscale un ZeroTier abi nodrošina vadības plakni, kas jūsu vietā apstrādā NAT šķērsošanu un atslēgu izplatīšanu, tāpēc aiz CGNAT esošs maršrutētājs pievienojas tīklam gandrīz bez katras ierīces atsevišķas konfigurācijas.

TR-069 / ACS platforma ir telekomunikāciju standarta izvēle, kad strādājat lielā mērogā: CPE atver izejošu sesiju uz automātiskās konfigurēšanas serveri, kas pēc tam nosūta konfigurāciju un programmaparatūru. Tā ir īpaši izveidota, lai pārvaldītu abonentu ierīces, kas atrodas aiz operatora NAT.

Īpaši izveidots pārvaldības mākonis apvieno izejošā tuneļa ideju ar uzraudzību un piekļuves kontroli vienuviet, un tieši šo modeli izmanto MKController NATCloud.

Padomi

  • IPv6 bieži pilnībā apiet CGNAT. Ja jūsu interneta pakalpojumu sniedzējs piešķir maršrutējamu IPv6 prefiksu, jūs, iespējams, varēsiet sasniegt maršrutētāju caur IPv6 pat tad, kad IPv4 ir iesprostots aiz operatora NAT — bet tikai tad, ja arī katram lēcienam jūsu pārvaldības ceļā ir IPv6.
  • Vienmēr iestatiet keepalive izejošajiem tuneļiem (piemēram, persistent-keepalive=25 ar WireGuard), lai operators klusi neatmestu dīkstāves NAT karti.
  • Daži interneta pakalpojumu sniedzēji pārdod statisku vai publisku IPv4 adresi kā maksas papildinājumu. Vienai kritiskai vietai tas var būt vienkāršāk nekā tunelis; parkam tas neatmaksājas pēc izmaksām.
  • Nekad neatklājiet Winbox, WebFig vai SSH tieši internetam kā „apvedceļu”. Aiz CGNAT tas tik un tā nedarbotos, un uz īstas publiskas IP tas ir pastāvīgs aicinājums uzbrucējiem.

BUJ

Vai dinamiskā DNS pakalpojums atrisina CGNAT? Nē. Dinamiskais DNS tikai atjaunina resursdatora nosaukumu, lai tas norādītu uz jebkuru jūsu rīcībā esošu publisku IP. Aiz CGNAT šī publiskā IP pieder operatoram un ir kopīga, tāpēc resursdatora nosaukums nevar sasniegt jūsu maršrutētāju.

Vai CGNAT ir tas pats, kas NAT manā paša maršrutētājā? Nē. Jūsu maršrutētāja NAT tulko jūsu privāto LAN uz jūsu WAN adresi, un jūs kontrolējat tā portu pāradresēšanas noteikumus. CGNAT pievieno otru NAT interneta pakalpojumu sniedzēja iekšienē, kuru jūs nekontrolējat, tāpēc ienākošā pāradresēšana nedarbojas.

Vai es varu vienkārši lūgt interneta pakalpojumu sniedzējam to izslēgt? Dažreiz. Daudzi pakalpojumu sniedzēji piedāvā publisku vai statisku IPv4 adresi par maksu vai pēc pieprasījuma. Pieejamība un cena ievērojami atšķiras atkarībā no operatora un reģiona.

Speriet nākamo soli

Izveidot savu tuneli vienam maršrutētājam ir vienkārši. Darīt to desmitiem vai simtiem MikroTik — katrs aiz cita CGNAT operatora, ar atslēgām, ko rotēt, un VPS konfigurācijām, ko aukstīt — tieši tur uzkrājas ekspluatācijas izmaksas.

MKController NATCloud ir izveidots tieši tam. Katrs MikroTik nonāk tiešsaistē caur izejošu tuneli uz vadības plakni, neprasot publisku IP, portu pāradresēšanu vai katras ierīces atsevišķus VPS labojumus. Jūs iegūstat centralizētu uzraudzību un drošu attālo piekļuvi katram maršrutētājam, pat tiem, kas dziļi paslēpti aiz operatora NAT.

Sāciet savu bezmaksas MKController izmēģinājumu