Remote Access
MikroTik fjerntilgang bak CGNAT
Lær hva CGNAT er, hvorfor det blokkerer innkommende tilgang til MikroTik-rutere, og hvordan du fjernstyrer flåten din med utgående tunneler.
Sammendrag CGNAT (Carrier-Grade NAT) lar en internettleverandør dele én offentlig IPv4-adresse på mange abonnenter, noe som sparer knappe adresser, men bryter innkommende tilkoblinger — så portvideresending til en MikroTik-ruter bak det fungerer rett og slett ikke. Fordi ruteren ikke har noen tilgjengelig offentlig adresse, er den pålitelige løsningen å snu retningen: la ruteren ringe ut til et møtepunkt du kontrollerer. Denne guiden forklarer hva CGNAT er, hvordan du oppdager det, og hvordan du administrerer MikroTik-rutere bak det ved hjelp av utgående tunneler.
Hva er CGNAT?
CGNAT er et nytt lag med nettverksadresseoversettelse som kjøres inne i internettleverandørens nettverk og kartlegger mange kunder til et lite utvalg delte offentlige IPv4-adresser, og gir vanligvis hver abonnent en privat adresse fra 100.64.0.0/10 operatørområdet i stedet for en ekte offentlig IP. Det finnes fordi verden gikk tom for ledige IPv4-blokker for mange år siden: i stedet for å kjøpe stadig dyrere adresser plasserer de fleste faste trådløse, mobile, fiber- og satellittleverandører nå abonnentene bak en delt gateway. MikroTik-en din får fortsatt internettilgang og kan starte utgående tilkoblinger normalt — men fra det offentlige internettets synspunkt har ruteren din ikke en egen adresse. (Carrier-grade NAT — Wikipedia)
Hvordan bryter CGNAT innkommende tilgang til en MikroTik?
Vanlig portvideresending forutsetter at WAN-grensesnittet ditt har en offentlig IP som resten av internett kan nå. Under CGNAT svikter den forutsetningen dobbelt. For det første er WAN-adressen din privat (ofte 100.64.x.x), så en videresendt port på MikroTik-en din peker mot en adresse ingen utenfor operatøren kan rute til. For det andre sitter den ekte offentlige IP-en på internettleverandørens hoved-NAT-enhet, som deles med dusinvis av andre abonnenter og ikke vil videresende en vilkårlig innkommende port til deg — du kontrollerer den ikke. (Open Port Checkers — Why port forwarding fails with CGNAT)
Den praktiske konsekvensen for alle som driver en flåte av rutere er alvorlig: du kan ikke nå en kundes MikroTik via Winbox, WebFig, SSH eller API fra kontoret, fordi det ikke finnes noen innkommende vei til den. Et dynamisk DNS-vertsnavn hjelper heller ikke — det ville løses opp til den delte operatør-IP-en, ikke til ruteren din. Dette er den samme veggen som Starlink-brukere treffer, noe vi dekker i detalj i vår Starlink IP-endringer casestudie.
Hvordan ser du om en MikroTik er bak CGNAT?
Sjekk adressen på WAN-grensesnittet og sammenlign den med den offentlige IP-en tilkoblingen faktisk viser til internett. I en Winbox- eller WebFig-terminal:
/ip address printHvis WAN-grensesnittet har en adresse innenfor 100.64.0.0 – 100.127.255.255 (det delte området 100.64.0.0/10), 10.0.0.0/8 eller et annet RFC1918 privat område, er du nesten helt sikkert bak CGNAT. Bekreft ved å sammenligne den adressen med det en ekstern «hva er min IP»-tjeneste rapporterer: hvis de er forskjellige, sitter en operatør-NAT mellom deg og internett. En traceroute som viser ett eller flere private hopp før det første offentlige hoppet er et annet sterkt signal. (oneuptime — How to detect if you are behind CGNAT)
Hvordan administrerer du MikroTik-rutere bak CGNAT?
Den varige løsningen er å slutte å prøve å koble inn og i stedet la ruteren koble ut til et møtepunkt med en stabil offentlig adresse. Fordi den utgående tilkoblingen startes fra bak CGNAT, tillater operatørens NAT den med glede — på samme måte som nettleseren din når et hvilket som helst nettsted. Når den tunnelen er etablert, når du ruteren tilbake gjennom den. Det finnes fire vanlige måter å bygge dette på, hver dokumentert i sin egen guide:
En selvvertet VPN til en VPS er den klassiske tilnærmingen: en billig Linux-VPS med en offentlig IP fungerer som møtepunkt, og hver MikroTik ringer inn. WireGuard er den moderne standarden — rask, lav CPU-bruk og tolerant overfor adresseendringene som følger med CGNAT og dynamiske IP-er. Den bredere VPS-baserte administrasjon-guiden dekker samme idé med andre tunneltyper.
En administrert mesh-VPN fjerner det meste av det manuelle arbeidet. Tailscale og ZeroTier gir begge et kontrollplan som håndterer NAT-traversering og nøkkeldistribusjon for deg, slik at en ruter bak CGNAT blir med i nettverket med nesten ingen konfigurasjon per enhet.
En TR-069 / ACS-plattform er det telekom-standardiserte alternativet når du opererer i stor skala: CPE-en åpner en utgående økt til en automatisk konfigurasjonsserver, som deretter sender ut konfigurasjon og fastvare. Dette er spesialbygd for å administrere abonnentenheter som lever bak operatør-NAT.
En spesialbygd administrasjonssky kombinerer den utgående tunnel-ideen med overvåking og tilgangskontroll på ett sted, som er modellen MKControllers NATCloud bruker.
Tips
- IPv6 omgår ofte CGNAT helt. Hvis internettleverandøren din tildeler et rutbart IPv6-prefiks, kan du kanskje nå ruteren over IPv6 selv mens IPv4 er fanget bak operatør-NAT — men bare hvis hvert hopp i administrasjonsbanen din også har IPv6.
- Sett alltid en keepalive på utgående tunneler (for eksempel
persistent-keepalive=25på WireGuard) slik at operatøren ikke stille slipper den inaktive NAT-kartleggingen. - Noen internettleverandører selger en statisk eller offentlig IPv4-adresse som et betalt tillegg. For ett enkelt kritisk sted kan det være enklere enn en tunnel; for en flåte skalerer det ikke på kostnad.
- Eksponer aldri Winbox, WebFig eller SSH direkte mot internett som en «midlertidig løsning». Bak CGNAT ville det uansett ikke fungere, og på en ekte offentlig IP er det en stående invitasjon til angripere.
FAQ
Løser en dynamisk DNS-tjeneste CGNAT? Nei. Dynamisk DNS oppdaterer bare et vertsnavn til å peke på den offentlige IP-en du måtte ha. Bak CGNAT tilhører den offentlige IP-en operatøren og er delt, så vertsnavnet kan ikke nå ruteren din.
Er CGNAT det samme som NAT-en på min egen ruter? Nei. Ruterens NAT oversetter ditt private LAN til WAN-adressen din, og du kontrollerer dens portvideresendingsregler. CGNAT legger til en andre NAT inne hos internettleverandøren som du ikke kontrollerer, og det er derfor innkommende videresending bryter.
Kan jeg bare be internettleverandøren min om å slå det av? Noen ganger. Mange leverandører tilbyr en offentlig eller statisk IPv4-adresse mot et gebyr eller på forespørsel. Tilgjengelighet og pris varierer mye etter operatør og region.
Ta neste steg
Å bygge din egen tunnel for én ruter er enkelt. Å gjøre det på tvers av dusinvis eller hundrevis av MikroTik-er — hver bak en ulik CGNAT-operatør, med nøkler som skal roteres og VPS-konfigurasjoner som skal passes på — er der den operasjonelle kostnaden hoper seg opp.
MKControllers NATCloud er bygget for nettopp dette. Hver MikroTik kommer på nett over en utgående tunnel til kontrollplanet, uten offentlig IP, uten portvideresending og uten redigeringer av VPS per enhet. Du får sentralisert overvåking og sikker fjerntilgang til hver ruter, selv de som ligger dypt begravd bak operatør-NAT.