Ga naar inhoud
InstagramYouTubeFacebook

Remote Access

MikroTik externe toegang achter CGNAT

Leer wat CGNAT is, waarom het inkomende toegang tot MikroTik-routers blokkeert en hoe u uw apparaten op afstand beheert met uitgaande tunnels.

Samenvatting CGNAT (Carrier-Grade NAT) laat een internetprovider één openbaar IPv4-adres delen over veel abonnees, wat schaarse adressen bespaart maar inkomende verbindingen verbreekt — dus port forwarding naar een MikroTik-router erachter werkt eenvoudigweg niet. Omdat de router geen bereikbaar openbaar adres heeft, is de betrouwbare oplossing om de richting om te draaien: laat de router naar buiten bellen naar een ontmoetingspunt dat u beheert. Deze gids legt uit wat CGNAT is, hoe u het detecteert en hoe u MikroTik-routers erachter beheert met uitgaande tunnels.

Wat is CGNAT?

CGNAT is een tweede laag van netwerkadresvertaling die binnen het netwerk van de internetprovider draait en veel klanten toewijst aan een kleine pool van gedeelde openbare IPv4-adressen, waarbij elke abonnee meestal een privéadres uit het 100.64.0.0/10 provider-bereik krijgt in plaats van een echt openbaar IP. Het bestaat omdat de wereld jaren geleden door de vrije IPv4-blokken heen raakte: in plaats van steeds duurdere adressen te kopen, plaatsen de meeste vaste draadloze, mobiele, glasvezel- en satellietproviders abonnees nu achter een gedeelde gateway. Uw MikroTik krijgt nog steeds internettoegang en kan normaal uitgaande verbindingen starten — maar vanuit het oogpunt van het openbare internet heeft uw router geen eigen adres. (Carrier-grade NAT — Wikipedia)

Hoe verbreekt CGNAT inkomende toegang tot een MikroTik?

Normale port forwarding gaat ervan uit dat uw WAN-interface een openbaar IP heeft dat de rest van het internet kan bereiken. Onder CGNAT faalt die aanname dubbel. Ten eerste is uw WAN-adres privé (vaak 100.64.x.x), dus een doorgestuurde poort op uw MikroTik wijst naar een adres dat niemand buiten de provider kan routeren. Ten tweede zit het echte openbare IP op het hoofd-NAT-apparaat van de provider, dat met tientallen andere abonnees wordt gedeeld en geen willekeurige inkomende poort naar u zal doorsturen — u beheert het niet. (Open Port Checkers — Why port forwarding fails with CGNAT)

Het praktische gevolg voor iedereen die een vloot routers beheert is ernstig: u kunt niet via Winbox, WebFig, SSH of API verbinden met de MikroTik van een klant vanaf kantoor, omdat er geen inkomend pad naartoe is. Een dynamische DNS-hostnaam helpt ook niet — die zou oplossen naar het gedeelde provider-IP, niet naar uw router. Dit is dezelfde muur waar Starlink-gebruikers tegenaan lopen, wat we in detail behandelen in onze casestudy over Starlink IP-wijzigingen.

Hoe ziet u of een MikroTik achter CGNAT zit?

Controleer het adres op de WAN-interface en vergelijk het met het openbare IP dat de verbinding daadwerkelijk aan het internet toont. In een Winbox- of WebFig-terminal:

/ip address print

Als de WAN-interface een adres heeft binnen 100.64.0.0100.127.255.255 (het gedeelde bereik 100.64.0.0/10), 10.0.0.0/8 of een ander RFC1918 privébereik, zit u vrijwel zeker achter CGNAT. Bevestig dit door dat adres te vergelijken met wat een externe “wat is mijn IP”-dienst rapporteert: als ze verschillen, zit er een provider-NAT tussen u en het internet. Een traceroute die een of meer privé-hops toont vóór de eerste openbare hop is een ander sterk signaal. (oneuptime — How to detect if you are behind CGNAT)

Hoe beheert u MikroTik-routers achter CGNAT?

De duurzame oplossing is om te stoppen met proberen naar binnen te verbinden en in plaats daarvan de router naar buiten te laten verbinden met een ontmoetingspunt met een stabiel openbaar adres. Omdat de uitgaande verbinding van achter de CGNAT wordt gestart, staat de NAT van de provider deze graag toe — op dezelfde manier waarop uw browser elke website bereikt. Zodra die tunnel tot stand is gebracht, bereikt u de router er weer doorheen. Er zijn vier veelvoorkomende manieren om dit op te bouwen, elk gedocumenteerd in een eigen gids:

Een zelfgehoste VPN naar een VPS is de klassieke aanpak: een goedkope Linux-VPS met een openbaar IP fungeert als ontmoetingspunt, en elke MikroTik belt in. WireGuard is de moderne standaard — snel, laag CPU-gebruik en tolerant voor de adreswijzigingen die bij CGNAT en dynamische IP’s horen. De bredere gids over VPS-gebaseerd beheer behandelt hetzelfde idee met andere tunneltypes.

Een beheerde mesh-VPN verwijdert het meeste handmatige werk. Tailscale en ZeroTier bieden beide een control plane dat NAT-traversal en sleuteldistributie voor u afhandelt, zodat een router achter CGNAT zich met vrijwel geen configuratie per apparaat bij het netwerk voegt.

Een TR-069 / ACS-platform is de telecom-standaardoptie wanneer u op schaal werkt: de CPE opent een uitgaande sessie naar een auto-configuratieserver, die vervolgens configuratie en firmware pusht. Dit is speciaal gebouwd voor het beheren van abonnee-apparaten die achter provider-NAT leven.

Een speciaal gebouwde beheercloud combineert het idee van de uitgaande tunnel met monitoring en toegangscontrole op één plek, wat het model is dat de NATCloud van MKController gebruikt.

Tips

  • IPv6 omzeilt CGNAT vaak volledig. Als uw internetprovider een routeerbaar IPv6-prefix toewijst, kunt u de router mogelijk via IPv6 bereiken, zelfs terwijl IPv4 vastzit achter provider-NAT — maar alleen als elke hop in uw beheerpad ook IPv6 heeft.
  • Stel altijd een keepalive in op uitgaande tunnels (bijvoorbeeld persistent-keepalive=25 op WireGuard), zodat de provider de inactieve NAT-toewijzing niet stilletjes laat vallen.
  • Sommige internetproviders verkopen een statisch of openbaar IPv4-adres als betaalde uitbreiding. Voor één kritieke locatie kan dat eenvoudiger zijn dan een tunnel; voor een vloot schaalt het qua kosten niet.
  • Stel Winbox, WebFig of SSH nooit rechtstreeks bloot aan het internet als “tussenoplossing”. Achter CGNAT zou het toch niet werken, en op een echt openbaar IP is het een staande uitnodiging voor aanvallers.

FAQ

Lost een dynamische DNS-dienst CGNAT op? Nee. Dynamische DNS werkt alleen een hostnaam bij om te wijzen naar welk openbaar IP u ook hebt. Achter CGNAT behoort dat openbare IP toe aan de provider en is het gedeeld, dus de hostnaam kan uw router niet bereiken.

Is CGNAT hetzelfde als de NAT op mijn eigen router? Nee. De NAT van uw router vertaalt uw privé-LAN naar uw WAN-adres, en u beheert de port-forward-regels ervan. CGNAT voegt een tweede NAT toe binnen de internetprovider die u niet beheert, en daarom werkt inkomende forwarding niet.

Kan ik mijn internetprovider niet gewoon vragen om het uit te zetten? Soms. Veel providers bieden een openbaar of statisch IPv4-adres tegen betaling of op verzoek. Beschikbaarheid en prijs variëren sterk per provider en regio.

Zet de volgende stap

Uw eigen tunnel bouwen voor één router is eenvoudig. Het doen over tientallen of honderden MikroTiks — elk achter een andere CGNAT-provider, met sleutels om te roteren en VPS-configuraties om te bewaken — is waar de operationele kosten zich opstapelen.

De NATCloud van MKController is precies hiervoor gebouwd. Elke MikroTik komt online via een uitgaande tunnel naar het control plane, zonder openbaar IP, zonder port forwarding en zonder VPS-aanpassingen per apparaat. U krijgt gecentraliseerde monitoring en veilige externe toegang tot elke router, zelfs degene die diep achter provider-NAT verborgen zijn.

Start uw gratis MKController-proefperiode