Remote Access
Acesso Remoto MikroTik Atrás de CGNAT
Saiba o que é CGNAT, por que ele bloqueia o acesso de entrada a roteadores MikroTik e como gerenciar sua frota remotamente com túneis de saída.
Resumo O CGNAT (Carrier-Grade NAT) permite que um provedor compartilhe um único endereço IPv4 público entre vários assinantes, o que economiza endereços escassos, mas quebra as conexões de entrada — portanto, o redirecionamento de portas para um roteador MikroTik atrás dele simplesmente não funciona. Como o roteador não tem um endereço público alcançável, a solução confiável é inverter o sentido: fazer o roteador discar para um ponto de encontro que você controla. Este guia explica o que é CGNAT, como detectá-lo e como gerenciar roteadores MikroTik atrás dele usando túneis de saída.
O que é CGNAT?
O CGNAT é uma segunda camada de tradução de endereços de rede executada dentro da rede do provedor que mapeia muitos clientes para um pequeno conjunto de endereços IPv4 públicos compartilhados, normalmente entregando a cada assinante um endereço privado da faixa de operadora 100.64.0.0/10 em vez de um IP público real. Ele existe porque o mundo esgotou os blocos IPv4 livres há anos: em vez de comprar endereços cada vez mais caros, a maioria dos provedores fixos sem fio, móveis, de fibra e de satélite agora coloca os assinantes atrás de um gateway compartilhado. Seu MikroTik ainda obtém acesso à internet e pode iniciar conexões de saída normalmente — mas, do ponto de vista da internet pública, seu roteador não tem um endereço próprio. (Carrier-grade NAT — Wikipedia)
Como o CGNAT quebra o acesso de entrada a um MikroTik?
O redirecionamento de portas normal presume que sua interface WAN tenha um IP público que o resto da internet possa alcançar. Sob o CGNAT, essa premissa falha duplamente. Primeiro, seu endereço WAN é privado (muitas vezes 100.64.x.x), então uma porta redirecionada no seu MikroTik aponta para um endereço que ninguém fora da operadora consegue rotear. Segundo, o IP público real fica no dispositivo NAT principal do provedor, que é compartilhado com dezenas de outros assinantes e não vai redirecionar uma porta de entrada arbitrária para você — você não o controla. (Open Port Checkers — Why port forwarding fails with CGNAT)
A consequência prática para quem opera uma frota de roteadores é severa: você não consegue acessar o MikroTik de um cliente via Winbox, WebFig, SSH ou API a partir do escritório, porque não há caminho de entrada para ele. Um nome de host de DNS dinâmico também não ajuda — ele resolveria para o IP compartilhado da operadora, não para o seu roteador. Esta é a mesma barreira que os usuários da Starlink enfrentam, que abordamos em detalhe no nosso estudo de caso sobre as mudanças de IP da Starlink.
Como saber se um MikroTik está atrás de CGNAT?
Verifique o endereço na interface WAN e compare-o com o IP público que a conexão realmente mostra para a internet. Em um terminal do Winbox ou do WebFig:
/ip address printSe a interface WAN tiver um endereço dentro de 100.64.0.0 – 100.127.255.255 (a faixa compartilhada 100.64.0.0/10), 10.0.0.0/8 ou outra faixa privada RFC1918, você quase certamente está atrás de CGNAT. Confirme comparando esse endereço com o que um serviço externo de “qual é o meu IP” informa: se forem diferentes, há um NAT de operadora entre você e a internet. Um traceroute que mostra um ou mais saltos privados antes do primeiro salto público é outro forte indício. (oneuptime — How to detect if you are behind CGNAT)
Como gerenciar roteadores MikroTik atrás de CGNAT?
A solução duradoura é parar de tentar conectar para dentro e, em vez disso, deixar o roteador conectar para fora a um ponto de encontro com um endereço público estável. Como a conexão de saída é iniciada de trás do CGNAT, o NAT da operadora a permite de bom grado — da mesma forma que seu navegador alcança qualquer site. Uma vez estabelecido esse túnel, você alcança o roteador de volta por meio dele. Há quatro maneiras comuns de construir isso, cada uma documentada em seu próprio guia:
Uma VPN auto-hospedada em um VPS é a abordagem clássica: um VPS Linux barato com um IP público atua como ponto de encontro, e cada MikroTik disca para ele. O WireGuard é o padrão moderno — rápido, de baixo uso de CPU e tolerante às mudanças de endereço que vêm com o CGNAT e os IPs dinâmicos. O guia mais amplo de gerenciamento baseado em VPS cobre a mesma ideia com outros tipos de túnel.
Uma VPN em malha gerenciada remove a maior parte do trabalho manual. O Tailscale e o ZeroTier fornecem um plano de controle que cuida da travessia de NAT e da distribuição de chaves para você, de modo que um roteador atrás de CGNAT entra na rede com quase nenhuma configuração por dispositivo.
Uma plataforma TR-069 / ACS é a opção padrão das teles quando você opera em escala: o CPE abre uma sessão de saída para um servidor de autoconfiguração, que então envia configuração e firmware. Isso foi feito sob medida para gerenciar dispositivos de assinantes que vivem atrás do NAT da operadora.
Uma nuvem de gerenciamento dedicada combina a ideia do túnel de saída com monitoramento e controle de acesso em um só lugar, que é o modelo que o NATCloud da MKController usa.
Dicas
- O IPv6 muitas vezes contorna o CGNAT por completo. Se o seu provedor atribuir um prefixo IPv6 roteável, você pode conseguir alcançar o roteador por IPv6 mesmo enquanto o IPv4 está preso atrás do NAT da operadora — mas só se cada salto no seu caminho de gerenciamento também tiver IPv6.
- Sempre defina um keepalive nos túneis de saída (por exemplo,
persistent-keepalive=25no WireGuard) para que a operadora não descarte silenciosamente o mapeamento NAT ocioso. - Alguns provedores vendem um endereço IPv4 estático ou público como um adicional pago. Para um único site crítico, isso pode ser mais simples do que um túnel; para uma frota, não escala em termos de custo.
- Nunca exponha o Winbox, o WebFig ou o SSH diretamente à internet como uma “solução alternativa”. Atrás de CGNAT isso não funcionaria mesmo, e em um IP público real é um convite permanente para atacantes.
FAQ
Um serviço de DNS dinâmico resolve o CGNAT? Não. O DNS dinâmico apenas atualiza um nome de host para apontar para qualquer IP público que você tenha. Atrás de CGNAT, esse IP público pertence à operadora e é compartilhado, então o nome de host não consegue alcançar o seu roteador.
O CGNAT é o mesmo que o NAT do meu próprio roteador? Não. O NAT do seu roteador traduz sua LAN privada para o seu endereço WAN, e você controla suas regras de redirecionamento de portas. O CGNAT adiciona um segundo NAT dentro do provedor que você não controla, e é por isso que o redirecionamento de entrada quebra.
Posso simplesmente pedir ao meu provedor para desligá-lo? Às vezes. Muitos provedores oferecem um endereço IPv4 público ou estático por uma taxa ou mediante solicitação. A disponibilidade e o preço variam bastante de operadora para operadora e de região para região.
Dê o próximo passo
Construir seu próprio túnel para um roteador é simples. Fazer isso em dezenas ou centenas de MikroTiks — cada um atrás de uma operadora CGNAT diferente, com chaves para rotacionar e configurações de VPS para cuidar — é onde o custo operacional se acumula.
O NATCloud da MKController foi feito exatamente para isso. Cada MikroTik fica online por meio de um túnel de saída para o plano de controle, sem IP público, sem redirecionamento de portas e sem edições de VPS por dispositivo. Você obtém monitoramento centralizado e acesso remoto seguro a cada roteador, mesmo os enterrados bem no fundo, atrás do NAT da operadora.