Sari la conținut
InstagramYouTubeFacebook

Remote Access

Acces la distanță MikroTik prin CGNAT

Aflați ce este CGNAT, de ce blochează accesul de intrare la routerele MikroTik și cum vă gestionați de la distanță parcul prin tuneluri de ieșire.

Rezumat CGNAT (Carrier-Grade NAT) permite unui furnizor de internet să partajeze o singură adresă IPv4 publică între mulți abonați, ceea ce economisește adresele insuficiente, dar întrerupe conexiunile de intrare — așa că redirecționarea porturilor către un router MikroTik aflat în spatele lui pur și simplu nu funcționează. Deoarece routerul nu are o adresă publică accesibilă, soluția fiabilă este să inversați direcția: faceți routerul să apeleze el însuși spre exterior către un punct de întâlnire pe care îl controlați. Acest ghid explică ce este CGNAT, cum să îl detectați și cum să gestionați routerele MikroTik aflate în spatele lui folosind tuneluri de ieșire.

Ce este CGNAT?

CGNAT este un al doilea nivel de translatare a adreselor de rețea care rulează în interiorul rețelei furnizorului de internet și mapează mulți clienți pe o mică rezervă de adrese IPv4 publice partajate, atribuind de obicei fiecărui abonat o adresă privată din intervalul de operator 100.64.0.0/10 în loc de un IP public real. Există pentru că lumea a rămas fără blocuri IPv4 libere cu ani în urmă: în loc să cumpere adrese tot mai scumpe, majoritatea furnizorilor de wireless fix, mobil, fibră și satelit plasează acum abonații în spatele unui gateway partajat. MikroTik-ul dvs. primește în continuare acces la internet și poate iniția normal conexiuni de ieșire — dar din punctul de vedere al internetului public, routerul dvs. nu are o adresă proprie. (Carrier-grade NAT — Wikipedia)

Cum întrerupe CGNAT accesul de intrare la un MikroTik?

Redirecționarea normală a porturilor presupune că interfața dvs. WAN deține un IP public pe care restul internetului îl poate accesa. Sub CGNAT, această presupunere eșuează de două ori. În primul rând, adresa dvs. WAN este privată (deseori 100.64.x.x), așa că un port redirecționat pe MikroTik-ul dvs. indică o adresă pe care nimeni din afara operatorului nu o poate ruta. În al doilea rând, IP-ul public real se află pe dispozitivul NAT principal al furnizorului de internet, care este partajat cu zeci de alți abonați și nu vă va redirecționa un port de intrare arbitrar — nu îl controlați. (Open Port Checkers — Why port forwarding fails with CGNAT)

Consecința practică pentru oricine administrează un parc de routere este gravă: nu puteți accesa MikroTik-ul unui client prin Winbox, WebFig, SSH sau API de la birou, deoarece nu există nicio cale de intrare către el. Un nume de gazdă DNS dinamic nu ajută nici el — s-ar rezolva la IP-ul partajat al operatorului, nu la routerul dvs. Acesta este același zid de care se lovesc utilizatorii Starlink, pe care îl tratăm în detaliu în studiul nostru de caz despre schimbările de IP la Starlink.

Cum vă dați seama dacă un MikroTik este în spatele CGNAT?

Verificați adresa de pe interfața WAN și comparați-o cu IP-ul public pe care conexiunea îl arată efectiv internetului. Într-un terminal Winbox sau WebFig:

/ip address print

Dacă interfața WAN deține o adresă în intervalul 100.64.0.0100.127.255.255 (intervalul partajat 100.64.0.0/10), 10.0.0.0/8 sau alt interval privat RFC1918, sunteți aproape sigur în spatele CGNAT. Confirmați comparând acea adresă cu ceea ce raportează un serviciu extern „care este IP-ul meu”: dacă diferă, un NAT de operator se află între dvs. și internet. Un traceroute care arată unul sau mai multe salturi private înainte de primul salt public este un alt semnal puternic. (oneuptime — How to detect if you are behind CGNAT)

Cum gestionați routerele MikroTik în spatele CGNAT?

Soluția durabilă este să nu mai încercați să vă conectați înăuntru și, în schimb, să lăsați routerul să se conecteze în afară către un punct de întâlnire cu o adresă publică stabilă. Deoarece conexiunea de ieșire este inițiată din spatele CGNAT, NAT-ul operatorului o permite cu plăcere — la fel cum browserul dvs. ajunge la orice site web. Odată ce acel tunel este stabilit, ajungeți la router înapoi prin el. Există patru modalități comune de a construi acest lucru, fiecare documentată în propriul ghid:

Un VPN auto-găzduit către un VPS este abordarea clasică: un VPS Linux ieftin cu un IP public acționează ca punct de întâlnire, iar fiecare MikroTik se conectează. WireGuard este opțiunea implicită modernă — rapid, cu consum redus de procesor și tolerant la schimbările de adresă care vin cu CGNAT și IP-urile dinamice. Ghidul mai amplu de gestionare bazată pe VPS tratează aceeași idee cu alte tipuri de tunel.

Un VPN mesh gestionat elimină cea mai mare parte a configurării manuale. Tailscale și ZeroTier oferă amândouă un plan de control care gestionează pentru dvs. traversarea NAT și distribuția cheilor, astfel încât un router din spatele CGNAT se alătură rețelei aproape fără nicio configurare per dispozitiv.

O platformă TR-069 / ACS este opțiunea standard din telecom atunci când operați la scară: CPE-ul deschide o sesiune de ieșire către un server de auto-configurare, care apoi împinge configurația și firmware-ul. Acesta este construit special pentru gestionarea dispozitivelor abonaților care trăiesc în spatele NAT-ului de operator.

Un cloud de gestionare special construit combină ideea tunelului de ieșire cu monitorizarea și controlul accesului într-un singur loc, ceea ce este modelul pe care îl folosește NATCloud de la MKController.

Sfaturi

  • IPv6 ocolește adesea complet CGNAT. Dacă furnizorul dvs. de internet atribuie un prefix IPv6 rutabil, este posibil să puteți ajunge la router prin IPv6 chiar și în timp ce IPv4 este blocat în spatele NAT-ului de operator — dar numai dacă fiecare salt din calea dvs. de gestionare are și IPv6.
  • Setați întotdeauna un keepalive pe tunelurile de ieșire (de exemplu persistent-keepalive=25 pe WireGuard), astfel încât operatorul să nu abandoneze în tăcere maparea NAT inactivă.
  • Unii furnizori de internet vând o adresă IPv4 statică sau publică ca supliment plătit. Pentru un singur sit critic, asta poate fi mai simplu decât un tunel; pentru un parc, nu se justifică din punct de vedere al costurilor.
  • Nu expuneți niciodată Winbox, WebFig sau SSH direct la internet ca „soluție de moment”. În spatele CGNAT oricum nu ar funcționa, iar pe un IP public real este o invitație permanentă pentru atacatori.

Întrebări frecvente

Rezolvă un serviciu DNS dinamic problema CGNAT? Nu. DNS-ul dinamic doar actualizează un nume de gazdă pentru a indica orice IP public aveți. În spatele CGNAT, acel IP public aparține operatorului și este partajat, așa că numele de gazdă nu poate ajunge la routerul dvs.

Este CGNAT același lucru cu NAT-ul de pe propriul meu router? Nu. NAT-ul routerului dvs. translatează LAN-ul dvs. privat în adresa dvs. WAN, iar dvs. controlați regulile sale de redirecționare a porturilor. CGNAT adaugă un al doilea NAT în interiorul furnizorului de internet pe care nu îl controlați, motiv pentru care redirecționarea de intrare nu funcționează.

Pot pur și simplu să cer furnizorului meu de internet să îl dezactiveze? Uneori. Mulți furnizori oferă o adresă IPv4 publică sau statică contra cost sau la cerere. Disponibilitatea și prețul variază mult în funcție de operator și regiune.

Faceți următorul pas

Construirea propriului tunel pentru un singur router este simplă. Să faci asta pentru zeci sau sute de MikroTik-uri — fiecare în spatele unui operator CGNAT diferit, cu chei de rotit și configurații VPS de supravegheat — acolo se acumulează costul operațional.

NATCloud de la MKController este construit exact pentru asta. Fiecare MikroTik intră online printr-un tunel de ieșire către planul de control, fără IP public, fără redirecționare de porturi și fără editări VPS per dispozitiv. Obțineți monitorizare centralizată și acces la distanță securizat la fiecare router, chiar și la cele îngropate adânc în spatele NAT-ului de operator.

Începeți perioada de probă gratuită MKController