İçeriğe geç
InstagramYouTubeFacebook

Remote Access

CGNAT Arkasında MikroTik Uzaktan Erişim

CGNAT'nin ne olduğunu, MikroTik yönlendiricilere gelen erişimi neden engellediğini ve filonuzu giden tünellerle uzaktan nasıl yöneteceğinizi öğrenin.

Özet CGNAT (Carrier-Grade NAT), bir ISS’nin tek bir genel IPv4 adresini birçok aboneyle paylaşmasına olanak tanır; bu kıt adresleri korur ama gelen bağlantıları bozar — dolayısıyla arkasındaki bir MikroTik yönlendiriciye port yönlendirme yapmak basitçe işe yaramaz. Yönlendiricinin erişilebilir bir genel adresi olmadığından güvenilir çözüm yönü tersine çevirmektir: yönlendiricinin kontrol ettiğiniz bir buluşma noktasına dışarı arama yapmasını sağlayın. Bu kılavuz CGNAT’nin ne olduğunu, nasıl tespit edileceğini ve arkasındaki MikroTik yönlendiricilerin giden tünellerle nasıl yönetileceğini açıklar.

CGNAT Nedir?

CGNAT, ISS’nin ağı içinde çalışan ve birçok müşteriyi küçük bir paylaşımlı genel IPv4 adres havuzuna eşleyen ikinci bir ağ adresi çevirisi katmanıdır; tipik olarak her aboneye gerçek bir genel IP yerine 100.64.0.0/10 operatör aralığından özel bir adres verir. Var olmasının nedeni, dünyanın yıllar önce boş IPv4 bloklarını tüketmesidir: giderek pahalanan adresleri satın almak yerine, sabit kablosuz, mobil, fiber ve uydu sağlayıcılarının çoğu artık aboneleri paylaşımlı bir ağ geçidinin arkasına yerleştiriyor. MikroTik’iniz hâlâ internet erişimi alıyor ve normal şekilde giden bağlantı başlatabiliyor — ancak genel internetin bakış açısından yönlendiricinizin kendine ait bir adresi yoktur. (Carrier-grade NAT — Wikipedia)

CGNAT bir MikroTik’e gelen erişimi nasıl bozar?

Normal port yönlendirme, WAN arayüzünüzün internetin geri kalanının ulaşabileceği bir genel IP’ye sahip olduğunu varsayar. CGNAT altında bu varsayım iki kat birden çöker. Birincisi, WAN adresiniz özeldir (genellikle 100.64.x.x), bu nedenle MikroTik’inizdeki yönlendirilmiş bir port, operatörün dışındaki kimsenin yönlendirme yapamayacağı bir adresi işaret eder. İkincisi, gerçek genel IP, ISS’nin ana NAT cihazında bulunur; bu cihaz onlarca başka aboneyle paylaşılır ve size rastgele bir gelen portu yönlendirmez — siz onu kontrol etmiyorsunuz. (Open Port Checkers — Why port forwarding fails with CGNAT)

Bir yönlendirici filosu işleten herkes için pratik sonuç ağırdır: bir müşterinin MikroTik’ine ofisten Winbox, WebFig, SSH veya API ile bağlanamazsınız, çünkü ona gelen bir yol yoktur. Dinamik DNS ana bilgisayar adı da yardımcı olmaz — operatörün paylaşımlı IP’sine çözümlenir, yönlendiricinize değil. Bu, Starlink kullanıcılarının çarptığı aynı duvardır; bunu Starlink IP değişiklikleri vaka çalışmamızda ayrıntılı olarak ele alıyoruz.

Bir MikroTik’in CGNAT arkasında olup olmadığını nasıl anlarsınız?

WAN arayüzündeki adresi kontrol edin ve bağlantının internete gerçekten gösterdiği genel IP ile karşılaştırın. Bir Winbox veya WebFig terminalinde:

/ip address print

WAN arayüzü 100.64.0.0100.127.255.255 (paylaşımlı 100.64.0.0/10 aralığı), 10.0.0.0/8 veya başka bir RFC1918 özel aralığı içinde bir adres tutuyorsa, neredeyse kesinlikle CGNAT arkasındasınız. Bunu, o adresi harici bir “what is my IP” hizmetinin bildirdiğiyle karşılaştırarak doğrulayın: farklılarsa, sizinle internet arasında bir operatör NAT’ı oturuyordur. İlk genel atlamadan önce bir veya daha fazla özel atlama gösteren bir traceroute da güçlü bir başka işarettir. (oneuptime — How to detect if you are behind CGNAT)

CGNAT arkasındaki MikroTik yönlendiricileri nasıl yönetirsiniz?

Kalıcı çözüm, içeri bağlanmaya çalışmayı bırakıp bunun yerine yönlendiricinin kararlı bir genel adrese sahip bir buluşma noktasına dışarı bağlanmasına izin vermektir. Giden bağlantı CGNAT’nin arkasından başlatıldığından, operatörün NAT’ı buna seve seve izin verir — tıpkı tarayıcınızın herhangi bir web sitesine ulaşması gibi. Bu tünel kurulduktan sonra yönlendiriciye geri dönüp onun üzerinden ulaşırsınız. Bunu kurmanın, her biri kendi kılavuzunda belgelenen dört yaygın yolu vardır:

Bir VPS’e kendi barındırdığınız VPN klasik yaklaşımdır: genel IP’li ucuz bir Linux VPS buluşma noktası görevi görür ve her MikroTik içeri arama yapar. WireGuard modern varsayılandır — hızlı, düşük CPU kullanan ve CGNAT ile dinamik IP’lerin getirdiği adres değişikliklerine toleranslı. Daha geniş VPS tabanlı yönetim kılavuzu aynı fikri diğer tünel türleriyle ele alır.

Yönetilen bir mesh VPN manuel işlerin çoğunu ortadan kaldırır. Tailscale ve ZeroTier her ikisi de NAT geçişini ve anahtar dağıtımını sizin için halleden bir kontrol düzlemi sağlar; böylece CGNAT arkasındaki bir yönlendirici cihaz başına neredeyse hiç yapılandırma gerektirmeden ağa katılır.

Bir TR-069 / ACS platformu ölçekte çalıştığınızda telekom standardı seçenektir: CPE, bir otomatik yapılandırma sunucusuna giden bir oturum açar ve sunucu daha sonra yapılandırma ve donanım yazılımını gönderir. Operatör NAT’ının arkasında yaşayan abone cihazlarını yönetmek için özel olarak tasarlanmıştır.

Özel olarak tasarlanmış bir yönetim bulutu, giden tünel fikrini izleme ve erişim kontrolüyle tek bir yerde birleştirir; bu, MKController’ın NATCloud’unun kullandığı modeldir.

İpuçları

  • IPv6 çoğu zaman CGNAT’yi tamamen aşar. ISS’niz yönlendirilebilir bir IPv6 öneki atıyorsa, IPv4 operatör NAT’ının arkasına hapsolmuşken bile yönlendiriciye IPv6 üzerinden ulaşabilirsiniz — ancak yalnızca yönetim yolunuzdaki her atlamanın da IPv6’ya sahip olması durumunda.
  • Giden tünellerde her zaman bir keepalive ayarlayın (örneğin WireGuard’da persistent-keepalive=25), böylece operatör boştaki NAT eşlemesini sessizce düşürmez.
  • Bazı ISS’ler statik veya genel bir IPv4 adresini ücretli bir ek olarak satar. Tek bir kritik konum için bu bir tünelden daha basit olabilir; bir filo için maliyet açısından ölçeklenmez.
  • Bir “geçici çözüm” olarak Winbox, WebFig veya SSH’yi asla doğrudan internete açmayın. CGNAT arkasında zaten işe yaramaz ve gerçek bir genel IP üzerinde saldırganlara açık bir davettir.

SSS

Dinamik bir DNS hizmeti CGNAT’yi çözer mi? Hayır. Dinamik DNS yalnızca bir ana bilgisayar adını sahip olduğunuz genel IP’ye işaret edecek şekilde günceller. CGNAT arkasında o genel IP operatöre aittir ve paylaşımlıdır, bu yüzden ana bilgisayar adı yönlendiricinize ulaşamaz.

CGNAT, kendi yönlendiricimdeki NAT ile aynı şey mi? Hayır. Yönlendiricinizin NAT’ı özel LAN’ınızı WAN adresinize çevirir ve port yönlendirme kurallarını siz kontrol edersiniz. CGNAT, kontrol etmediğiniz ISS içinde ikinci bir NAT ekler; bu yüzden gelen yönlendirme bozulur.

Sadece ISS’mden kapatmasını isteyebilir miyim? Bazen. Birçok sağlayıcı bir ücret karşılığında veya talep üzerine genel ya da statik bir IPv4 adresi sunar. Kullanılabilirlik ve fiyat operatöre ve bölgeye göre büyük ölçüde değişir.

Bir sonraki adımı atın

Tek bir yönlendirici için kendi tünelinizi kurmak basittir. Bunu onlarca veya yüzlerce MikroTik genelinde yapmak — her biri farklı bir CGNAT operatörünün arkasında, döndürülecek anahtarlar ve gözetilecek VPS yapılandırmalarıyla — işletme maliyetinin biriktiği yerdir.

MKController’ın NATCloud’u tam olarak bunun için tasarlandı. Her MikroTik, genel IP olmadan, port yönlendirme olmadan ve cihaz başına VPS düzenlemesi gerektirmeden kontrol düzlemine giden bir tünel üzerinden çevrimiçi olur. Operatör NAT’ının derinlerine gömülü olanlar da dahil olmak üzere her yönlendiriciye merkezi izleme ve güvenli uzaktan erişim elde edersiniz.

Ücretsiz MKController denemenizi başlatın