Směrovače LTE / 5G - vysvětlení NAT na úrovni operátora

Co je NAT na úrovni nosiče?

Carrier-Grade NAT (CGNAT ) je technologie překladu síťových adres používaná poskytovateli internetových služeb (ISP) ke snížení spotřeby veřejných adres IPv4. Vzhledem k tomu, že fond adres IPv4 je téměř vyčerpán, mnoho poskytovatelů internetových služeb přiděluje jednu veřejnou adresu IP více účastníkům.

Namísto přidělení jedinečné veřejné IP každému zařízení zákazníka (například směrovači LTE/5G) používá poskytovatel internetu NAT na úrovni sítě operátora. V důsledku toho může být váš směrovač za NAT uvnitř sítě ISP, což bez speciální konfigurace znemožňuje příchozí připojení z internetu (WAN).

Proč to způsobuje problémy se vzdáleným přístupem a přesměrováním portů

Při nastavování vzdáleného přístupu (např. webové grafické rozhraní, VPN, kamery, servery, SSH atd.) brání CGNAT zařízením na internetu v navázání přímého připojení ke směrovači, protože:

• Vaše zařízení nemá vlastní veřejnou IP adresu.

• Poskytovatel internetových služeb nepředává příchozí provoz vašemu zařízení.

• Přesměrování portů nefunguje, protože nemáte kontrolu nad veřejnou IP adresou.

Jak zkontrolovat, zda jste za CGNAT

Při kontrole postupujte podle následujících kroků:

1. Přistupte k webovému rozhraní směrovače

Přihlaste se do webového grafického rozhraní směrovače zadáním místní IP adresy (např. 192.168.1.1) do prohlížeče.

2. Vyhledejte adresu IP sítě WAN

Přejděte do sekce Network (Síť) > WAN Status (Stav sítě WAN ) (nebo podobné sekce) a vyhledejte adresu WAN IP přidělenou vašemu směrovači.

3. Pomocí online nástroje zkontrolujte veřejnou IP adresu

Navštivte webovou stránku, například https://whatsmyip.com, a zjistěte svou aktuální veřejnou IP adresu.

4. Porovnejte adresy IP

• Pokud se IP adresa WAN a veřejná IP adresa shodují, pak se CGNAT nepoužívá a vzdálený přístup by měl být možný.

• Pokud se adresy liší (např. adresa WAN IP začíná 10.x.x.x, 100.64.x.x, 192.168.x.x nebo 172.16-31.x.x), váš směrovač je za adresou NAT třídy Carrier-Grade a vzdálený přístup zvenčí nebude fungovat.

Příklad:

• WAN IP = 10.204.58.202

• Veřejná IP = 93.159.x.x

To znamená, že CGNAT je aktivní - a vzdálený přístup nebude možný bez změny ze strany vašeho poskytovatele internetu.

Co dělat, když jste za CGNAT?

Pokud zjistíte, že váš směrovač LTE/5G je za sítí CGNAT, a potřebujete vzdálený přístup (pro správu, IP kamery, VPN atd.):

Řešení: Řešení: Požádejte poskytovatele připojení o veřejnou IP adresu

Kontaktujte svého poskytovatele mobilních nebo internetových služeb a:

1. Požádejte o vyhrazenou veřejnou adresu IPv4 pro vaši kartu SIM nebo směrovač LTE/5G.

2. Zeptejte se, zda je k dispozici statické přidělení IP nebo konfigurace DMZ/VPN.

3. Potvrďte si případné náklady - mnoho poskytovatelů internetu nabízí tuto službu jako placenou, často však za rozumnou cenu.

Bonus: CGNAT a IPv6

Někteří poskytovatelé internetových služeb nyní nabízejí IPv6, což zcela eliminuje potřebu NAT. V takovém případě lze CGNAT obejít. Nicméně:

• Váš směrovač a síť musí podporovat protokol IPv6.

• Vzdálený přístup přes IPv6 může vyžadovat další konfiguraci (pravidla brány firewall, směrování, filtry).

Závěr

CGNAT je rozšířeným řešením vyčerpání protokolu IPv4, brání však vzdálenému přístupu a přesměrování portů. Pokud máte podezření, že za vámi stojí CGNAT:

• Zkontrolujte a porovnejte své WAN a veřejné IP.

• Ověřte, zda je CGNAT v provozu.

• Obraťte se na poskytovatele internetových služeb a získejte veřejnou IP adresu.

Tím obnovíte plnou funkčnost vzdáleného přístupu a umožníte, aby vaše zařízení bylo dosažitelné z vnějšího světa.