“CGNAT” i zašto ne možete da otvorite portove na modemu?

“CGNAT” i zašto ne možete da otvorite portove na modemu?

Comments 0

Nailazim na sve više korisnika Interneta na raznim forumima koji se žale da im ne radi port forwarding, tj. “otvaranje portova”, na modemu, i da ne mogu da koriste video nadzor, hostuju servise lokalno (uključujući i multiplayer sesije popularnih igrica). Oni koji koriste BitTorrent i članovi su private tracker-a imaju problema sa uploadovanjem sadržaja zbog čega bivaju kažnjavani od strane drugih članova, jer ne mogu da održe svoj “ratio”.

Odlučio sam da napišem ovaj članak kako bi korisnici mogli lakše da se informišu o ovom problemu i o načinima rešavanja. Pojedini detalji se razlikuju u zavisnosti od pristupne tehnologije (xDSL, DOCSIS, FTTH, WISP, MBB) ali je suština ista.

U čemu je problem?

Problem sa kojim se susrećete proizlazi iz činjenice da je operator Vašem modemu dodelio privatnu IP adresu. Ovo može biti iz CGNAT opsega 100.64.0.0/10, kako je definisano u RFC 6598, ali može biti i iz opšteg privatnog opsega 10.0.0.0/8 - potpuno je nebitno, isto funkcioniše.

Dakle, Vaš modem nema javnu IP adresu koju bi neko mogao da koristi da direktno “dopre” do modema. Umesto toga, Vaš modem ima dodeljenu privatnu IP adresu koju koristi da komunicira sa NAT Gateway uređajem koji se nalazi u Core mreži operatora.

Operatorov NAT Gateway ima dostupan određen broj javnih IP adresa koje koristi za “izlaz” na Internet. Međutim, broj IP adresa je mnogo manji od broja korisnika, pa se saobraćaj više korisnika rutira “kroz” jednu IP adresu.

Dijagram CGNAT mreže kod operatora

Dijagram CGNAT mreže kod operatora


Usled navedenog, nemoguće je da forward-ujete port na modemu jer Vaš modem zapravo forward-uje port na internoj privatnoj IP adresi, kojoj niko ne može da pristupi.

Kako radi CGNAT?

Sa tehničke strane, CGNAT predstavlja “uvećanu” verziju klasičnog NAT-a koji svi imamo kod kuće.

Na dijagramu iznad vidimo da postoje dva NAT okruženja. Jedno okruženje predstavlja LAN (lokalnu mrežu) na opsegu 192.168.1.0/24. Dakle, svi računari iza rutera (CPE - Customer Premise Equipment) poseduju privatnu IP adresu i mogu međusobno da komuniciraju unutar lokalne mreže, ili da preko rutera pristupe Internetu. Ruter ima jednu eksternu IP adresu u opsegu 100.64.0.0/10.

Drugo NAT okruženje predstavlja zapravo CGNAT. Konkretno, NAT Gateway odnosno Core ruter u mreži operatora poseduje (pojednostavljeno) jednu javnu IP adresu i upravlja opsegom 100.64.0.0/10 privatnih IP adresa, koje dodeljuje korisničkim modemima/ruterima. Navedene IP adrese su izolovane jedna od druge i koriste se isključivo za dvosmernu komunikaciju između NAT Gateway i CPE.

Ne dozvolite da Vas ova dvosmerna komunikacija zbuni - u pitanju je isključivo povratna putanja za odgovor na neki zahtev. Odnosno, pri otvaranju konekcije kroz NAT kreira se povratna konekcija kojom neki eksterni servis na Internetu šalje odgovor do korisnika. Ove konekcije su uvek na nasumičnim portovima, kratkotrajne su, aktive samo ka jednoj određenoj IP adresi na Internetu, i kontroliše ih NAT Gateway, pa se ne mogu koristiti za port forwarding u direktnom smislu.

Dakle, ako ste “iza” CGNAT-a jednostavno ne možete da hostujete bilo kakav servis na Internetu.

Zašto operatori primenjuju ovu tehnologiju?

Glavni problem koji se navodi kao razlog uvođenja CGNAT tehnologije je nedostatak IPv4 adresa. To je u potpunosti tačno. Međutim, pravi razlog je pohlepa i lenjost operatora.

Zašto? Operatori mogu da “zaobiđu” ovaj problem tako što će korisnicima dodeljivati javnu IPv6 adresu, i koristiti Dual-Stack Lite tehnologiju da IPv4 saobraćaj “proguraju” preko IPv6 mreže do NAT Gateway-a koji bi ih dalje obrađivao kao da je u pitanju klasični IPv4 CGNAT scenario.

U ovom slučaju bi svaki korisnik dobio IPv6 adresu, jer ih ima više nego dovoljno, a imao bi pristup IPv4 servisima. Naravno, operatori ne žele da se “muče” oko ovoga jer mogu da koriste CGNAT kod svih korisnika i naplaćuju im zakup javne statičke IP adrese, što su do rasprostranjenja CGNAT-a samo firme koristile.

Dodatan dokaz za “argument pohlepe” je i činjenica da su određeni operatori počeli da rasprodaju svoje IPv4 adrese, jer je “cena skočila” pa su i tu hteli da uzmu dodatni keš.

Čak i kada su u pitanju mobilne mreže, moguće je dodeliti IPv6 adresu svakom uređaju i koristiti Dual-Stack Lite za IPv4 pristup, što se primenjuje u svetu kod velikih provajdera (T-Mobile USA, Telstra Australia, Rogers Canada, China Mobile, itd…)

Kako mogu da rešim ovaj problem?

Postoje dva glavna načina za “rešavanje” ovog problema, u zavisnosti od načina pristupa Internetu - zakup javne statičke IP adrese ili korišćenje neke vrste VPN tunela ili servisa za port forwarding.

Pre svega, ako koristite mobilnu mrežu za pristup Internetu (dakle, “Kućni net” i “Mobilni net” paketi na mts, Vip ili Telenor mreži), ne možete zakupiti javnu statičku IP adresu.

Ukoliko koristite fiksni Internet pristup, možete zakupiti statičku IP adresu kod operatora.

Usluga se plaća mesečno i obezbeđuje Vam jednu javnu statičku IP adresu na kojoj možete da forward-ujete portove i koju ne delite sa drugim korisnicima. Cena usluge i način aktivacije se razlikuju od operatora, ali obično košta oko 600 din mesečno i aktivira se podnošenjem pisanog zahteva na prodajnom mestu. Za više detalja kontaktirajte svog operatora.

Alternativna metoda je korišćenje nekakvog VPN tunela ili servisa za port forwarding.

Kad je VPN u pitanju, možete koristiti neko gotovo rešenje, ali je neophodno da proverite da li podržava port forwarding, ili da zakupite VPS i instalirate VPN server. U tom slučaju ćete servisima pristupati preko IP adrese VPN servera. VPN možete podesiti tako da samo vrši port forwarding ili da sav Internet saobraćaj prolazi kroz tunel. Takođe postoji i besplatno rešenje, Tailscale, koje možete da koristite za gaming npr., ali samo ako na oba računara instalirate navedeni program.

Što se tiče servisa za port forwarding, postoje mnoga rešenja, najpopularniji je Ngrok, ali postoji i besplatno self-hosted rešenje Expose.

Ova rešenja se ne mogu primeniti u svakoj situaciji, u zavisnosti od Vaših potreba. Uputstva za podešavanje potražite na Internetu, ali nemojte imati previsoka očekivanja.

Operatori koji ne primenjuju CGNAT

Jedan mali dodatak koji sam hteo da spomenem su operatori u Srbiji koji ne primenjuju CGNAT svojim korisnicima. Lista je iz novembra 2020, u zavisnosti od toga kada čitate ovaj tekst, situacija se možda promenila.

Pažnja! Krajem januara 2021. godine operator Telekom Srbija (mts) je počeo da postojeće korisnike na xDSL pristupnoj infrastrukturi prebacuje na CGNAT IP adrese. Ovo znači da u budućnosti novi i postojeći korisnici Interneta kod Telekoma neće dobijati javne IP adrese.

  • Telekom Srbija / mts: NAPOMENA - Od januara 2021. godine određeni korisnici (postojeći i novi) dobijaju privatne IP adrese na xDSL pristupnoj infrastrukturi. Korisnici na ADSL, VDSL i GPON pristupnoj infrastrukturi dobijaju javne IP adrese. U periodu od 2016. do 2018. su određeni korisnici dobijali CGNAT, ali je ta praksa trenutno ukinuta. Mobilna mreža kao i Hibridni pristup imaju CGNAT tj. privatne IP adrese.
  • Orion telekom: Korisnici na GPON, WiFi i xDSL pristupnoj infrastrukturi dobijaju javne IP adrese.

Bitno je napomenuti i da SBB u praksi nekome daje javnu IP adresu a nekome ne, zavisi od “sreće”.

Pažnja! Krajem januara 2021. godine operator Supernova je počeo da prebacuje postojeće korisnike na CGNAT IP adrese. Pretpostavka je da će u narednom periodu svi korisnici biti prebačeni na CGNAT i neće imati javne IP adrese.

Operator Supernova sve nove korisnike stavlja iza CGNAT, i jedini način da dobijete javnu IP adresu je da doplatite za statičku IP adresu. Stari korisnici dobijaju CGNAT nasumično ili prilikom obnove ugovora.

Svi mobilni operatori korisnicima dodeljuju privatne IP adrese i primenjuju CGNAT. Isto važi i za male lokalne kablovske i WiFi provajdere kao što su KBCnet, Astra Telekom, YUNet, itd.

2
❤️
10
👍
0
😲
1
😢
0
😠
0

Da li Vam se dopada Vaš operater?

Popunite kratku anonimnu anketu i ocenite Vaše zadovoljstvo kvalitetom usluge Interneta, telefonije ili televizije!

Popunite anketu!

Comments (0)

Please be civil when commenting. Think before writing, don't spam, self promote, bully, harass or harm anyone. Please read the Comment Policy before posting. Comments are moderated.

There are no comments.
Be the first to contribute!


Scroll to top