CGNAT: Mitä se on ja miksi VPN-käyttäjien tulisi tietää siitä
Jos olet koskaan yrittänyt määrittää porttiohjauksen ja todennut, ettei se yksinkertaisesti toimi — vaikka mitä kokeilit — syy saattaa olla CGNAT. Se on yksi niistä ISP:n kulissien takana tekemistä verkkopäätöksistä, joilla on hyvin konkreettisia vaikutuksia siihen, miten käytät internetiä.
Mikä on CGNAT?
Carrier-Grade NAT (tunnetaan myös nimillä Large-Scale NAT tai CGN) on menetelmä, jota internet-palveluntarjoajat käyttävät venyttääkseen hupenevaa IPv4-osoitevarantoa. Sen sijaan, että jokainen asiakas saisi oman uniikin julkisen IP-osoitteen, ISP jakaa yhden julkisen IP-osoitteen samanaikaisesti suurelle asiakasjoukolle. Ulkomaailman näkökulmasta kymmenet tai jopa sadat kotitaloudet näyttävät jakavan saman IP-osoitteen.
Ajattele asiaa kuin kerrostaloa, jolla on vain yksi katuosoite. Rakennuksella itsellään on se yksi julkinen osoite, mutta sisällä on kymmeniä yksittäisiä huoneistoja. Posti (internetliikenne) saapuu rakennukseen, ja sisäinen järjestelmä ohjaa sen oikeaan asuntoon. CGNAT on tuo reititysmekanismi — mutta paljon laajemmassa, ISP-tason mittakaavassa.
Miten CGNAT toimii
Tavallinen NAT, jota useimmat kotiverkkojen reitittimet jo suorittavat, kääntää yksityisen paikallisen IP-osoitteesi (kuten 192.168.x.x) reitittimesi julkiseksi IP-osoitteeksi. CGNAT lisää tämän päälle vielä yhden kerroksen. Reitittimellesi määritetään yksityinen IP-osoite alueelta 100.64.0.0/10 (varattu erityisesti CGNAT-käyttöön), ja ISP:n oma järjestelmä kääntää sen edelleen yhdeksi jaetuksi julkiseksi IP-osoitteeksi.
Liikennereitti näyttää siis tältä:
Laitteesi → Kotireitittimen NAT → ISP:n CGNAT-järjestelmä → Julkinen internet
Tämä kaksinkertainen NAT-rakenne on kaiken harmien lähde. Lähettämäsi pyynnöt saavat vastauksensa reititettyä takaisin sinulle, koska järjestelmä seuraa lähteviä yhteyksiä. Mutta saapuvat yhteydet — ne, jotka käynnistetään ulkopuolelta — eivät löydä perille. CGNAT-järjestelmä ei tiedä, mille sen monista asiakkaista pyytämätön saapuva pyyntö pitäisi ohjata.
Miksi CGNAT on tärkeä VPN-käyttäjille
CGNAT aiheuttaa useita käytännön ongelmia, jotka vaikuttavat suoraan VPN:n suorituskykyyn ja toiminnallisuuteen:
Porttiohjaus muuttuu lähes mahdottomaksi. Kotipalvelimen, pelipalvelimen tai minkä tahansa palvelun pyörittäminen, joka vaatii ulkoisten laitteiden yhdistämistä sinuun, estyy CGNAT:n takia. Kotireitittimeen asetetuilla porttiohjaussäännöillä ei ole vaikutusta, koska ISP:n CGNAT-kerros sijaitsee sen edessä.
Vertaisyhteydet heikkenevät. Torrentaus, suorien vertaisyhteyksien varaan rakentuva pelaaminen sekä WebRTC-pohjaiset sovellukset kärsivät kaikki CGNAT:n alla. Nämä teknologiat edellyttävät, että sinut voidaan tavoittaa verkkosi ulkopuolelta — minkä CGNAT estää.
Jaetun IP-osoitteen mainehaitat. Koska sadat käyttäjät jakavat yhden julkisen IP-osoitteen, jos joku heistä toimii roskapostittajana tai muuten haitallisesti, kyseinen IP voi joutua mustalle listalle. Kaikki sitä jakavat kärsivät seurauksista — estetyt verkkosivustot, CAPTCHA-haasteet tai merkityt tilit.
Kotona isännöitävä VPN-palvelin estyy. Jos haluat isännöidä itse WireGuard- tai OpenVPN-palvelinta kotona yhteyttä varten matkustaessasi, CGNAT katkaisee saapuvat VPN-yhteydet täysin.
Miten VPN auttaa (ja sen rajoitukset)
Kaupallisen VPN-palvelun käyttäminen ohittaa monet CGNAT:n aiheuttamat ongelmat. Kun muodostat VPN-yhteyden, liikenteesi kulkee ulos VPN-palveluntarjoajan palvelimen kautta, jolla on aito, julkisesti reititettävä IP-osoite. Tämä kiertää jaetun IP-osoitteen ongelman ja palauttaa suoremman internet-yhteyden.
Jotkut VPN-palveluntarjoajat tarjoavat myös porttiohjauksen ominaisuutena, joka mahdollistaa saapuvien yhteyksien pääsyn sinulle VPN-tunnelin kautta — ratkaisten juuri sen ongelman, jonka CGNAT alun perin aiheutti. VPN-palveluntarjoajan dedikoitu IP-osoite on toinen ratkaisu, jos jaetun IP-osoitteen mainehaitat vaikuttavat sinuun.
VPN ei kuitenkaan automaattisesti korjaa CGNAT:ia saapuvien yhteyksien osalta, ellei nimenomaisesti porttiohjausominaisuus ole käytössä ja konfiguroitu.
Laajempi kuva
CGNAT on olemassa, koska IPv4-osoitteet loppuivat. Pitkäaikainen ratkaisu on IPv6, joka tarjoaa riittävästi uniikkeja osoitteita jokaiselle maailman laitteelle. Monet ISP:t ottavat IPv6:ta hitaasti käyttöön, mutta kunnes käyttöönotto on yleismaailmallista, CGNAT pysyy yleisenä kiertoratkaisuna — ja yleisenä turhautumisen lähteenä teknisesti suuntautuneille käyttäjille.