Qu'est-ce que le CGNAT et pourquoi les FAI l'utilisent-ils ?

Le CGNAT (Carrier-Grade Network Address Translation) permet aux FAI de partager une seule adresse IPv4 publique entre plusieurs clients simultanément. Les FAI y ont recours pour lutter contre l'épuisement des adresses IPv4, en optimisant l'utilisation de leurs pools d'adresses limités. Il traduit les plages d'adresses IP privées en adresses publiques au niveau du transporteur, avant même que le trafic n'atteigne votre routeur domestique.

Comment le CGNAT affecte-t-il les utilisateurs de VPN ?

Le CGNAT peut causer des problèmes importants aux utilisateurs de VPN. Étant donné que plusieurs utilisateurs partagent une même IP publique, la redirection de ports devient impossible, les connexions pair-à-pair sont peu fiables, et certains protocoles VPN peuvent avoir du mal à établir des tunnels stables. Héberger des serveurs ou exécuter des applications nécessitant des connexions entrantes directes devient en pratique impossible sans demander une IP dédiée à votre FAI.

Le CGNAT réduit-il ma confidentialité en ligne ?

Paradoxalement, le CGNAT peut compliquer la confidentialité dans les deux sens. Étant donné que de nombreux utilisateurs partagent une même adresse IP, votre activité individuelle est plus difficile à identifier — ce qui offre un certain anonymat. Cependant, votre FAI dispose d'une visibilité plus approfondie sur votre trafic pour gérer les traductions, ce qui lui permet de surveiller les connexions de manière plus granulaire qu'avec des configurations NAT standard.

Passer à l'IPv6 peut-il résoudre les problèmes liés au CGNAT ?

Oui, l'IPv6 élimine en grande partie le besoin de CGNAT en fournissant un espace d'adressage considérable, attribuant à chaque appareil une adresse publique unique. Cependant, l'adoption généralisée de l'IPv6 reste incomplète, et de nombreux services reposent encore sur l'IPv4. Utiliser un VPN compatible IPv6 ou demander une adresse IPv4 statique à votre FAI constituent des solutions de contournement pratiques à plus court terme.

CGNAT

CGNAT : ce que c'est et pourquoi les utilisateurs de VPN doivent s'y intéresser

Si vous avez déjà essayé de configurer la redirection de ports sans jamais y parvenir — quoi que vous fassiez — le CGNAT en est peut-être la cause. C'est l'une de ces décisions réseau prises en coulisses par votre FAI, mais qui a des conséquences bien réelles sur votre utilisation d'internet.

Qu'est-ce que le CGNAT ?

Le NAT de qualité opérateur (également appelé NAT à grande échelle ou CGN) est une méthode utilisée par les fournisseurs d'accès à internet pour pallier la pénurie croissante d'adresses IPv4. Au lieu d'attribuer à chaque client sa propre adresse IP publique unique, le FAI assigne une seule adresse IP publique à un grand groupe de clients simultanément. Du point de vue du reste du monde, des dizaines, voire des centaines de foyers semblent partager la même adresse IP.

Imaginez un immeuble d'appartements avec une seule adresse postale. L'immeuble dispose de cette adresse publique unique, mais des dizaines de logements distincts existent à l'intérieur. Le courrier (le trafic internet) arrive à l'immeuble, et un système interne l'achemine vers le bon appartement. Le CGNAT est ce système d'acheminement — mais à une échelle bien plus grande, celle du FAI.

Comment fonctionne le CGNAT

Le NAT standard, que la plupart des routeurs domestiques effectuent déjà, traduit votre adresse IP locale privée (comme 192.168.x.x) en l'adresse IP publique de votre routeur. Le CGNAT ajoute une couche supplémentaire par-dessus. Votre routeur se voit attribuer une adresse IP privée dans la plage 100.64.0.0/10 (réservée spécifiquement au CGNAT), et le système du FAI traduit ensuite celle-ci en une seule adresse IP publique partagée.

Le chemin ressemble donc à ceci :

Votre appareil → NAT du routeur domestique → Système CGNAT du FAI → Internet public

C'est cette configuration en double NAT qui est à l'origine de tant de problèmes. Toute requête que vous envoyez peut recevoir une réponse acheminée jusqu'à vous, car le système suit les connexions sortantes. En revanche, les connexions entrantes — celles initiées depuis l'extérieur — n'ont nulle part où aboutir. Le système CGNAT ne sait pas lequel de ses nombreux clients doit recevoir une requête entrante non sollicitée.

Pourquoi le CGNAT est important pour les utilisateurs de VPN

Le CGNAT engendre plusieurs problèmes concrets qui affectent directement les performances et les fonctionnalités des VPN :

La redirection de ports devient quasi impossible. Héberger un serveur domestique, un serveur de jeu ou tout service nécessitant que des appareils extérieurs se connectent à vous est bloqué par le CGNAT. Les règles de redirection de ports configurées sur votre routeur domestique n'ont aucun effet, car la couche CGNAT du FAI se trouve en amont.

Les connexions pair-à-pair sont dégradées. Le torrenting, le jeu en ligne avec des connexions directes entre pairs et les applications basées sur WebRTC peinent toutes sous CGNAT. Ces technologies reposent sur la possibilité d'être joignable depuis l'extérieur de votre réseau, ce que le CGNAT empêche.

Problèmes de réputation liés aux adresses IP partagées. Étant donné que des centaines d'utilisateurs partagent une seule adresse IP publique, si l'un d'entre eux adopte un comportement abusif ou envoie du spam, cette adresse IP peut être mise sur liste noire. Tous ceux qui la partagent en subissent alors les conséquences : sites web bloqués, CAPTCHAs incessants ou comptes signalés.

L'hébergement d'un VPN à domicile est bloqué. Si vous souhaitez héberger vous-même un serveur WireGuard ou OpenVPN chez vous pour vous reconnecter à votre réseau domestique en déplacement, le CGNAT bloquera toute connexion VPN entrante.

Comment un VPN peut aider (et ses limites)

L'utilisation d'un service VPN commercial permet de contourner bon nombre des problèmes liés au CGNAT. Lorsque vous vous connectez à un VPN, votre trafic transite par le serveur du fournisseur VPN, qui dispose d'une adresse IP publique réellement routable. Cela court-circuite le problème des adresses IP partagées et rétablit une connexion internet plus directe.

Certains fournisseurs de VPN proposent également la redirection de ports en tant que fonctionnalité, ce qui permet aux connexions entrantes de vous atteindre via le tunnel VPN — résolvant ainsi le problème que le CGNAT avait créé. Une adresse IP dédiée auprès d'un fournisseur VPN constitue une autre solution si les problèmes de réputation liés aux adresses IP partagées vous affectent.

Cependant, un VPN ne corrigera pas automatiquement le CGNAT pour les connexions entrantes, à moins que cette fonctionnalité spécifique de redirection de ports ne soit activée et configurée.

Une perspective plus large

Le CGNAT existe parce que les adresses IPv4 sont épuisées. La solution à long terme est l'IPv6, qui fournit suffisamment d'adresses uniques pour chaque appareil sur terre. De nombreux FAI déploient progressivement l'IPv6, mais tant que son adoption n'est pas universelle, le CGNAT reste un palliatif courant — et une source fréquente de frustration pour les utilisateurs avertis.

CGNATAvancé