Što je CGNAT i zašto ga ISP-ovi koriste?

CGNAT (Carrier-Grade Network Address Translation) omogućuje ISP-ovima da dijele jednu javnu IPv4 adresu između više korisnika istovremeno. ISP-ovi ga koriste kako bi se borili protiv iscrpljivanja IPv4 adresa, čime dodatno proširuju svoje ograničene skupove adresa. Prevodi privatne IP raspone u javne na razini operatera, prije nego što promet uopće dođe do vašeg kućnog usmjerivača.

Kako CGNAT utječe na VPN korisnike?

CGNAT može uzrokovati ozbiljne probleme za VPN korisnike. Budući da više korisnika dijeli jednu javnu IP adresu, prosljeđivanje portova postaje nemoguće, peer-to-peer veze su nepouzdane, a neki VPN protokoli mogu imati poteškoća s uspostavljanjem stabilnih tunela. Hosting poslužitelja ili pokretanje aplikacija koje zahtijevaju izravne dolazne veze postaje praktički nemoguće bez traženja namjenske IP adrese od vašeg ISP-a.

Smanjuje li CGNAT moju privatnost na internetu?

Paradoksalno, CGNAT može zakomplicirati privatnost u oba smjera. Budući da mnogi korisnici dijele jednu IP adresu, vaša je individualna aktivnost teže prepoznatljiva — što pruža određenu anonimnost. Međutim, vaš ISP ima dublji uvid u vaš promet kako bi upravljao prijevodima, što znači da može nadzirati veze detaljnije nego u standardnim NAT konfiguracijama.

Može li prelazak na IPv6 riješiti probleme povezane s CGNAT-om?

Da, IPv6 uvelike eliminira potrebu za CGNAT-om pružanjem ogromnog adresnog prostora, dajući svakom uređaju jedinstvenu javnu adresu. Međutim, široko usvajanje IPv6 još uvijek nije dovršeno, pa mnoge usluge i dalje ovise o IPv4. Korištenje VPN-a s podrškom za IPv6 ili traženje statičke IPv4 adrese od vašeg ISP-a praktična su kratkoročna rješenja.

CGNAT

CGNAT: Što je to i zašto bi VPN korisnici trebali obratiti pažnju

Ako ste ikada pokušali postaviti prosljeđivanje porta i to jednostavno nije funkcioniralo — bez obzira na sve što ste poduzeli — CGNAT je možda razlog. Jedna je to od onih pozadinskih mrežnih odluka koje donosi vaš ISP, a koje imaju vrlo stvarne posljedice na način na koji koristite internet.

Što je CGNAT?

Carrier-Grade NAT (poznat i kao Large-Scale NAT ili CGN) metoda je koju davatelji internetskih usluga koriste za produljenje sve oskudnije ponude IPv4 adresa. Umjesto da svakom korisniku dodijeli vlastitu jedinstvenu javnu IP adresu, ISP istovremeno dodjeljuje jednu javnu IP adresu velikoj skupini korisnika. Iz perspektive vanjskog svijeta, deseci ili čak stotine kućanstava dijele istu IP adresu.

Zamislite to kao stambenu zgradu s jednom uličnom adresom. Sama zgrada ima tu jednu javnu adresu, ali unutra postoje deseci pojedinačnih stanova. Pošta (internetski promet) stiže do zgrade, a sustav iznutra usmjerava je do pravog stana. CGNAT je taj sustav usmjeravanja — samo na znatno većoj, ISP-ovoj razini.

Kako CGNAT funkcionira

Standardni NAT, koji većina kućnih usmjerivača već provodi, prevodi vašu privatnu lokalnu IP adresu (poput 192.168.x.x) u javnu IP adresu vašeg usmjerivača. CGNAT dodaje još jedan sloj na vrh toga. Vašem usmjerivaču dodjeljuje se privatna IP adresa u rasponu 100.64.0.0/10 (rezerviranom posebno za CGNAT), a ISP-ov vlastiti sustav zatim je prevodi u jednu dijeljenu javnu IP adresu.

Putanja stoga izgleda ovako:

Vaš uređaj → NAT kućnog usmjerivača → ISP-ov CGNAT sustav → Javni internet

Ova dvostruka NAT postavka uzrok je tolikih problema. Svaki zahtjev koji pošaljete može dobiti odgovor usmjeren natrag k vama jer sustav prati odlazne veze. No dolazne veze — one pokrenute izvana — nemaju gdje završiti. CGNAT sustav ne zna koji od njegovih brojnih korisnika treba primiti neočekivani dolazni zahtjev.

Zašto je CGNAT važan za VPN korisnike

CGNAT uzrokuje nekoliko praktičnih problema koji izravno utječu na performanse i funkcionalnost VPN-a:

Prosljeđivanje porta postaje gotovo nemoguće. Pokretanje kućnog poslužitelja, poslužitelja za igre ili bilo koje usluge koja zahtijeva da se vanjski uređaji povežu s vama blokira CGNAT. Pravila prosljeđivanja porta postavljena na kućnom usmjerivaču nemaju učinka jer ISP-ov CGNAT sloj stoji ispred njega.

Peer-to-peer veze su degradirane. Torrenting, igranje uz izravne peer veze i aplikacije temeljene na WebRTC-u teško funkcioniraju pod CGNAT-om. Te tehnologije oslanjaju se na dostupnost izvana vaše mreže, što CGNAT onemogućava.

Problemi s reputacijom dijeljenih IP adresa. Budući da stotine korisnika dijele jednu javnu IP adresu, ako bilo koji od njih iskoristi je za neželjenu poštu ili zlonamjernu aktivnost, ta IP adresa može biti stavljena na crnu listu. Svi koji je dijele tada trpe posljedice — blokirane web stranice, CAPTCHA provjere ili označene račune.

Hosting VPN-a kod kuće je blokiran. Ako želite sami hostati WireGuard ili OpenVPN poslužitelj kod kuće kako biste se mogli spojiti na svoju kućnu mrežu dok ste na putu, CGNAT će potpuno blokirati dolazne VPN veze.

Kako VPN pomaže (i njegova ograničenja)

Korištenjem komercijalnog VPN servisa zaobilaze se mnogi problemi koje uzrokuje CGNAT. Kada se spojite na VPN, vaš promet izlazi kroz poslužitelj VPN pružatelja, koji ima stvarnu, javno dostupnu IP adresu. Time se zaobilazi problem dijeljene IP adrese i uspostavlja izravnija internetska veza.

Neki VPN pružatelji nude i prosljeđivanje porta kao funkcionalnost, što omogućuje da dolazne veze do vas stignu kroz VPN tunel — čime se rješava problem koji je CGNAT prvotno stvorio. Namjenska IP adresa od VPN pružatelja još je jedno rješenje ako vas pogađaju problemi s reputacijom dijeljenih IP adresa.

Međutim, VPN neće automatski riješiti CGNAT za dolazne veze osim ako ta specifična funkcija prosljeđivanja porta nije omogućena i konfigurirana.

Šira slika

CGNAT postoji jer su IPv4 adrese ponestale. Dugoročno rješenje je IPv6, koji pruža dovoljno jedinstvenih adresa za svaki uređaj na svijetu. Mnogi ISP-ovi polako uvode IPv6, no dok njegova primjena ne postane sveopća, CGNAT ostaje uobičajeno zaobilazno rješenje — i uobičajeni izvor frustracije za tehnički nastrojene korisnike.

CGNATNapredni