Mi az a CGNAT, és miért használják az internetszolgáltatók?

A CGNAT (Carrier-Grade Network Address Translation) lehetővé teszi az internetszolgáltatók számára, hogy egyetlen nyilvános IPv4-címet egyidejűleg több ügyfél között osszanak meg. Az internetszolgáltatók azért alkalmazzák, hogy kezeljék az IPv4-címek kimerülését, és minél tovább nyújtsák korlátozott címkészleteiket. A privát IP-tartományokat nyilvánosra fordítja le a szolgáltatói szinten, még mielőtt a forgalom elérné az otthoni routert.

Hogyan érinti a CGNAT a VPN-felhasználókat?

A CGNAT komoly problémákat okozhat a VPN-felhasználók számára. Mivel több felhasználó osztozik egyetlen nyilvános IP-n, a port továbbítás lehetetlenné válik, a peer-to-peer kapcsolatok megbízhatatlanná válnak, és egyes VPN-protokollok nehezen tudnak stabil tunnelt felépíteni. Szerverek üzemeltetése vagy közvetlen bejövő kapcsolatot igénylő alkalmazások futtatása gyakorlatilag kivitelezhetetlen, hacsak nem kér dedikált IP-t az internetszolgáltatójától.

Csökkenti-e a CGNAT az online adatvédelmemet?

Némileg paradox módon a CGNAT mindkét irányban bonyolíthatja az adatvédelmet. Mivel sok felhasználó osztozik egyetlen IP-címen, az egyéni tevékenység nehezebben azonosítható be – ami bizonyos fokú anonimitást nyújt. Ugyanakkor az internetszolgáltatónak mélyebb rálátása van a forgalmára a fordítások kezeléséhez, ami azt jelenti, hogy részletesebben tudja megfigyelni a kapcsolatokat, mint a hagyományos NAT-konfigurációk esetén.

Megoldja-e az IPv6-ra való átállás a CGNAT-tal kapcsolatos problémákat?

Igen, az IPv6 nagyrészt megszünteti a CGNAT szükségességét azáltal, hogy hatalmas címteret biztosít, és minden eszköznek egyedi nyilvános címet ad. Az IPv6 széles körű elterjedése azonban még nem teljes, így sok szolgáltatás továbbra is IPv4-re támaszkodik. Rövidebb távú megoldásként praktikus lehetőség egy IPv6-támogatással rendelkező VPN használata, illetve statikus IPv4-cím igénylése az internetszolgáltatótól.

CGNAT

CGNAT: Mi ez, és miért fontos a VPN-felhasználók számára?

Ha valaha is megpróbáltál portforwardingot beállítani, és az egyszerűen nem működött – bármit is tettél –, a CGNAT lehet az oka. Ez egyike azoknak a háttérben zajló hálózati döntéseknek, amelyeket az internetszolgáltatód hoz, és amelyek nagyon is valós következményekkel járnak az internet-használatodra nézve.

Mi az a CGNAT?

A Carrier-Grade NAT (más néven Large-Scale NAT vagy CGN) egy olyan módszer, amelyet az internetszolgáltatók a fogyatkozó IPv4-címkészlet nyújtására használnak. Ahelyett, hogy minden ügyfélnek saját egyedi nyilvános IP-címet adnának, az internetszolgáltató egyetlen nyilvános IP-t oszt ki egyszerre nagyszámú ügyfél között. A külvilág szemszögéből nézve tucatnyi, sőt akár több száz háztartás is ugyanazt az IP-címet látszik megosztani.

Képzelj el egy apartmanházat egyetlen utcai címmel. Az épületnek van egy nyilvános címe, de belül tucatnyi önálló lakás található. A levelek (internetes forgalom) az épülethez érkeznek, és egy belső rendszer irányítja őket a megfelelő lakásba. A CGNAT ez az útválasztó rendszer – csak jóval nagyobb, internetszolgáltatói szinten.

Hogyan működik a CGNAT?

A hagyományos NAT, amelyet a legtöbb otthoni router már elvégez, a helyi privát IP-címedet (például 192.168.x.x) a routered nyilvános IP-jére fordítja le. A CGNAT egy újabb réteget ad ehhez hozzá. A routered egy privát IP-t kap a 100.64.0.0/10 tartományból (amelyet kifejezetten CGNAT-hoz tartanak fenn), és az internetszolgáltató saját rendszere ezt aztán egyetlen megosztott nyilvános IP-címmé alakítja.

Az útvonal tehát így néz ki:

Az eszközöd → Otthoni router NAT → Az internetszolgáltató CGNAT-rendszere → Nyilvános internet

Ez a kettős NAT-beállítás okozza a rengeteg fejfájást. Az általad küldött kérések visszairányított választ kaphatnak, mivel a rendszer nyomon követi a kimenő kapcsolatokat. A bejövő kapcsolatoknál – amelyeket kívülről kezdeményeznek – azonban nincs hova érkezni. A CGNAT-rendszer nem tudja, hogy a sok ügyfele közül melyiknek szól egy kéretlen bejövő kérés.

Miért fontos a CGNAT a VPN-felhasználók számára?

A CGNAT számos gyakorlati problémát okoz, amelyek közvetlenül érintik a VPN teljesítményét és működését:

A portforwarding szinte lehetetlenné válik. Otthoni szerver, játékszerver vagy bármilyen olyan szolgáltatás üzemeltetése, amely megköveteli, hogy külső eszközök csatlakozzanak hozzád, a CGNAT miatt blokkolva van. Az otthoni routeren beállított portforwarding-szabályok nem hatnak, mivel az internetszolgáltató CGNAT-rétege elöttük helyezkedik el.

A peer-to-peer kapcsolatok romlanak. A torrentezés, a közvetlen peer-kapcsolatokat igénylő játékok és a WebRTC-alapú alkalmazások mind nehezen működnek CGNAT alatt. Ezek a technológiák arra támaszkodnak, hogy elérhetők legyenek a hálózaton kívülről, amit a CGNAT megakadályoz.

Megosztott IP-reputációs problémák. Mivel több száz felhasználó osztozik egyetlen nyilvános IP-n, ha bármelyikük spam- vagy visszaélésszerű tevékenységet folytat, az adott IP-t feketelistára teheti. Az azt megosztó mindenki megszenvedi ennek következményeit – blokkolt weboldalak, CAPTCHA-k vagy megjelölt fiókok formájában.

Az otthoni VPN-hosztolás blokkolva van. Ha saját WireGuard- vagy OpenVPN-szervert szeretnél üzemeltetni otthon, hogy utazás közben visszacsatlakozhass az otthoni hálózatodhoz, a CGNAT megállítja a bejövő VPN-kapcsolatokat.

Hogyan segít a VPN (és mik a korlátai)?

Egy kereskedelmi VPN-szolgáltatás használata megkerüli a CGNAT okozta kellemetlenségek nagy részét. Amikor VPN-hez csatlakozol, a forgalmad a VPN-szolgáltató szerverén keresztül lép ki, amelynek valódi, nyilvánosan elérhető IP-címe van. Ez áthidalja a megosztott IP-problémát, és visszaállít egy közvettlenebb internetkapcsolatot.

Egyes VPN-szolgáltatók portforwardingot is kínálnak funkció gyanánt, amely lehetővé teszi a bejövő kapcsolatok elérését a VPN-alagúton keresztül – megoldva ezzel azt a problémát, amelyet a CGNAT okozott. A VPN-szolgáltatótól igényelt dedikált IP-cím szintén megoldást jelenthet, ha megosztott IP-reputációs gondok érintenek.

Egy VPN azonban nem oldja meg automatikusan a CGNAT-ot a bejövő kapcsolatok esetén, hacsak az adott portforwarding-funkciót nem engedélyezik és konfigurálják.

A nagyobb kép

A CGNAT azért létezik, mert az IPv4-címek elfogytak. A hosszú távú megoldás az IPv6, amely elegendő egyedi címet biztosít a Földön lévő minden eszköznek. Sok internetszolgáltató lassan vezeti be az IPv6-ot, de amíg az elterjedése nem válik általánossá, a CGNAT egy elterjedt megoldás marad – és a műszaki érdeklődésű felhasználók számára egy elterjedt bosszúság forrása.

CGNATSzakértő