Comment vérifier si vous êtes derrière un CGNAT
Vérifiez si votre routeur possède une vraie adresse IPv4 publique, s il est derrière le CGNAT de votre FAI, ou s il s agit seulement d un double NAT local.
Le Carrier-Grade NAT, généralement abrégé en CGNAT, est l une des raisons les plus fréquentes pour lesquelles la redirection de ports semble ne rien faire. Votre routeur peut accepter la création d une règle de redirection, votre serveur de jeu peut être lancé et votre pare-feu local peut sembler correct, mais les personnes hors de votre domicile ne peuvent toujours pas se connecter. La pièce manquante est souvent simple : votre routeur domestique ne possède peut-être pas réellement une adresse IPv4 publique.
Ce guide présente une méthode pratique pour vérifier le CGNAT sans deviner. Le but n est pas de considérer chaque résultat NAT strict comme du CGNAT. Les tests de type NAT décrivent le comportement des connexions. Le CGNAT est une architecture de partage d adresses placée en amont par un FAI. Pour l identifier, comparez votre adresse IPv4 publique avec l adresse WAN du routeur, vérifiez la plage d adresses, puis écartez un double NAT ordinaire dans votre réseau domestique.
Réponse rapide
Si l adresse IPv4 WAN de votre routeur est identique à l adresse IPv4 publique affichée par un vérificateur externe, votre routeur possède probablement une vraie IPv4 publique.
Si l adresse WAN de votre routeur se trouve dans 100.64.0.0/10, c est un signal fort de CGNAT. La RFC 6598 réserve cet espace d adresses partagé aux déploiements NAT des fournisseurs de services.
Si l adresse WAN de votre routeur se trouve dans 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16, il existe un NAT en amont. Il peut s agir de la passerelle de votre FAI, de votre modem/routeur ou d un autre routeur domestique.
Si l adresse WAN et l adresse publique sont différentes, un élément en amont traduit le trafic. Vérifiez d abord la topologie de votre réseau domestique avant de conclure à du CGNAT.
Pourquoi le type NAT seul ne prouve pas le CGNAT
Un test de type NAT observe le comportement de votre réseau actuel lorsqu une connexion est établie. Selon la méthode de test, il peut afficher internet ouvert, full cone, restreint, restreint par port, symétrique, délai expiré ou blocage. C est utile pour les jeux et les applications pair à pair, mais cela ne révèle pas qui possède l adresse IPv4 publique. Un résultat NAT symétrique peut se produire sur un routeur avec IPv4 publique, et un foyer derrière CGNAT peut encore permettre à certaines sessions sortantes de fonctionner normalement.
Le CGNAT est différent. Il signifie que le FAI place de nombreux abonnés derrière une couche NAT partagée afin que plusieurs clients utilisent un plus petit pool d adresses IPv4 publiques. La RFC 6888 décrit le CGN comme un NAT multi-abonnés. La RFC 6269 explique pourquoi le partage d adresses peut casser des hypothèses faites par les applications, la journalisation, le traitement des abus et la connectivité entrante. Pour les utilisateurs à domicile, le symptôme pratique est que le trafic entrant non sollicité ne peut pas atteindre le routeur, même lorsque la règle locale de redirection de ports est correcte.
Comment vérifier le CGNAT
1Trouvez votre adresse IPv4 publique
Lancez un vérificateur d IP publique depuis un appareil sur le même réseau, ou lancez le test NAT de ce site et copiez la valeur IPv4. C est l adresse que voient les sites web et les services distants. Notez-la exactement, car vous la comparerez à l adresse WAN du routeur à l étape suivante.
2Trouvez l adresse IPv4 WAN ou Internet sur votre routeur
Connectez-vous à la page d administration du routeur et cherchez un champ nommé WAN IP, Internet IP, adresse IPv4 ou état de passerelle. N utilisez pas l adresse locale de votre téléphone ou PC, comme 192.168.1.23. Il vous faut l adresse attribuée à l interface du routeur côté internet.
3Vérifiez la plage de l adresse WAN
Si l adresse WAN du routeur va de 100.64.0.0 à 100.127.255.255, elle se trouve dans l espace d adresses partagé défini par la RFC 6598 et listé par l IANA comme non joignable globalement. Si elle est 10.x.x.x, 172.16-31.x.x ou 192.168.x.x, il s agit d un espace privé. Dans les deux cas, le routeur ne détient pas directement une adresse IPv4 normale joignable globalement.
4Écartez le double NAT à domicile
De nombreux foyers ont deux appareils de routage : un modem/routeur du FAI et un routeur Wi-Fi séparé. Si les deux routent, votre propre routeur reçoit une adresse WAN privée, même si la ligne du FAI peut encore avoir une IPv4 publique sur le premier appareil. Mettez l appareil du FAI en mode bridge ou configurez votre routeur en mode point d accès, puis vérifiez à nouveau.
5Utilisez la redirection de ports comme indice complémentaire
Un échec de redirection de ports ne suffit pas à prouver le CGNAT, mais il devient utile après avoir vérifié qu un service écoute et que le pare-feu est ouvert. Si l adresse WAN est partagée ou privée et que les tests de ports externes échouent toujours, le CGNAT ou un autre NAT en amont bloque probablement l accès entrant.
6Utilisez traceroute seulement comme signal avancé
Cloudflare décrit une technique qui recherche des sauts 100.64.0.0/10 entre le réseau client et l adresse publique observée. Cela peut aider les utilisateurs techniques à confirmer un chemin CGN, mais ce n est pas la première étape pour la plupart des gens, car le routage et le filtrage du FAI peuvent masquer ou modifier la visibilité des sauts.
Plages d adresses importantes
| Plage | Signification |
|---|---|
| 100.64.0.0/10 | Espace d adresses partagé pour le NAT des fournisseurs de services. Une adresse WAN de routeur dans cette plage est un indicateur fort de CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Espace d adresses privées. Votre routeur est derrière un autre appareil NAT, qui peut être la passerelle du FAI ou un autre routeur local. |
| Autres plages IPv4 normales | Si l adresse WAN du routeur correspond au résultat du vérificateur IPv4 public, la redirection de ports peut généralement fonctionner si le service local et le pare-feu sont configurés correctement. |
CGNAT ou double NAT
Le CGNAT et le double NAT se ressemblent, car les deux placent votre appareil derrière plus d une couche de traduction. La différence est le contrôle. Vous pouvez souvent corriger le double NAT en changeant le mode de vos propres équipements. En général, vous ne pouvez pas supprimer le CGNAT du FAI depuis les réglages de votre routeur domestique.
CGNAT
Le FAI partage des adresses IPv4 publiques entre de nombreux abonnés. Votre routeur reçoit une adresse amont partagée ou privée, donc le trafic IPv4 entrant non sollicité s arrête avant d atteindre votre routeur.
Double NAT
Deux appareils de votre domicile routent tous les deux, souvent une passerelle FAI plus votre propre routeur. Le mode bridge, le mode point d accès ou la suppression d une couche de routage permettent généralement de corriger le problème.
Faux signaux fréquents
Ne diagnostiquez pas le CGNAT à partir du seul résultat d un port fermé. Un port fermé indique seulement que le test externe n a pas atteint un service acceptant la connexion. Plusieurs problèmes locaux peuvent produire le même résultat.
- Le pare-feu du système d exploitation ou du routeur bloque le port même si la règle de redirection existe.
- Le serveur de jeu, la caméra, le NAS ou le service de bureau à distance n écoute pas réellement sur ce port.
- La règle de redirection utilise TCP alors que l application a besoin d UDP, ou le vérificateur externe teste le mauvais protocole.
- Un VPN, une suite de sécurité ou un proxy modifie l IP publique observée et rend les résultats de comparaison trompeurs.
Ce que vous pouvez faire
Corrigez d abord le double NAT local
Si vous contrôlez les deux appareils de routage, mettez la passerelle du FAI en mode bridge ou configurez le second routeur en mode point d accès. Comparez ensuite à nouveau l IP WAN et l IP publique.
Demandez une IPv4 publique à votre FAI
Certains fournisseurs proposent une adresse IPv4 publique, une option IPv4 statique ou une offre sans CGNAT. Le nom et le prix varient selon la région.
Utilisez IPv6 lorsque le côté distant le prend en charge
IPv6 peut éviter le CGNAT IPv4, mais le pare-feu du routeur contrôle toujours l accessibilité entrante. Testez séparément la disponibilité IPv6 et l accessibilité externe.
Utilisez un relais, VPS, tunnel ou serveur hébergé
Si le FAI ne fournit pas d IPv4 publique, utilisez un mode de jeu basé sur relais, un tunnel VPS, un proxy inverse ou un serveur hébergé disposant d une adresse publique joignable.
Vérifiez d abord votre comportement NAT
Lancez le test NAT sur le même réseau avant de modifier les réglages du routeur. Le résultat aide à distinguer le comportement NAT, le partage d adresses du FAI et les problèmes de pare-feu local.
Vérifier le type NAT ->Références
- RFC 6598 : préfixe IPv4 réservé par l IANA pour l espace d adresses partagé
- Registre IANA des adresses IPv4 à usage spécial
- RFC 6888 : exigences communes pour les NAT Carrier-Grade
- RFC 6269 : problèmes liés au partage d adresses IP
- Cloudflare : détecter le Carrier-Grade NAT
- TP-Link : dépannage de la redirection de ports
- TP-Link : DDNS et dépannage d IP WAN privée
- Cisco : aperçu du Carrier-Grade NAT