Controleren of je achter CGNAT zit
Leer bepalen of je router een echt openbaar IPv4-adres heeft, achter ISP-CGNAT zit, of alleen last heeft van double NAT thuis.
Carrier-Grade NAT, meestal afgekort tot CGNAT, is een van de meest voorkomende redenen waarom port forwarding niets lijkt te doen. Je router laat je misschien een forwardingregel maken, je gameserver draait en je lokale firewall lijkt goed te staan, maar mensen buiten je huis kunnen nog steeds geen verbinding maken. Het ontbrekende stuk is vaak eenvoudig: je thuisrouter heeft mogelijk helemaal geen openbaar IPv4-adres.
Deze gids laat een praktische manier zien om CGNAT te controleren zonder te gokken. Het doel is niet om elk strict NAT-resultaat meteen CGNAT te noemen. NAT-type-tests beschrijven verbindingsgedrag. CGNAT is een upstream ontwerp voor adresdeling dat door een ISP wordt gebruikt. Om het te herkennen vergelijk je je openbare IPv4-adres met het WAN-adres van je router, controleer je het adresbereik en sluit je daarna gewone double NAT in huis uit.
Snel antwoord
Als het WAN IPv4-adres van je router gelijk is aan het openbare IPv4-adres dat een externe checker toont, heeft de router waarschijnlijk een echt openbaar IPv4-adres.
Als het WAN-adres van je router in 100.64.0.0/10 valt, is dat een sterk CGNAT-signaal. RFC 6598 reserveert deze gedeelde adresruimte voor NAT-implementaties van serviceproviders.
Als het WAN-adres van je router in 10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16 valt, is er upstream NAT. Dat kan je ISP-gateway, je modem/router of een andere thuisrouter zijn.
Als het WAN-adres en het openbare adres verschillen, vertaalt iets upstream het verkeer. Controleer eerst je thuisnetwerk-topologie voordat je het CGNAT noemt.
Waarom NAT-type alleen CGNAT niet bewijst
Een NAT-type-test observeert hoe je huidige netwerk zich gedraagt wanneer er een verbinding wordt gemaakt. Afhankelijk van de testmethode kan hij open internet, full cone, restricted, port restricted, symmetric, timeout of geblokkeerd gedrag tonen. Dat is nuttig voor gaming en peer-to-peer-toepassingen, maar het laat niet zien wie het openbare IPv4-adres bezit. Een symmetric NAT-resultaat kan voorkomen op een router met openbaar IPv4, en een huis achter CGNAT kan sommige uitgaande sessies nog steeds normaal laten werken.
CGNAT is iets anders. Het betekent dat de ISP veel abonnees achter een gedeelde NAT-laag plaatst, zodat meerdere klanten een kleinere pool openbare IPv4-adressen kunnen gebruiken. RFC 6888 beschrijft CGN als multi-subscriber NAT. RFC 6269 legt uit waarom adresdeling aannames van applicaties, logging, abuse-afhandeling en inkomende connectiviteit kan verbreken. Het praktische symptoom voor thuisgebruikers is dat ongevraagd inkomend verkeer je router niet kan bereiken, zelfs wanneer je lokale port forwarding-regel klopt.
Controleren op CGNAT
1Vind je openbare IPv4-adres
Voer een openbare IP-checker uit vanaf een apparaat op hetzelfde netwerk, of voer de NAT-test op deze site uit en kopieer de IPv4-waarde. Dit is het adres dat websites en externe diensten zien. Noteer het exact, want je vergelijkt het in de volgende stap met het WAN-adres van de router.
2Vind het WAN- of Internet-IPv4-adres op je router
Log in op de beheerpagina van je router en zoek naar een veld met de naam WAN IP, Internet IP, IPv4-adres of gatewaystatus. Gebruik niet het lokale adres van je telefoon of pc, zoals 192.168.1.23. Je hebt het adres nodig dat is toegewezen aan de internetgerichte interface van de router.
3Controleer het WAN-adresbereik
Als het WAN-adres van de router tussen 100.64.0.0 en 100.127.255.255 ligt, bevindt het zich in de gedeelde adresruimte die door RFC 6598 is gedefinieerd en door IANA als niet wereldwijd bereikbaar wordt vermeld. Is het 10.x.x.x, 172.16-31.x.x of 192.168.x.x, dan is het private adresruimte. In beide gevallen heeft de router niet direct een normaal wereldwijd bereikbaar IPv4-adres.
4Sluit double NAT thuis uit
Veel huizen hebben twee routerende apparaten: een modem/router van de ISP en een aparte wifi-router. Als beide routeren, krijgt je eigen router een privaat WAN-adres, ook al kan de ISP-lijn op het eerste apparaat nog steeds een openbaar IPv4-adres hebben. Zet het ISP-apparaat in bridge-modus of zet je eigen router in accesspoint-modus en controleer opnieuw.
5Gebruik port forwarding als ondersteunend bewijs
Mislukte port forwarding is niet genoeg om CGNAT te bewijzen, maar het is nuttig nadat je hebt bevestigd dat een dienst luistert en de firewall openstaat. Als het WAN-adres gedeeld of privaat is en externe poortchecks altijd mislukken, blokkeert CGNAT of een andere upstream NAT waarschijnlijk inkomende toegang.
6Gebruik traceroute alleen als geavanceerd signaal
Cloudflare beschrijft een techniek die zoekt naar 100.64.0.0/10 hops tussen het clientnetwerk en het waargenomen openbare adres. Dit kan technische gebruikers helpen een CGN-pad te bevestigen, maar het is voor de meeste mensen niet de eerste stap omdat ISP-routering en filtering hop-zichtbaarheid kunnen verbergen of veranderen.
Belangrijke adresbereiken
| Bereik | Wat het betekent |
|---|---|
| 100.64.0.0/10 | Gedeelde adresruimte voor NAT van serviceproviders. Een router-WAN-adres in dit bereik is een sterke CGNAT-indicator. |
| 10/8, 172.16/12, 192.168/16 | Private adresruimte. Je router zit achter een ander NAT-apparaat, mogelijk je ISP-gateway of een andere lokale router. |
| Andere normale IPv4-bereiken | Als het WAN-adres van de router overeenkomt met het resultaat van je openbare IPv4-checker, kan port forwarding meestal werken als de lokale dienst en firewall goed zijn geconfigureerd. |
CGNAT vs double NAT
CGNAT en double NAT lijken op elkaar omdat beide je apparaat achter meer dan één vertaallaag plaatsen. Het verschil is controle. Double NAT kun je vaak oplossen door de modus van je eigen apparatuur te wijzigen. ISP-CGNAT kun je meestal niet verwijderen vanuit de instellingen van je thuisrouter.
CGNAT
De ISP deelt openbare IPv4-adressen over veel abonnees. Je router ontvangt een gedeeld of privaat upstream-adres, waardoor ongevraagd inkomend IPv4-verkeer stopt voordat het je router bereikt.
Double NAT
Twee apparaten in je huis routeren allebei, vaak een ISP-gateway plus je eigen router. Bridge-modus, accesspoint-modus of het verwijderen van één routeringslaag lost dit meestal op.
Veelvoorkomende valse signalen
Diagnosticeer CGNAT niet alleen op basis van een gesloten poort. Een gesloten poort betekent alleen dat de externe check geen accepterende dienst heeft bereikt. Verschillende lokale problemen kunnen hetzelfde resultaat geven.
- De firewall van het besturingssysteem of de router blokkeert de poort, ook al bestaat de forwardingregel.
- De gameserver, camera, NAS of remote-desktopdienst luistert in werkelijkheid niet op die poort.
- De forwardingregel gebruikt TCP terwijl de applicatie UDP nodig heeft, of de externe checker test het verkeerde protocol.
- Een VPN, beveiligingspakket of proxy verandert het waargenomen openbare IP-adres en maakt vergelijkingsresultaten misleidend.
Wat je kunt doen
Los eerst lokale double NAT op
Als je beide routerende apparaten beheert, zet de ISP-gateway dan in bridge-modus of zet de tweede router in accesspoint-modus. Vergelijk daarna WAN-IP en openbaar IP opnieuw.
Vraag je ISP om openbaar IPv4
Sommige providers bieden een openbaar IPv4-adres, een statische IPv4-optie of een abonnement zonder CGNAT. Naam en prijs verschillen per regio.
Gebruik IPv6 wanneer de andere kant het ondersteunt
IPv6 kan IPv4-CGNAT vermijden, maar je routerfirewall bepaalt nog steeds inkomende bereikbaarheid. Test IPv6-beschikbaarheid en externe bereikbaarheid afzonderlijk.
Gebruik een relay, VPS, tunnel of gehoste server
Als de ISP geen openbaar IPv4 levert, gebruik dan een relay-gebaseerde gamemodus, een VPS-tunnel, een reverse proxy of een gehoste server met een bereikbaar openbaar adres.
Controleer eerst je NAT-gedrag
Voer de NAT-test uit op hetzelfde netwerk voordat je routerinstellingen wijzigt. Het resultaat helpt NAT-gedrag te scheiden van adresdeling door de ISP en lokale firewallproblemen.
Controleer nu NAT-type →Bronnen
- RFC 6598: door IANA gereserveerd IPv4-prefix voor gedeelde adresruimte
- IANA-register voor IPv4-adressen met speciaal doel
- RFC 6888: algemene vereisten voor Carrier-Grade NATs
- RFC 6269: problemen met IP-adresdeling
- Cloudflare: Carrier-Grade NAT detecteren
- TP-Link: problemen met port forwarding oplossen
- TP-Link: DDNS en problemen met privaat WAN-IP oplossen
- Cisco: overzicht van Carrier-Grade NAT