Publik IP, statisk IP och CGNAT: därför slutar fjärråtkomst ibland fungera

När fjärråtkomst plötsligt slutar fungera

Det här är ett vanligt problem som ofta ser ut som ett teknikfel, men i praktiken handlar om adressering. Ni byter operatör, flyttar kontoret eller sätter in 5G som primär eller reservlina. Surf, Teams och molntjänster fungerar direkt, så uppkopplingen upplevs som frisk. Samtidigt kan åtkomsten till kameror, porttelefon, larm, styrsystem eller en lokal server försvinna.

Det som lurar många är att utgående trafik nästan alltid fungerar även när inkommande trafik inte gör det. Därför hjälper det sällan att bara öppna portar eller starta om routern. Om operatören inte levererar rätt IP-upplägg för ert behov blir fjärråtkomst opålitlig eller helt omöjlig.

Se det som en upphandlings och driftfråga, inte som ett akutärende. Om verksamheten behöver nå platsen utifrån behöver internetaccess och åtkomstdesign planeras var för sig.

Tre begrepp som avgör om ni kan nå er utrustning utifrån

Publik IP och statisk publik IP

En publik IP är en adress som kan nås från internet. Det är ofta grundkravet om ni vill ta emot inkommande anslutningar till platsen, till exempel till en VPN, en kamera eller ett styrsystem. För företagsabonnemang kan detta vara en nödvändighet vid fjärranslutning till interna nätverk och servrar, se Telias guide om publik IP.

En statisk publik IP är samma sak, men adressen ligger kvar över tid. Den blir viktig när en kund, leverantör eller larmcentral ska vitlista er adress, eller när dokumentation och drift ska fungera utan att någon behöver leta fram en ny IP efter förändringar.

CGNAT och varför port forward ofta faller

CGNAT, Carrier Grade NAT, innebär att flera kunder delar på en publik IPv4 adress i operatörens nät. Er router får då ofta en adress som inte är globalt nåbar, medan översättningen sker hos operatören. I praktiken kontrollerar ni inte den punkt där inkommande trafik måste släppas igenom.

Därför kan port forward se rätt ut lokalt men ändå inte fungera från internet. Ett vanligt tecken är att routerns WAN adress ligger i adressrymden 100.64.0.0/10, som är reserverad som delad adressrymd för CGN enligt RFC 6598.

Symptom som pekar på fel IP-upplägg

Det finns tydliga mönster som ofta pekar mot CGNAT eller avsaknad av publik IP. Ser ni flera av dem samtidigt är det sällan kameran eller servern som är grundproblemet.

• Fungerar bara internt: Utrustningen går att nå på kontoret eller via lokalt wifi, men inte från hemmet eller mobilnätet.
• Problemet kom efter byte: Samma upplägg fungerade tidigare men slutade efter leverantörsbyte, flytt eller ny router.
• Portöppning hjälper inte: Ni öppnar rätt portar och får ändå timeout från internet.
• Molntjänster fungerar fint: All vanlig trafik ut från nätet fungerar, vilket gör felsökningen onödigt lång.

Så tar ni reda på vad ni faktiskt har

Börja med att jämföra routerns eller brandväggens WAN adress med den publika adress som en extern IP-kontroll visar. Om adresserna inte matchar finns det ytterligare NAT mellan er utrustning och internet, vilket ofta betyder att inkommande anslutningar inte fungerar som ni tror.

Titta sedan på själva WAN adressen. Ser ni en adress i 10, 172.16 till 172.31 eller 192.168 är den privat och inte direkt nåbar från internet. Ser ni i stället en adress i spannet 100.64.0.0 till 100.127.255.255 pekar det ofta mot CGNAT. Det är inte hela sanningen i varje nät, men det är en tydlig teknisk indikation.

Be också operatören bekräfta upplägget skriftligt. Fråga om tjänsten levereras med publik IPv4, om adressen är statisk eller dynamisk, och om CGNAT används på den aktuella tjänsten. Gör gärna kontrollen innan ni kopplar upp verksamhetskritisk utrustning.

Välj rätt lösning för ert behov

När ni vet om problemet handlar om publik IP, statisk IP eller CGNAT blir beslutet enklare. Välj lösning efter verksamhetskravet, inte efter vad som råkade ingå i abonnemanget.

• Spår A, publik eller statisk IP: Rätt när ni måste ta emot inkommande anslutningar eller behöver vitlistning. Säkerställ samtidigt brandvägg, loggning och stark autentisering.
• Spår B, utgående VPN eller tunnel: Ofta klokt när ni vill minska exponeringen eller när CGNAT inte går att välja bort. Förbindelsen startas inifrån nätet och blir mindre känslig för operatörens adressering.
• Spår C, molnbaserad fjärråtkomst: Passar när utrustningen har en seriös relä eller molnfunktion och ni vill slippa egen exponering mot internet.

Om ni står inför ny access kan Fiber eller 5G vara en bra utgångspunkt. Om fjärråtkomst är affärskritisk bör ni också planera för robusthet, därför är Oberoende internetbackup relevant när ett avbrott riskerar att slå ut både drift och åtkomst.

Rekommendationen är att separera internetaccess från åtkomstdesign. Då kan ni byta operatör utan att tappa kameror, portar eller styrsystem. Vill ni få hjälp att kravställa rätt upplägg från början kan ni kontakta Advisera för en genomgång av access, redundans och säker fjärråtkomst.