Le manque d’adresses IP a du être solutionné par le NAT, mais cela n'étant pas suffisant, il a fallu créer le carrier-grade NAT (CGN) qui permet aux F.A.I. de partager une seule adresse IP pour plusieurs abonnés . Se pose donc le problème de l'impossibilité d'ouvrir des ports.
Tout cela sera résolu par l'arrivée des adresses IPv6, principalement développées en réponse à la demande d'adresses qu'IPv4 ne permettait plus de contenter. Une adresse IPv6 contient 128 bits, contre 32 bits pour IPv4. On dispose ainsi de 2128 ≈ 3,4×1038 = 340 sextillions d'adresses IPv6, contre 232 ≈ 4 milliards d'adresses IPv4.1-NAT (Network Address Translation) et PAT
= redirection de port ou port forwarding
2-CARRIER-GRADE ou NAT CGN
3-CONFIGURER UN ACCÈS A DISTANCE VIA UN ROUTEUR 4G pour contourner un CGNat
En effet, une adresse IP est codée sur 4 octets, soit 32 bits. Elle peut donc prendre 232232 valeurs, soit environ 4 milliards.
La solution temporaire: donner des adresses IP privées aux machines qui n'ont pas besoin d'être jointes depuis Internet,elles sont de simples clients, mais pas des serveurs)
mais.. le NAT ne suffit pas : carrier-grade NAT (CGN)
Le CGN permet aux F.A.I. de partager une seule adresse IP pour plusieurs abonnés (donc vous ne pouvez plus ouvrir de ports). Il est très largement déployé sur les réseaux mobiles (routeurs 4G) et commence à faire son apparition sur les réseaux fixes mais, en principe il est possible de les contacter pour le désactiver pour obtenir une IPfixe
= redirection de port ou port forwarding
2-CARRIER-GRADE ou NAT CGN
3-CONFIGURER UN ACCÈS A DISTANCE VIA UN ROUTEUR 4G pour contourner un CGNat
1-NAT (Network Address Translation) et PAT
= redirection de port ou port forwarding
Le nat, présent sur les box/routeurs, permet donc à votre FAI de ne donner qu’une seule adresse ip par connexion internet tout en connectant plusieurs périphériques au réseau. Vos périphériques reçoivent eux aussi une adresse IP, mais de type « privée » (généralement 192.168.1.X) contrairement à votre box qui a une adresse publique.
Le nat permet de rediriger un service d’une ip externe vers l’ip interne
Cependant, comme ce réseau est « privé », il n’est pas disponible sur internet, ce qui rend impossible la possibilité pour un ordinateur distant de vous répondre. Le but du Nat est donc de réécrire les paquets réseaux à la volée pour y intégrer votre ip internet tout en mémorisant a qui le message de retour doit être adressé.
Le nat, présent sur les box/routeurs, permet donc à votre FAI de ne donner qu’une seule adresse ip par connexion internet tout en connectant plusieurs périphériques au réseau. Vos périphériques reçoivent eux aussi une adresse IP, mais de type « privée » (généralement 192.168.1.X) contrairement à votre box qui a une adresse publique.
Le nat permet de rediriger un service d’une ip externe vers l’ip interne
Cependant, comme ce réseau est « privé », il n’est pas disponible sur internet, ce qui rend impossible la possibilité pour un ordinateur distant de vous répondre. Le but du Nat est donc de réécrire les paquets réseaux à la volée pour y intégrer votre ip internet tout en mémorisant a qui le message de retour doit être adressé.
Le problème
Le nombre d'adresses IP disponibles dans le monde est de 4 milliards d'adresses IP, ce qui est trop peu aujourd'huiEn effet, une adresse IP est codée sur 4 octets, soit 32 bits. Elle peut donc prendre 232232 valeurs, soit environ 4 milliards.
La solution temporaire: donner des adresses IP privées aux machines qui n'ont pas besoin d'être jointes depuis Internet,elles sont de simples clients, mais pas des serveurs)
La NAT dynamique associe n adresses privées à une seule adresse publique. Ainsi, on peut connecter n machines en n'utilisant qu'une seule adresse publique. On économise donc des adresses.
L'adresse IP du routeur fait la liaison entre notre réseau privé et Internet, réseau public. En effet, ce routeur possède une adresse IP publique du côté d'Internet et une adresse privée; le routeur note les correspondances des IP sources dans une "table NAT" afin de renvoyer la bonne réponse à la bonne machine.
Mais si l'on peut ainsi accéder à Internet ("sortir") il n'est pas possible de joindre de l’extérieur une machine du réseau privé
La solution : le PAT ou port forwarding
Il s'agit rediriger un port de notre routeur vers un port donné sur une machine locale.
voir le dossier Comment ouvrir un port
2-CARRIER-GRADE ou NAT CGN
mais.. le NAT ne suffit pas : carrier-grade NAT (CGN)
Le CGN permet aux F.A.I. de partager une seule adresse IP pour plusieurs abonnés (donc vous ne pouvez plus ouvrir de ports). Il est très largement déployé sur les réseaux mobiles (routeurs 4G) et commence à faire son apparition sur les réseaux fixes mais, en principe il est possible de les contacter pour le désactiver pour obtenir une IPfixe
Pour savoir si vous êtes en CGN, il suffit de regarder l’ip internet sur votre box et de la comparer avec votre ip obtenue sur un site tel que http://monip.org. Si celle-ci diffère, vous êtes bien en carrier grade nat. De plus, la plage ip souvent utilisée est soit 10.0.0.0-10.255.255.255 ou encore 100.64.0.0 – 100.127.255.255
De là, des problèmes pour accéder a du matériel derrière un routeur 4G, par exemple
3-CONFIGURER UN ACCES A DISTANCE VIA UN ROUTEUR 4G via un CGNat
Vous souhaitez accéder à distance à votre routeur 4G (en France) pour accéder à son interface de configuration, ou accéder à votre cam IP, NAS...
et vous n' y arrivez pas. C'est normal.
Quelques explications pour comprendre et solutions pour y remédier
COMPRENDRE
On ne peut pas accéder à l'interface d'un routeur 4G à distance, car les IP que prennent les équipements 4G sur le réseau des opérateurs en France, sont "non routables". En effet sur un réseau 4G, il n' y a pas d'adresse IP publique car les fournisseurs d'accès à internet (FAI) mobile n'ont pas assez d'adresses IPv4 publiques.
N'ayant pas encore basculé sur IPv6 et ayant privilégié les IPv4 publiques pour les connexions DSL/Fibre, les client 4G Box en sont privés. Ils sont contraints d'utiliser un dispositif appelé CGN ou CGNat (Carrier Grade Nat) qui ajoute un NAT entre internet et votre connexion Mobile entrante.
Ce qui se traduit par une IPv4 privée (10x.y.z / 172.1x.y.z ou 100.x.y.z) visible depuis l'interface WEB de votre routeur 4G
Les opérateurs de téléphonie mobile accordent une adresse IP dans un réseau local, et non directement sur le WWW en raison de la pénurie d'adresses IP v4 (qui seront remplacées par des adresses IP v6). Donc l' adresse IP v4, attribuée à l'intérieur d'un réseau local, souvent partagée avec d'autres clients n'est pas une adresse IP publique (c'est à dire visible depuis le www) mais une adresse d'un réseau privé de l’opérateur (et pas de votre routeur) et c'est lui qui route vers internet.
Pour cette raison, il n'est pas possible d'ouvrir un port vers l'extérieur pour établir une connexion entrante (bien entendu, y compris avec un compte de type No-IP configuré dans le routeur.)
Les modem routeurs 4G ne disposent d'aucun réglage permettant de changer cet état puisque la cause en est externe et localisée chez le FAI Mobile ( source : TP Link)
VOIR
-ce forum.
SOLUTIONS
Il existe des moyens de contourner le problème mais ils sont externes au routeur et nécessitent souvent de solides connaissances :
- Bouygues propose l'option IP publique pour les box 4G pro mais... c'est à 20 € HT / mois (juste l'option). Sur certains forums, des utilisateurs indiquent avoir obtenu une ip publique fixe sur l'offre grand public mais cette offre semble être très aléatoire...
- Utiliser un accès cloud au périphérique (en général proposé par le fabriquant du NAS ou de la caméra IP) auquel vous accéderez par une interface depuis internet.
- NAS : pour les accès Nas, généralement il existe des applications interne au fabriquant qui jouent le rôle de vpn
- CAM IP Utiliser un modèle avec cloud : D-Link ou TP link via Kasa (et nombreuses autres marques moins connues)
La cam IP se connecte automatiquement au routeur 4G (sans aucune configuration de ports, il suffit d'indiquer l'identifiant le l'Ipcam ou d'utiliser un QR code...), elle est reliée au cloud du constructeur (accès gratuit... mais enregistrement limité ou payant des vidéos de détection), ainsi elle est visible via une "appli cloud" du smartphone qui se connecte sur le serveur externe du constructeur..la connexion se fait par l'identifiant de la cam associé à votre compte (login et mdp).
Vous n'utilisez donc pas votre réseau privé pour accéder à votre IP cam via son adresse IP et un navigateur classique mais vous accédez directement au cloud du fabricant qui relaie votre CamIP.
- Utiliser un accès VPN (pour les clients du réseau local ) via un serveur VPN hébergé sur internet auquel vous vous connecterez pour accéder au réseau local du routeur 4G. Toutefois,il faut un VPN, reverse-ssh, ngrok ou autre, pour ouvrir un tunnel vers l'extérieur et surtout pour établir des connexions entrantes.
donc - Voir ces tutoriels pour utilisateurs avancés : des solutions ...complexes... qui nécessitent du matériel supplémentaire et des compétences... pour contourner et solutionner. (source: routeur4g.fr)
- Accéder à son LAN derrière un routeur 4G, depuis l'extérieur, avec ngrok
- ***Accéder à son LAN derrière un routeur 4G, depuis l'extérieur, avec SSH
parfaitement explicité avec 4 schémas clairs et pertinents même si la réalisation demeure complexe et nécessite de solides connaissance et compétences. Petit résumé:
=>Nécessite
1- un serveur externe "ami" avec un nom de domaine pour accéder + des ports ouverts + accès SSH (donc un abonnement payant)
2-une machine interne de son Lan avec un client SSH (ex Raspberry Pi)
3-Une machine (serveur ou cam IP du Lan) à laquelle on veut accéder
=>Fonctionnement du reverse SSH
1- Le Raspberry crée un tunnel chiffré vers le serveur externe ami
2-L'appareil du client externe se connecte au serveur externe qui lui même le redirige via un tunnel sécurisé vers le Rasperry puis vers la machine du Lan à laquelle on veut accéder depuis l'extérieur
- Solutions via OVH
- Chez OVH i offre VPS à 4,60 €TTC par mois avec ip publique fixe (ipv4 et ipv6) et bande passante 100mb/s .
- http://community.ovh.com/t/routeur-4g-vps-openvpn-acceder-a-mes-ipcam/7395
- Solution overthebox d'OVH Lire l'article préliminaire
Compléments et sources
VPN :
Liens
NAT
https://www.culture-informatique.net/cest-quoi-le-nat-cest-quoi-le-pat/
https://openclassrooms.com/fr/courses/857447-apprenez-le-fonctionnement-des-reseaux-tcp-ip/856345-la-nat-et-le-port-forwarding
https://www.securiteinfo.com/conseils/nat.shtml
https://www.culture-informatique.net/cest-quoi-le-nat-cest-quoi-le-pat/
https://web.maths.unsw.edu.au/~lafaye/CCM/internet/nat.htm
https://openclassrooms.com/fr/courses/857447-apprenez-le-fonctionnement-des-reseaux-tcp-ip/856345-la-nat-et-le-port-forwarding
https://openclassrooms.com/fr/courses/857447-apprenez-le-fonctionnement-des-reseaux-tcp-ip/856345-la-nat-et-le-port-forwarding
https://www.securiteinfo.com/conseils/nat.shtml
https://www.culture-informatique.net/cest-quoi-le-nat-cest-quoi-le-pat/
https://web.maths.unsw.edu.au/~lafaye/CCM/internet/nat.htm
https://openclassrooms.com/fr/courses/857447-apprenez-le-fonctionnement-des-reseaux-tcp-ip/856345-la-nat-et-le-port-forwarding
https://www.purevpn.fr/blog/quest-ce-quune-redirection-de-port/
CGN
https://www.a10networks.com/blog/carrier-grade-nat/
https://www.netsh.be/le-nat-theorie/