HA·Fleet·Manager
Svi članci
Objašnjenje · Tehnika · 8 min čitanja · Denny Ovčar

CGNAT i Home Assistant — zašto ti port forwarding uskoro više neće raditi

Tko sjedi iza Carrier-Grade NAT-a, više nema vlastitu javnu IPv4 adresu — port forwarding tiho umire. Što je CGNAT, kako ga prepoznati i koji remote-access putevi za Home Assistant još uvijek rade.

Simptom

Klasična tema na Home Assistant forumu. Netko je u FritzBoxu otvorio port 8123, u routeru sve zeleno, lokalno HA instanca radi, ali izvana — ništa. Sati prolaze u debugiranju. Vatrozid. DDNS. Certifikati. Firmware routera. Sve provjereno, ništa nađeno. Dok netko niže u threadu ne postavi pitanje koje je trebalo doći prvo: „A imaš li ti uopće javnu IPv4 adresu?”

Odgovor, obično: „Mislim da imam.”

Onda savjet. Otvori whatismyip.com, usporedi ono što tamo piše s WAN IP-jem u routeru. Ako se razlikuju, misterij je riješen. CGNAT. I u tom trenutku port forwarding nije pokvaren u smislu da ga možeš popraviti na routeru — on sjedi u dijelu mreže koji javni internet nikad nije bio namijenjen dotaknuti.

Što je CGNAT zapravo

Carrier-Grade NAT (ponekad i Large-Scale NAT) je način na koji se davatelji interneta nose s manjkom IPv4 adresa. Umjesto da svakom korisniku dodijele vlastitu javnu IPv4, dijele manji broj javnih adresa među brojnim korisnicima, a u sredini sjedi veliki NAT uređaj na strani providera koji obavlja prevođenje.

Za tebe praktičan učinak izgleda ovako: tvoja WAN adresa je odjednom privatna. Najčešće negdje u rasponu 100.64.0.0/10, bloku koji je rezerviran upravo za tu svrhu. Dolazni paket s interneta više ne stiže do tvog routera — udari prvo u providerov NAT, koji nema pojma kojem od tisuću korisnika iza te jedne javne IP-je paket pripada, i baca ga. Odlazne veze i dalje rade, jer NAT prati povratni put veze koju si sam pokrenuo.

Port forwarding pretpostavlja da je tvoja WAN strana dostupna izvana. Iza CGNAT-a nije. Ni petnaesto rekonfiguriranje routera tu ne mijenja ništa.

Koga to pogađa

CGNAT odavno više nije rubni slučaj:

  • Mobilni internet: praktički sve mobilne podatkovne veze u DACH regiji idu preko njega. Tko HA vrti na LTE routeru (vikendica, backup veza) — zajamčeno je unutra.
  • Nove optičke veze: dosta novijih optičkih operatera u jeftinijim privatnim tarifama defaultno dodjeljuje CGNAT. Javna IPv4 ide opcijski, najčešće uz nadoplatu.
  • Kabelske veze: sve više, pogotovo u novoizgrađenim područjima.
  • DSL: povijesno javan. I tu neki operateri tiho prelaze.

Dovoljna je promjena tarife. Ponekad samo zamjena routera kod istog operatera. I jučerašnji port forward koji je radio — danas je mrtav.

Brzi test: jesam li pogođen?

Tri minute:

  1. Očitaj WAN IP s routera. Kod FritzBoxa: Pregled → Internet → IP adresa.
  2. Saznaj javnu IP izvana. whatismyip.com u pregledniku ili curl ifconfig.me u terminalu.
  3. Usporedi.
    • Iste → javna IPv4, klasični port forwarding radi.
    • Različite, WAN IP počinje s 100.64. do 100.127.CGNAT, port forwarding neće raditi.
    • Različite, WAN IP je privatan (10.x, 192.168.x, 172.16-31.x) → sjediš iza više NAT slojeva, vjerojatno još jednog routera. Popravljivo. Nije CGNAT.

Workaroundi i njihova ograničenja

Postoji više načina da se i iza CGNAT-a dobije udaljeni pristup. Nisu svi jednako dobri.

IPv6

Na papiru elegantno. IPv6 adrese su javne, svaki uređaj dobije svoju. U stvarnosti — par kvaka. Mnogi operateri IPv6 rolaju oportunistički, bez stabilnog prefiksa i bez ikakvih garancija. DynDNS providere s urednom podrškom za AAAA zapise treba tražiti. A druga strana veze — hotelski WiFi, mobilna mreža, korporativni gost-network s kojeg se spajaš — često uopće nema IPv6.

Za entuzijaste radi. Za pouzdan udaljeni pristup kod klijenata — previše tanko.

Klasični VPN (WireGuard, OpenVPN)

I VPN serveru treba javna IPv4. Što znači: hosta se negdje drugdje. Mali cloud server, statična IP. HA host i klijent oboje pokreću odlazne veze prema tom VPN serveru, koji ih posreduje.

Robusno, staro, tehnički pod tvojom kontrolom. Cijena je da vrtiš još jedan server, a VPN tipično otvara cijelu mrežu. U redu za jednu vlastitu instalaciju. Rolaj to po deset klijenata i upisao si se u održavanje — a kod klijenta si potrošio kredit povjerenja, jer „čekaj, sad ti znači imaš pristup i printeru i NAS-u, je li tako?”

Tailscale

Mesh VPN s DERP relayima. Svaki čvor odlazno se spaja na control plane, a iza CGNAT-a relayi obavljaju posredovanje. Bez vlastitog servera.

Zero-config, robusno, CGNAT-friendly, besplatno za male setupove. Poznata životinja, zna svoj posao. Kvaka je ista kao kod WireGuarda: tko Tailscale instalira kod klijenta, dijeli s njim tailnet. Što potencijalno znači — i printer, i NAS, i baby monitor. Veći skok povjerenja nego što sam use case zaista zahtijeva.

Cloudflare Tunnel

Trajni odlazni tunel s HA hosta prema Cloudflareu, frontend postaje dostupan pod subdomenom. Vrlo stabilno u praksi, besplatni TLS certifikati, CGNAT-friendly, dobro dokumentirano.

Dvije stvari treba znati. Promet teče preko US infrastrukture — postaje nelagodno za objasniti pod GDPR-om kad to rolaš kod klijenata. I to je single-instance rješenje. Deset klijenata znači deset zasebnih Cloudflare konfiguracija, svaka sa svojim održavanjem.

WebSocket relay (specijalizirani odlazni tunel)

Arhitektura koju koristi HA Fleet Manager: HA custom integracija pri pokretanju otvara trajnu odlaznu WebSocket vezu prema relay serveru. Kad integratoru treba udaljeni pristup, kroz istu vezu otvara se tunel prema HA frontendu — vremenski ograničeno, i to tek nakon što je klijent eksplicitno dao pristanak.

CGNAT-friendly, jer sve ide odlazno. Pristup ostaje ograničen na sam HA uređaj, bez VPN-a u cijelu mrežu. Multi-tenant, pristanak i audit ugrađeni, EU hosting na stolu. Cijena je da vjeruješ centralnoj relay komponenti. Lakše progutati kad je riječ o specijaliziranom davatelju s dokumentiranom arhitekturom nego kod generalista koji je crna kutija, ali svejedno ostaje svjesna odluka.

Što to znači za arhitekturu

CGNAT će rasti, ne padati. Operateri njime štede stvarni novac, a IPv4 pool ne postaje veći. Tko danas još ima javnu IPv4, ne bi trebao računati da će je imati i sutra.

Odgovor koji dugoročno drži vodu za Home Assistant glasi uvijek odlazno. Bez port forwardinga, bez čekanja dolaznih paketa, nego veza koju pokreće HA host prema posredniku koji obavlja ostalo. Tailscale, Cloudflare Tunnel i specijalizirani WebSocket relayi svi slijede taj obrazac. Razlikuju se po tome tko posreduje, koliko duboko ide pristup i kako su organizirani pristanak i audit.

Za jednu privatnu HA instalaciju, svaka od ovih opcija dovoljna je. Čim se nakupi više klijentskih instalacija, slučaj za platformu koja taj odlazni tunel kombinira s multi-tenancyjem, monitoringom i workflowom pristanka postaje teško osporiti — i upravo tu rupu HA Fleet Manager popunjava.

DO
Denny Ovčar
Founder · ha-fleet-manager.com
Odgovori
Podijeli

Više iz bloga

Uskoro
Home Assistant kao biznis: može li se na open sourceu graditi posao?

Nema proizvođača iza leđa, stalno si kod klijenta, update-i ruše sve — tri velika straha pred Home-Assistant biznisom. Zašto je WordPress imao iste te strahove i svejedno iznjedrio cijelu uslužnu industriju.
Uskoro
Što radi Home Assistant integrator? Profesija, alati, poslovni modeli

Smart-home instalacija na bazi Home Assistanta još uvijek nije etablirana profesija u Hrvatskoj i regiji — i upravo je u tome prilika. Tko se profesionalno brine o Home Assistantu: što ta osoba konkretno radi, koje alate koristi i od čega živi.