Le partage d’adresses publiques modifie profondément l’usage des équipements domestiques et professionnels. Comprendre le fonctionnement du NAT et du CGNAT aide à diagnostiquer les problèmes réseau et à choisir des solutions adaptées.
Cet exposé privilégie des exemples concrets et des recommandations pratiques pour configurer une box correctement. Les éléments essentiels se présentent ensuite sous forme de points synthétiques.
A retenir :
- Partage d’adresse IPv4 entre abonnés d’un même réseau opérateur
- Masquage d’équipements locaux sur un réseau public partagé
- Limitation des redirections de ports pour services entrants
- Besoin d’IPv6 ou de solutions VPN pour accès direct
NAT domestique et PAT expliqué pour la box Internet
Les points synthétiques précédents permettent d’entrer dans les détails du NAT domestique et du PAT. Le lecteur comprendra comment la box agit comme passerelle réseau et comme traducteur d’adresses pour plusieurs appareils.
Cas d’usage domestique : Le schéma classique implique une box qui remplace l’adresse IP privée par une adresse publique. Cette configuration permet l’accès sortant à Internet tout en protégeant le réseau privé des accès directs.
- Multiples appareils partagés sur une seule adresse publique
- Assignation temporaire d’une adresse publique depuis un pool
- Utilisation des numéros de port pour distinguer les flux
Type
Exemple
Usage
Limitation
NAT statique
Mappage 1:1 d’adresse
Publication d’un serveur interne
Nécessite une adresse publique dédiée
NAT dynamique
Pool d’adresses publiques
Clients internes consommant IP temporaires
Disponibilité liée au pool
PAT (Masquerade)
Une IP publique, ports multiples
Usage domestique massif
Dépendance au numéro de port
CGNAT
Mutualisation opérateur
Partage d’adresse entre abonnés
Impossibilité d’ouvrir des ports sans opérateur
Comment le NAT modifie les paquets réseau
Ce point détaille la manière dont le routeur remplace l’adresse IP source par une adresse publique lors d’une requête. La table de translation conserve l’association entre ports et hôtes pour assurer la réponse correcte vers le bon équipement.
Exemple de PAT en pratique
Cet exemple illustre le rôle du PAT quand plusieurs appareils utilisent une même adresse publique pour accéder à un service externe. Le serveur distant voit une seule adresse publique alors que la box distingue chaque flux par le numéro de port.
« J’ai configuré le PAT sur ma box pour accéder au NAS depuis l’extérieur sans adresse publique dédiée. »
Alice N.
Au quotidien le PAT protège la multiplicité d’appareils tout en conservant un usage transparent pour l’utilisateur. Cependant l’échelle opérateur et le besoin d’économies d’IPv4 conduisent au déploiement du CGNAT.
CGNAT et partage d’adresse chez les opérateurs
Le passage à l’échelle renforce les contraintes de l’allocation d’adresses IPv4 pour les opérateurs. C’est pour cela que certains fournisseurs proposent le CGNAT afin de mutualiser l’adresse IP publique pour plusieurs clients.
Impacts sur redirections de ports et services
Ce chapitre examine les limitations sur les redirections de ports quand vous êtes derrière un CGNAT. Selon Init7, le CGNAT empêche la plupart des règles de port forwarding sans intervention de l’opérateur, ce qui complexifie l’hébergement.
Solution
Port forwarding
Adresse publique
Notes
NAT domestique
Possible
Oui
Contrôle total par l’abonné
CGNAT opérateur
Souvent impossible
Partagée
Port mapping limité par l’opérateur
IPv6 natif
Possible sans NAT
Adresses dédiées
Nécessite compatibilité service et fournisseur
VPN
Contournement
Utilise tunnel
Solution opérationnelle pour accès direct
Comment vérifier que mon IP utilise CGNAT
La vérification passe par l’observation de votre adresse IP publique et par un traceroute pour identifier les sauts opérateur. Selon Cisco, la plage 100.64.0.0/10 est réservée aux opérateurs utilisant le CGNAT, utile pour l’identification.
Méthodes de vérification : Consultez votre IP publique depuis plusieurs appareils et comparez le résultat. Lancez un traceroute vers une cible publique et analysez la présence d’une adresse dans la plage réservée.
- Consulter mon-ip depuis différents appareils
- Lancer un traceroute vers une cible publique
- Contacter son opérateur pour confirmation
« Mon opérateur a basculé mon abonnement en CGNAT sans préavis, cela a bloqué mes services distants. »
Marc N.
En conséquence certains utilisateurs rencontrent des blocages sur des services spécialisés ou sur des jeux à faible latence. Ces contraintes poussent à considérer des solutions alternatives comme le VPN ou la migration vers IPv6.
Solutions et contournements du CGNAT pour accès distant
La reconnaissance des limites opérationnelles ouvre la recherche de contournements efficaces pour l’accès distant. Ce bloc décrit alternatives, de la mise en place d’un VPN à l’usage d’un reverse proxy sécurisé pour publier des services.
Alternatives IPv6 et VPN pour accès direct
Cette partie compare les bénéfices d’un tunnel VPN et d’une adoption d’IPv6. Le VPN permet un contournement fiable du CGNAT sans modification d’infrastructure opérateur, en assurant chiffrement et route dédiée.
« J’utilise un VPN site-à-site pour accéder à mon NAS, cela a résolu le problème de portée. »
Paul N.
Bonnes pratiques pare-feu et reverse proxy pour services publiés
Ce segment présente des règles de pare-feu et l’intérêt d’un reverse proxy pour publier plusieurs services sur une seule adresse publique. Selon IT-Connect, le reverse proxy simplifie la gestion des certificats et le mappage des domaines pour l’hébergement.
Conseils de configuration : Privilégiez un reverse proxy en frontal pour centraliser TLS et répartir les requêtes. Appliquez des règles de filtrage, limitez les IP autorisées et activez l’authentification forte lorsque possible.
- Utiliser ports non standards pour réduire scans
- Limiter accès par IP quand possible
- Activer MFA pour services exposés
« À mon avis, documenter chaque règle et tester les accès réduit significativement les incidents. »
Sophie N.
Adopter ces mesures renforce l’accessibilité sécurisée malgré le partage d’adresse imposé par certains opérateurs. L’enchaînement entre solutions techniques et dialogue avec le fournisseur reste la clé d’un réseau résilient et utilisable.
