Le CGNAT, pour Carrier-Grade NAT, est une technique utilisée par les fournisseurs d'accès pour partager une même adresse IPv4 publique entre plusieurs abonnés. Elle aide les opérateurs à faire face au manque d'adresses IPv4, mais elle peut compliquer certains usages comme l'hébergement à domicile, les caméras accessibles à distance ou les jeux en ligne.
À retenir
- Le CGNAT partage une IP publique entre plusieurs clients d'un opérateur.
- Il est fréquent sur les réseaux mobiles et certaines offres fibre ou câble.
- Il peut empêcher l'ouverture de ports entrants vers votre box.
- IPv6 ou une option IP publique dédiée peuvent résoudre certains blocages.
Pourquoi le CGNAT existe
IPv4 ne fournit qu'environ 4,3 milliards d'adresses, ce qui est insuffisant pour tous les appareils et toutes les connexions modernes. Les opérateurs ont longtemps utilisé le NAT dans les box domestiques : plusieurs appareils privés partagent l'adresse publique de la maison. Le CGNAT applique une logique similaire, mais à l'échelle du réseau de l'opérateur.
Avec le CGNAT, votre box ne reçoit pas forcément une vraie adresse IPv4 publique. Elle peut recevoir une adresse intermédiaire, puis le réseau de l'opérateur traduit encore une fois le trafic vers une IP publique partagée. Pour la navigation web, le streaming ou les applications classiques, cette architecture passe souvent inaperçue.
Comment savoir si vous êtes derrière un CGNAT
Comparez l'adresse WAN affichée dans l'interface de votre box avec l'adresse publique affichée par un outil comme Ipzy. Si les deux adresses sont différentes, il peut y avoir du NAT en amont. Certaines plages comme 100.64.0.0 à 100.127.255.255 sont spécialement prévues pour le CGNAT.
Un autre signe fréquent est l'impossibilité d'ouvrir un port malgré une redirection correctement configurée dans la box. Vous créez la règle, le service fonctionne en local, mais il reste inaccessible depuis Internet. Dans ce cas, le blocage peut venir du fait que l'adresse publique n'est pas réellement attribuée à votre box.
Effets sur les jeux et services à domicile
Le CGNAT peut provoquer un type NAT strict sur certaines consoles ou plateformes de jeu. Les connexions sortantes fonctionnent, mais les connexions entrantes directes deviennent difficiles. Cela peut gêner l'hébergement d'une partie, le chat vocal ou certains mécanismes pair à pair.
Il peut aussi bloquer l'accès direct à un NAS, un serveur maison, une caméra IP, un serveur Minecraft, un VPN personnel ou une solution domotique exposée depuis le domicile. Les services cloud fournis par les fabricants peuvent continuer à marcher, car ils utilisent souvent une connexion sortante depuis votre réseau vers leurs serveurs.
CGNAT et confidentialité
Partager une adresse IP publique ne rend pas anonyme. L'opérateur conserve des informations techniques qui permettent d'associer une connexion, une plage de ports et un abonné à un moment donné selon ses obligations légales. Pour les sites web, plusieurs utilisateurs peuvent toutefois apparaître derrière la même IP, ce qui peut entraîner des captchas ou des blocages si un autre utilisateur de l'adresse partagée a généré du trafic suspect.
Une IP partagée peut aussi compliquer le diagnostic : une réputation IP dégradée ne signifie pas toujours que votre propre appareil est responsable. Elle peut venir d'un autre client, d'un VPN, d'un réseau mobile ou d'une plage opérateur très utilisée.
Solutions possibles
La solution la plus propre consiste à demander à l'opérateur une adresse IPv4 publique dédiée, parfois appelée option IP fixe ou sortie du CGNAT. Selon le fournisseur, cela peut être gratuit, payant ou indisponible. Pour certains usages, activer IPv6 peut aussi aider, car chaque appareil peut disposer d'une adresse routable, à condition de configurer correctement le pare-feu.
Une autre approche consiste à utiliser un tunnel sortant : VPN avec redirection de port, tunnel SSH, reverse proxy, service de tunnel sécurisé ou solution cloud. Ces options évitent de dépendre d'un port entrant directement ouvert sur la box, mais elles ajoutent un intermédiaire à comprendre et à sécuriser.
Conclusion
Le CGNAT est invisible pour beaucoup d'usages, mais il devient important dès que vous voulez être joignable depuis Internet. Comprendre cette couche permet d'éviter de chercher indéfiniment une erreur dans la box alors que le blocage vient du réseau opérateur.
FAQ
Le CGNAT ralentit-il Internet ?
Pas forcément. Il affecte surtout les connexions entrantes et certains usages pair à pair.
Une IP fixe supprime-t-elle le CGNAT ?
Souvent oui, si l'opérateur fournit une vraie IPv4 publique dédiée.
IPv6 remplace-t-il le besoin d'ouvrir des ports IPv4 ?
Pour les services compatibles IPv6, oui en partie, mais il faut régler le pare-feu avec prudence.