CGNAT och mobilt bredband

Alla svenska mobiloperatörer placerar privatkunder bakom CGNAT (Carrier-Grade NAT). Det innebär att din router har en privat IP-adress, inte en publik. Vi går igenom vad det betyder för gaming, VPN, port-vidarebefordran och hur du tar dig runt det med tunnel-tjänster.

Kort svar

CGNAT är ett extra NAT-lager hos operatören där flera kunder delar samma publika IP-adress. Du får en privat IP (typiskt 100.64.x.x) som inte går att nå utifrån. Det funkar bra för surf och streaming, men stör onlinespel, VPN-server hemifrån, port-forward och fjärråtkomst. Lösningen för privatkunder är en tunnel-tjänst — Cloudflare Tunnel, Tailscale Funnel eller ZeroTier. Statisk publik IP är inte ett vanligt tillval för svenska MBB-privatkunder.

Schematisk illustration över hur CGNAT hos en svensk mobiloperatör låter flera hushåll dela på samma publika IP-adress utåt, medan varje hushåll har en privat 100.64-adress — Med CGNAT delar flera hushåll samma publika IP. Privata IP-spannet 100.64.0.0/10 är IANA-reserverat just för CGNAT.

Varför CGNAT alls finns

Den ursprungliga IPv4-adressrymden tog slut runt 2011. För att fortsätta ge alla kunder uppkoppling sätter operatörerna ett extra NAT-lager mellan kunden och internet: hundratals eller tusentals kunder delar på en publik IP, och operatörens utrustning fördelar trafiken via portnumret. Det är CGNAT.

Det är en teknisk nödlösning som fungerar bra för vanligt internetbruk: surfning, e-post, streaming, video-konferenser. Allt som är "kunden öppnar uppkoppling utåt" funkar problemfritt.

Vad CGNAT bryter

Problem uppstår när någon utifrån vill ansluta in till dig. Då finns du inte synlig utåt — operatörens CGNAT vet inte vilken kund i nätet förfrågan ska till. Konkreta fall:

Onlinespel med P2P-anslutningar. Spel som Call of Duty och vissa indie-spel försöker öppna direkta anslutningar mellan spelare. Med CGNAT slår det fel och du hamnar i "öppen NAT type 3" eller "strict NAT".
VPN-server hemma. Vill du köra Wireguard eller OpenVPN-server hemma för att komma åt hemnätverket från jobbet — funkar inte, för utifrån når man bara CGNAT-gatewayen.
Port-vidarebefordran. Egen webbserver, NAS med Plex, kamera med fjärråtkomst — allt är beroende av att vara nåbart utifrån.
Fjärrstyrning av smarta hem. Vissa system som behöver direktanslutning utifrån istället för en molntjänst som mellanled.

Hur du vet om du sitter bakom CGNAT

Två snabba tester:

Logga in i routerns admin och titta på WAN-IP. Är den 100.64.x.x till 100.127.x.x, eller börjar med 10.x.x.x eller 172.x.x.x — du är på CGNAT.
Besök en sajt som "whatismyip" och jämför med routerns WAN-IP. Stämmer de inte överens — operatören NATar dig.

Privata IP-spannet 100.64.0.0/10 är reserverat just för CGNAT av IANA, så ser du den serien är det 100 procent CGNAT.

Lösningen: tunnel-tjänst utåt

Istället för att gå "in mot dig" från utsidan, går du "ut till en mellanstation" från insidan. Du sätter upp en klient i routern eller på en server hemma som ansluter ut till en tjänst med publik IP. Tjänsten tar emot inkommande trafik utifrån och vidarebefordrar den i tunneln till dig.

Cloudflare Tunnel

Klienten cloudflared ansluter ut till Cloudflare. Inkommande trafik på din domän skickas in i tunneln. Gratis för normalbruk. Kräver en domän hos Cloudflare. Bra för webbservrar och NAS-tjänster med HTTP.

Tailscale Funnel

Tailscale bygger ett mesh-VPN via WireGuard. Funnel exponerar specifika portar utåt mot internet. Gratis för personligt bruk upp till en tröskel. Bra för servrar och tjänster där du vill ha åtkomst utifrån utan domän.

ZeroTier

Liknar Tailscale — ett virtuellt nät där dina enheter ser varandra som om de var i samma LAN. Bra för fjärråtkomst till hemnätverk och NAS.

OpenVPN eller WireGuard mot egen VPS

Hyr en billig VPS (ca 30–60 kr/månad) och kör egen VPN-server med publik IP. Routern hemma ansluter ut. Trafik in tar vägen via VPS:n. Mer arbete men full kontroll.

Latensen blir lite högre eftersom trafiken går omvägen via tunnelvärden (typiskt +5 till +15 ms).

IPv6 — räddningen som inte riktigt kommit

IPv6 har miljarder adresser och eliminerar behovet av NAT. Telia, Telenor och Tele2 har börjat rulla ut IPv6 på mobilt bredband, men ofta i "dual-stack lite" där IPv4 fortfarande går via CGNAT och bara IPv6 är direkt. Det hjälper för IPv6-tjänster men inte för de många spel och tjänster som fortfarande är IPv4-only.

Vanliga frågor om CGNAT på mobilt bredband

Är CGNAT samma sak som dålig säkerhet?

Nej, tvärtom — CGNAT är ofta säkrare eftersom du inte är direkt nåbar utifrån. Det är samma anledning som privat nät hemma är säkert: ingen kan ansluta till din enhet om du inte själv öppnar uppkopplingen utåt.

Påverkar CGNAT min hastighet?

I praktiken nej. CGNAT-utrustningen är dimensionerad för att hantera operatörens hela kundbas och är inte flaskhalsen. Latens påverkas marginellt (under 1 ms).

Funkar Netflix och streaming bakom CGNAT?

Ja, perfekt. All streaming initieras från din enhet utåt — inget behov av att vara nåbar utifrån.

Kan jag köra Plex eller annan media-server bakom CGNAT?

Bara lokalt. För fjärråtkomst utifrån behöver du antingen publik IP, en mellantjänst som Plex Cloud eller en VPN-tunnel.

Bryter CGNAT mot några onlinespel specifikt?

Spel som använder strikt NAT-detektion — vissa Call of Duty-titlar, Modern Warfare-serien, Destiny 2 — kan flagga din anslutning som "strict NAT" och du får svårare att matchas eller hamnar i sämre lobbies.

Är det dyrt att gå runt CGNAT?

Tunnel-tjänster som Cloudflare Tunnel och Tailscale Funnel är gratis för privat bruk. Egen VPS för WireGuard/OpenVPN-server kostar ca 30–60 kr per månad om du vill ha mer kontroll.

Mer på temat

Statisk IP på mobilt bredband Portforwarding på mobilt bredband Bridge mode på 5G-router 5G-router för mobilt bredband Så installerar du en 5G-router Mesh-system bakom 5G-router 5G-router för stort hus Mobilt bredband med fri surf