Portforwarding på mobilt bredband
Port-vidarebefordran på mobilt bredband är besvärligare än på fiber eftersom du sitter bakom CGNAT. Vi går igenom när det fungerar, när CGNAT stoppar dig, och hur en VPN-tunnel kan vara vägen runt.
Port-vidarebefordran på mobilt bredband kräver publik IP — inte CGNAT. Alla svenska MBB-operatörer kör CGNAT som standard för privatkunder, och statisk publik IP är inte ett vanligt tillval. Lösningen är att tunnla trafiken via Cloudflare Tunnel, Tailscale Funnel eller en egen VPN-server med publik IP — det fungerar bakom CGNAT och är gratis för normalbruk.
Vad port-forwarding gör — och varför CGNAT bryter det
Port-vidarebefordran (engelska "port forwarding") är när du i routerns admin ställer in att inkommande trafik på en specifik port (säg 32400 för Plex) ska vidarebefordras till en specifik intern enhet (säg din NAS på 192.168.1.50). Någon utifrån skriver din IP följt av :32400 och hamnar då hos din NAS.
Problemet på mobilt bredband: din router har inte en publik IP. Den har en privat IP som operatören har gett dig, typiskt i 100.64.x.x-spannet. När någon utifrån försöker skriva din WAN-IP:32400 hamnar de hos operatörens CGNAT-gateway — som inte vet vilken kund i nätet som skulle ta emot förfrågan. Trafiken kastas.
Test om port-forward funkar
Snabbtest:
- Sätt upp en enkel webbserver hemma (Python `http.server` på port 8000 funkar).
- Lägg till port-forward i routern: extern port 8000 till intern IP där servern kör.
- Hitta din WAN-IP i routerns admin.
- Be en kompis på annat nät försöka surfa till din IP följt av :8000.
Funkar det — bra, publik IP, ingen CGNAT. Funkar det inte — du sitter sannolikt bakom CGNAT.
Lösningarna i prioritetsordning
| Lösning | Cirka kostnad | Svårighetsgrad |
|---|---|---|
| Cloudflare Tunnel | Gratis | Medel (kräver domän) |
| Tailscale Funnel | Gratis | Lätt |
| VPN-server hos VPS | ~30 kr/mån | Avancerad |
1. Cloudflare Tunnel — gratis och elegant
Du installerar en liten klient (`cloudflared`) på den enhet som ska vara nåbar. Klienten ansluter ut till Cloudflare och håller en tunnel öppen. När någon surfar till din tjänst på din Cloudflare-domän skickas trafiken via Cloudflare ner i tunneln till dig. Funkar perfekt bakom CGNAT. Gratis för normal användning, kräver en domän hos Cloudflare.
2. Tailscale Funnel
Tailscale är ett VPN-nätverk som länkar dina enheter över internet. Med Funnel-tillvalet exponerar du valda portar publikt. Konfigurera med `tailscale funnel 8080` på en linux-server hemma. Gratis för upp till 100 enheter, ingen domän krävs.
3. VPN-server hos VPS
Hyr en billig VPS (Hetzner, Linode, Contabo runt 30 kr per månad), kör Wireguard på den, lägg upp en klient hemma. Du kan sedan publicera portar på VPS som vidarebefordrar in via Wireguard till din hemmaserver. Mest jobb men flexibelt.
Port trigger — varianten som inte hjälper
Vissa router har "port trigger" som alternativ till port-forward. Port trigger öppnar automatiskt en port utifrån när en intern enhet börjat kommunicera utåt. Det funkar för P2P-baserade tjänster men är fortfarande beroende av att vara nåbar utifrån — bakom CGNAT hjälper inte port trigger.
UPnP — bekvämt men osäkert
Universal Plug and Play (UPnP) låter program automatiskt öppna portar i routern utan att du gör något manuellt. Spel och vissa P2P-program använder det. På mobilt bredband med publik IP funkar UPnP, men inte bakom CGNAT eftersom operatörens NAT-lager inte stöder UPnP utåt. Säkerhetsmedvetna stänger ofta av UPnP eftersom det öppnar portar utan att be om lov.
Specifika scenarier
Minecraft-server hemma
Behöver port 25565 öppen utåt. Lösning: Tailscale Funnel, Cloudflare Tunnel (för Java-utgåvan funkar det med TCP) eller publik IP.
Plex Media Server
Plex har en egen "Plex Relay" som funkar bakom CGNAT men är begränsad till 2 Mbit/s vilket är dåligt för 4K. Med Cloudflare Tunnel eller publik IP får du full kvalitet.
Hemmasajt eller blogg
Cloudflare Tunnel är förstavalet. Du får dessutom gratis SSL och DDoS-skydd på köpet.
Säkerhetskameror
De flesta moderna kameror använder en molntjänst (Reolink, Hikvision) som funkar bakom CGNAT. Endast om du explicit vill köra direktanslutning behöver du port-forward.
Vanliga frågor om portforwarding på mobilt bredband
Varför hjälper inte bridge mode för port-forwarding?
Bridge mode löser dubbel-NAT mellan operatörens router och din egen, men det löser inte att operatören kör CGNAT högre upp. Din router får då en privat IP från operatören, oavsett om du har bridge eller inte.
Funkar STUN och NAT-traversal bakom CGNAT?
För klient-klient-kopplingar (som WebRTC i webbläsare) hjälper STUN ibland men inte alltid. För server-tjänster som ska ta emot inkommande anslutningar fungerar STUN inte alls.
Är Cloudflare Tunnel verkligen gratis?
Ja, för Zero Trust-planet finns ett gratisalternativ som täcker normalbruk. Du betalar bara om du behöver fler än 50 användare eller specifika företagsfunktioner. För hemmabruk är det helt gratis.
Kan jag använda dynamisk DNS bakom CGNAT?
Nej. Dyn-DNS pekar bara ett domännamn till en IP-adress. Är IP-adressen privat (CGNAT) blir det inte nåbart oavsett DNS-pekning.
Funkar UPnP bättre på 5G-router än 4G-router?
Nej, UPnP är en logisk funktion i din router. 5G eller 4G påverkar inte. Däremot kan vissa 5G-router-modeller ha modernare UPnP-implementation som är mer kompatibel.
Är port-forwarding säkerhetsrisk?
Ja, varje öppen port är en potentiell ingång. Använd starka lösenord på de tjänster du exponerar, håll mjukvaran uppdaterad, och överväg fail2ban eller motsvarande för att blockera försök till bruteforce.