VIGIL MESH

Documentation

Accès distant derrière CGNAT : Starlink, 4G/5G et fibre partagée

Vous avez ouvert le port sur le routeur, configuré un DynDNS, tout vérifié deux fois — et depuis l’extérieur, rien ne répond. Si votre accès Internet passe par Starlink, une connexion 4G/5G ou certaines offres fibre récentes, ce n’est pas une erreur de votre part : votre opérateur partage une même adresse IP publique entre de nombreux abonnés (CGNAT), et le NAT qui bloque vos connexions entrantes ne vous appartient pas. Cette page explique pourquoi les recettes classiques échouent toutes, puis comment VIGIL-MESH rétablit l’accès distant à vos machines avec uniquement des connexions sortantes — sans IP publique, sans port ouvert, sans rien demander à l’opérateur.

Le CGNAT : une adresse publique partagée entre abonnés

Les adresses IPv4 publiques sont une ressource épuisée : il n’y en a pas assez pour donner la sienne à chaque abonné. Beaucoup d’opérateurs répondent au problème avec le Carrier-Grade NAT (CGNAT) : une couche de traduction d’adresses supplémentaire, installée dans leur propre réseau, qui fait partager une même adresse publique à des dizaines ou des centaines d’abonnés. Votre box fait déjà du NAT entre vos machines et elle-même ; l’opérateur en refait un au-dessus, entre votre box et Internet.

La conséquence pratique est brutale : l’adresse publique que le monde voit n’est pas la vôtre. Elle appartient à l’opérateur, elle est partagée avec d’autres clients, et l’équipement qui décide de ce qui entre n’est pas votre routeur — c’est le NAT de l’opérateur, sur lequel vous n’avez aucune prise. Starlink, la plupart des accès 4G/5G et certains fournisseurs fibre placent leurs abonnés derrière un CGNAT par défaut.

  • L’adresse WAN du routeur trahit le CGNAT : si votre routeur affiche une adresse en 100.64.x.x (la plage réservée au CGNAT), en 10.x.x.x ou en 192.168.x.x côté WAN, il n’a pas d’adresse publique en propre.
  • Deux adresses qui ne concordent pas : l’adresse que voit un site « quelle est mon IP » diffère de celle affichée par le routeur — signe qu’une traduction supplémentaire a lieu chez l’opérateur.
  • Des redirections qui ne répondent jamais : la règle de port forwarding est correcte, le service écoute bien en local, et pourtant rien n’aboutit depuis l’extérieur. Le blocage est en amont de chez vous.

Pourquoi port forwarding, DynDNS et UPnP échouent tous

Les tutoriels d’accès distant reposent tous sur le même préalable implicite : votre routeur détient l’adresse publique, donc configurer votre routeur suffit. Sous CGNAT, ce préalable est faux — et chaque recette échoue pour la même raison, déclinée différemment.

Le port forwarding ouvre la mauvaise porte

Votre règle de redirection agit sur votre box : « ce qui arrive sur ce port, envoie-le à cette machine ». Mais sous CGNAT, le trafic entrant n’arrive jamais jusqu’à votre box : il est écarté un cran plus haut, par le NAT de l’opérateur, qui ne sait pas à quel abonné destiner une connexion non sollicitée sur l’adresse partagée.

Le DynDNS pointe vers une adresse partagée

Un DNS dynamique associe un nom à votre adresse publique du moment. Sous CGNAT, ce nom pointe vers l’adresse commune de nombreux abonnés : même parfaitement à jour, il désigne une porte que personne ne peut franchir. Le DynDNS résout un problème d’adresse qui change — pas un problème d’adresse qui n’est pas à vous.

L'UPnP négocie avec le mauvais équipement

L’UPnP permet à une application de demander une ouverture de port… à votre box. La box s’exécute, l’application croit le port ouvert, et le NAT de l’opérateur — qui n’a jamais été consulté — continue de tout bloquer. C’est le piège le plus trompeur : tout semble configuré, rien ne passe.

La DMZ n'y change rien non plus

Placer une machine « en DMZ » revient à lui rediriger tous les ports de la box. C’est une version extrême du port forwarding — et elle échoue pour la même raison : la box ne reçoit jamais le trafic qu’elle devrait rediriger.

Les contournements partiels : IPv6 et IP publique en option

Deux pistes reviennent souvent, et elles méritent une réponse honnête : elles peuvent fonctionner, mais avec des conditions et des contreparties qu’on vous dit rarement.

L’IPv6 d’abord. Le CGNAT ne concerne que l’IPv4 ; si votre opérateur fournit de l’IPv6 routable, vos machines peuvent avoir une adresse joignable mondialement, sans NAT du tout. Mais le contournement est partiel : il faut que l’IPv6 soit réellement activée et routée de votre côté, que chaque machine distante qui veut vous joindre dispose elle aussi d’IPv6 — ce qui est loin d’être garanti depuis un hôtel, un réseau d’entreprise ou une connexion mobile —, et il faut configurer le pare-feu pour laisser entrer précisément ce qu’il faut. On retombe alors sur un service exposé à Internet, avec les risques qui vont avec.

L’IP publique en option ensuite. Certains fournisseurs d’accès proposent, en option payante ou sur certaines offres, une adresse IPv4 publique dédiée. Quand elle existe, cette option restaure le port forwarding classique — mais elle se paie, elle dépend de l’offre et de l’opérateur, elle n’existe pas partout (notamment sur beaucoup d’accès mobiles), et elle ramène au point de départ : un service exposé sur Internet, scanné en permanence, à maintenir et à protéger.

PistePourquoi ça coince sous CGNATVerdict
Port forwarding / DMZLe trafic entrant est écarté chez l'opérateur, avant votre boxInopérant
DynDNSLe nom pointe vers une adresse partagée entre abonnésInopérant
UPnPNégocie avec votre box, pas avec le NAT de l'opérateurInopérant
IPv6Exige de l'IPv6 des deux côtés et expose le servicePartiel
IP publique en optionPayante, selon l'offre, et ré-expose un serveur à InternetPartiel
Connexions sortantes + rendez-vous (mesh)Le CGNAT laisse sortir — c'est tout ce qu'il fautFonctionne

Ce qui marche : sortir des deux côtés et se rejoindre

Le CGNAT bloque tout ce qui entre, mais laisse sortir tout ce qui sort — sinon vous ne pourriez même pas charger cette page. La solution n’est donc pas de forcer une entrée : c’est de faire en sorte que personne n’ait à accepter de connexion entrante. Les deux machines établissent chacune une connexion sortante vers un point de rendez-vous, qui les met en relation ; du point de vue de chaque NAT — le vôtre comme celui de l’opérateur —, il n’y a que du trafic sortant et ses réponses, c’est-à-dire l’usage normal du réseau.

C’est exactement le modèle de VIGIL-MESH. Chaque machine n’émet qu’un seul flux sortant, en 443 UDP — le même port que le web moderne. La connexion entre deux machines s’établit immédiatement à travers un relais (la vigie), puis, en arrière-plan, les nœuds tentent la traversée NAT ; si un chemin direct existe, la session y migre sans coupure. Ni l’un ni l’autre n’a eu besoin d’IP publique, de port ouvert ou de la moindre coopération de l’opérateur.

  • Zéro port entrant, zéro demande à l’opérateur — le CGNAT n’est plus un obstacle, puisque plus rien n’a besoin d’entrer.
  • Adresse stable et nom MagicDNS — chaque machine garde la même adresse sur le mesh et un nom lisible, quel que soit le réseau physique où elle se trouve. Fini le DynDNS : le nom suit la machine, pas l’adresse de l’opérateur.
  • Chiffrement de bout en bout — les sessions sont des connexions QUIC/TLS 1.3 entre les deux nœuds, avec un échange de clés hybride post-quantique. Relayé ou direct, le chemin ne change rien au chiffrement.
  • Des sessions qui survivent aux à-coups du lien — la session n’est pas liée à un couple d’adresses IP : si la connexion change d’adresse ou de réseau, elle se rétablit sur le meilleur chemin disponible sans reconnexion applicative.

Et si les deux côtés sont en CGNAT ?

Cas d’école de plus en plus fréquent : la machine à joindre est derrière Starlink, et vous la joignez… depuis un téléphone en 5G. Deux CGNAT face à face. Les connexions sortantes des deux côtés atteignent le rendez-vous sans difficulté, donc la connexion fonctionne toujours. La vraie question est de savoir si un chemin direct pourra s’établir — et là, l’honnêteté s’impose.

Les CGNAT d’opérateur se comportent souvent en NAT symétriques : ils attribuent une correspondance différente par destination, ce qui rend la traversée directe généralement impossible quand les deux extrémités sont dans ce cas. Le trafic passe alors en permanence par la vigie — pour VIGIL-MESH comme pour n’importe quel autre système de traversée NAT. La différence se joue sur ce que ce relais peut voir, et à qui il appartient.

  • Le relais est structurellement aveugle : il ne détient pas les clés des sessions et fait transiter des flux QUIC/TLS 1.3 chiffrés de bout en bout, dont il ne voit jamais le contenu.
  • Vous pouvez héberger votre propre vigie : un relais privé, dédié à votre espace de travail — le chemin relayé passe alors par une machine à vous.
  • Si un réseau bloque même l’UDP sortant (certains réseaux d’entreprise ou d’hôtel), le nœud bascule automatiquement sur un profil tcp-only vers la vigie, sur le port 443 : la connectivité est préservée.

Cas concrets : Starlink, chantier 4G, bateau

Le CGNAT concerne précisément les situations où l’accès distant compte le plus : les lieux sans fibre classique, les sites temporaires, les véhicules. Quelques situations types :

Le serveur à la maison, en Starlink

Un NAS, un serveur multimédia ou une machine de bureau à distance dans une maison raccordée en Starlink. Installez le client VIGIL-MESH sur le serveur et sur vos appareils nomades : chacun sort en 443 UDP, et vous joignez le serveur par son nom, comme en local — sans option d’abonnement supplémentaire côté opérateur.

La caméra ou l'automate de chantier, en 4G

Un chantier n’a souvent qu’un routeur 4G/5G — donc du CGNAT. Une passerelle sur site (un mini-PC, une Jetson) enrôlée dans le mesh rend caméras et équipements joignables depuis le bureau, en accès privé : rien n’est publié sur Internet, l’ACL limite qui peut y accéder.

Le bateau ou le camping-car

Connexion Starlink ou 4G selon la zone, adresse qui change au fil du voyage : le pire des cas pour un DynDNS, un cas normal pour le mesh. La machine à bord garde son adresse stable et son nom sur le réseau, et les sessions se rétablissent d’elles-mêmes quand le lien change.

Le petit bureau en fibre partagée

Certaines offres fibre placent aussi leurs clients derrière un CGNAT. Pour joindre la machine du bureau depuis chez soi, inutile de négocier une IP publique avec l’opérateur : deux clients enrôlés dans le même espace de travail suffisent.

Mise en place, pas à pas

La procédure est identique quel que soit l’accès Internet — Starlink, 4G/5G, fibre partagée ou box classique. Aucune étape ne concerne le routeur ni l’opérateur.

  1. 1
    Créez un compte et un espace de travailC’est gratuit pour un usage personnel. L’espace de travail regroupera vos machines et vos règles d’accès.
  2. 2
    Installez le client sur les machines concernéesSur la machine derrière le CGNAT (le serveur, la passerelle de chantier, le PC du bateau) et sur les appareils qui devront la joindre.
  3. 3
    Enrôlez chaque machinePage Réseaux → Machines → « Ajouter une machine » : une clé à usage unique enrôle la machine dans votre espace de travail.
  4. 4
    Vérifiez la connectivitéChaque machine reçoit une adresse stable et un nom MagicDNS. Un ping vers l’adresse ou le nom confirme que le lien est établi — y compris à travers le CGNAT.
  5. 5
    Accédez à vos services comme en localBureau à distance, SSH, interface web du NAS ou de la caméra : visez l’adresse ou le nom de la machine, exactement comme si vous étiez sur place.

Questions fréquentes

Comment savoir si je suis derrière un CGNAT ?
Comparez l'adresse WAN affichée par votre routeur avec l'adresse publique que voit un site « quelle est mon IP ». Si elles diffèrent, ou si le routeur affiche une adresse en 100.64.x.x (plage réservée au CGNAT) ou une adresse privée côté WAN, votre opérateur fait du CGNAT. Autre indice : des redirections de port correctement configurées qui ne répondent jamais depuis l'extérieur.
Le DynDNS peut-il contourner le CGNAT ?
Non. Un DNS dynamique associe un nom à votre adresse publique du moment ; sous CGNAT, cette adresse est partagée entre de nombreux abonnés, et le nom pointe donc vers une porte que personne ne peut franchir. Le DynDNS résout le problème d'une adresse qui change, pas celui d'une adresse qui ne vous appartient pas.
L'IPv6 règle-t-elle le problème du CGNAT ?
Partiellement, et sous conditions. Le CGNAT ne concerne que l'IPv4 : si votre opérateur fournit de l'IPv6 routable, vos machines peuvent être joignables en IPv6. Mais il faut aussi que chaque machine distante dispose d'IPv6 — ce qui n'est pas garanti depuis un hôtel, une entreprise ou un réseau mobile — et vous retombez sur un service exposé à Internet, à protéger. Ce n'est pas une solution complète pour la plupart des usages.
Dois-je prendre l'option IP publique de mon opérateur ?
Ce n'est pas nécessaire pour utiliser VIGIL-MESH. Certains opérateurs proposent une adresse IPv4 publique en option ou sur certaines offres ; quand elle existe, elle restaure le port forwarding classique, mais elle ramène à un service exposé sur Internet, scanné en permanence. Avec des connexions sortantes des deux côtés, l'accès distant fonctionne sans cette option.
VIGIL-MESH fonctionne-t-il derrière Starlink ?
Oui. Starlink place ses abonnés derrière un CGNAT par défaut, ce qui bloque les connexions entrantes — mais VIGIL-MESH n'en établit aucune : chaque machine n'émet qu'un flux sortant en 443 UDP, comme un navigateur web. La connexion passe immédiatement par le relais, puis migre vers un chemin direct si la traversée NAT aboutit.
Et si les deux machines sont en CGNAT (Starlink d'un côté, 4G de l'autre) ?
La connexion fonctionne dans tous les cas : les deux machines sortent vers le relais, qui les met en relation. En revanche, deux CGNAT symétriques face à face rendent le chemin direct généralement impossible : le trafic reste alors relayé en permanence par la vigie, qui est structurellement aveugle — elle ne détient pas les clés et ne voit jamais le contenu, chiffré de bout en bout.
Le relais voit-il mes données quand le trafic reste relayé ?
Non. Les sessions sont des connexions QUIC/TLS 1.3 chiffrées de bout en bout entre les deux nœuds ; la vigie fait transiter ces flux sans détenir les clés. Si transiter par un relais partagé vous dérange, vous pouvez héberger votre propre vigie privée, dédiée à votre espace de travail.
Combien ça coûte pour un serveur personnel derrière CGNAT ?
VIGIL-MESH est gratuit pour un usage personnel, avec un trafic direct illimité et un quota sur le trafic relayé. Aucune option opérateur, aucune IP publique et aucune configuration de routeur ne sont nécessaires.
Lire ensuiteVPN sans ouvrir de port : la traversée NAT expliquée