Auteur Sujet: Premier cas de CG-NAT chez Orange (Lu 578 fois)

Pegasus38 · « **le:** 12 juin 2026 à 22:59:40 »

Deux cas d’activation du CG-NAT chez Orange signalés aujourd’hui sur le forum. À ma connaissance, ce sont les premiers. Tous les abonnés Orange ont normalement une IP (IPv4) non-fixe full stack.
Orange semble activer cette option chez certains abonnés. Les deux cas ci-dessous sont chez Sosh et non chez Orange, peut-être vont-ils commencer par eux ?

Signalez le nous ici, si pour vous aussi, c'est le cas.

Citation de: vivien le 12 juin 2026 à 15:35:06

J'ai le retour d'une collègue équipée d'une Livebox 5 et qui est visiblement passé en CGN : Les VPN d'entreprise (Ivanti Secure Access Client) n'arrivait pas à se connecter suite à l'activation du DS-Lite sur la box.

Cela pourrait être un problème de MTU ?

Le reverse de l'IPv4 était en cgnidf.orange.fr

Après avoir remis l'IPv4 dédiée dans les options de la Livebox le VPN d'entreprise a parfaitement fonctionné.

À noter que le problème n'est pas présent sur le Carrier-grade NAT des box 5G Orange.

Citation de: baptiste_ le 12 juin 2026 à 20:26:26

Retour d'expérience chez Sosh : j'avais des problèmes de MTU ce matin, pas possible d'envoyer des paquets de plus de 1476 octets.

Après investigation, j'ai constaté que la Livebox 5 était en mode CGN, alors que je n'ai jamais touché à ce paramètre (d'ailleurs il n'existait pas la dernière fois que j'ai regardé la config). En remettant en mode dual stack, ça a résolu le problème de MTU.

Pour le reverse, l'IPv4 partagée n'en avait pas. Par contre quand j'ai fait un traceroute vers cette IP depuis une autre connexion, le dernier saut était "lag-462.cgnidf22.rbci.orange.net", j'imagine que ça veut dire "CGN Ile de France"

Niosem · « **Réponse #1 le:** **Hier** à 22:10:33 »

C'est pas vrai... ça commence. Je déteste le CGNAT. Ça vient probablement du fait que je suis un geek énorme et que je faisse de l'auto-hébergement de mes services mais je trouve fou qu'on se mette à passer des abonnés existants de l'IPV4 Full-Stack au CGNAT, alors qu'on pourrait faire IPV6 par défaut et IPV4 sur demande (bien que cela ne soit pas une solution idéale non plus...). Après la maeure partie des gens normaux n'y verront rien.

Mis a part cela, je trouve assez surprenant qu'ils n'aient pas testé tous les cas de figure avant d'activer le CGNAT... Casser les VPN Entreprise (dont Ivanti, quand même assez répandu vu son utilisation sur tout le réseau Carrefour pour n'en nommer qu'un) c'est pas vraiment favorable à leur réputation qu'elle soit du coté consommateur ou profesionnel. Après je viens d'une mauvaise experience avec Sosh alors j'ai un biais.

Encore content qu'on puisse toujours régler ce paramètre (bien que je ne sois plus chez Orange/Sosh), moi toute ma conaissance informatique vient d'un serveur Minecraft que j'ai ouvert pour la première fois a mes amis sure une Livebox 4 en ADSL, et je souhaite vraiment que l'option reste disponible pour continuer à encourager les jeunes à découvrir l'informatique et tout ce qui est réseau/infrastructure. Je me demande si ils vont limiter l'IP Full stack aux abonnés Orange et refourguer le CGNAT aux clients Sosh?

Pegasus38 · « **Réponse #2 le:** **Aujourd'hui** à 08:51:26 »

On va dire que pour 99% des abonnés ils ne le verront même pas, un peu comme les autres opérateurs, SFR et Free de base n'ont pas d'IP full stack, il faut la demander.

buddy · « **Réponse #3 le:** **Aujourd'hui** à 09:40:22 »

Citation de: Niosem le Hier à 22:10:33

Mis a part cela, je trouve assez surprenant qu'ils n'aient pas testé tous les cas de figure avant d'activer le CGNAT... Casser les VPN Entreprise (dont Ivanti, quand même assez répandu vu son utilisation sur tout le réseau Carrefour pour n'en nommer qu'un) c'est pas vraiment favorable à leur réputation qu'elle soit du coté consommateur ou profesionnel.

Quelque soit la solution déployée (SFR, Bouygues, Free ou Orange), ça cassera toujours des VPNs d'entreprise pas forcément très souple au niveau des ports..

Optix · « **Réponse #4 le:** **Aujourd'hui** à 09:51:08 »

Les VPN d'entreprise, visiblement, il "suffit" de modifier la MTU pour qu'elle soit plus basse.
Un réglage d'antant qui ne passe plus aujourd'hui... les gens s'adapteront comme toujours.

Comme les services hébergés... ça fait des années qu'avec un dyndns, je passe avec mon mobile et mes autres accès en IPv6 à mes ressources, de façon transparente.
Pareil, faut s'adapter, c'est un peu de config un dimanche après-midi, mais après c'est royal, le CGNAT (et même le NAT tout court) n'est qu'un lointain souvenir.

Donc j'espère que le CGNAT qui arrive aussi chez Orange va permettre de bouger les habitudes.

vivien · « **Réponse #5 le:** **Aujourd'hui** à 09:56:10 »

Ce probléme se manifeste uniquement quand le client a un ONT tiers, qui bloque les paquets > 1500 octets :

Citation de: baptiste_ le Hier à 23:54:06

Ah, intéressant cette histoire de MTU supérieure à 1500 sur le WAN. J'avais oublié mais j'ai un ONT tiers sur le WAN ethernet de la box (pour débugguer et au final résoudre un autre souci, du rate-limiting bizarre). Du coup ça doit être à cause de cet ONT que les paquets (une fois encapsulés) de plus de 1500 octets ne passent pas. Cas un peu particulier donc...

Pour ceux qui utilisent une box Orange avec l'ONT Orange, il n'y a pas de probléme avec le partage d'IPv4.

L'ONT tiers utilisé avec une box Orange cela peut paraitre étrange, mais c'est pour que les paquets soit tagués DSCP 0 et ne plus avoir de limitation à 5 Mb/s avec des paquet avec un DSCP non nul.

hwti · « **Réponse #6 le:** **Aujourd'hui** à 11:12:15 »

Citation de: vivien le Aujourd'hui à 09:56:10

Ce probléme se manifeste uniquement quand le client a un ONT tiers, qui bloque les paquets > 1500 octets :
Pour ceux qui utilisent une box Orange avec l'ONT Orange, il n'y a pas de probléme avec le partage d'IPv4.

Ta collègue utilise un ONT tiers ?