Auteur Sujet: Premier cas de CG-NAT chez Orange (Lu 870 fois)

Pegasus38 · « **le:** 12 juin 2026 à 22:59:40 »

Deux cas d’activation du CG-NAT chez Orange signalés aujourd’hui sur le forum. À ma connaissance, ce sont les premiers. Tous les abonnés Orange ont normalement une IP (IPv4) non-fixe full stack.
Orange semble activer cette option chez certains abonnés. Les deux cas ci-dessous sont chez Sosh et non chez Orange, peut-être vont-ils commencer par eux ?

Signalez le nous ici, si pour vous aussi, c'est le cas.

Citation de: vivien le 12 juin 2026 à 15:35:06

J'ai le retour d'une collègue équipée d'une Livebox 5 et qui est visiblement passé en CGN : Les VPN d'entreprise (Ivanti Secure Access Client) n'arrivait pas à se connecter suite à l'activation du DS-Lite sur la box.

Cela pourrait être un problème de MTU ?

Le reverse de l'IPv4 était en cgnidf.orange.fr

Après avoir remis l'IPv4 dédiée dans les options de la Livebox le VPN d'entreprise a parfaitement fonctionné.

À noter que le problème n'est pas présent sur le Carrier-grade NAT des box 5G Orange.

Citation de: baptiste_ le 12 juin 2026 à 20:26:26

Retour d'expérience chez Sosh : j'avais des problèmes de MTU ce matin, pas possible d'envoyer des paquets de plus de 1476 octets.

Après investigation, j'ai constaté que la Livebox 5 était en mode CGN, alors que je n'ai jamais touché à ce paramètre (d'ailleurs il n'existait pas la dernière fois que j'ai regardé la config). En remettant en mode dual stack, ça a résolu le problème de MTU.

Pour le reverse, l'IPv4 partagée n'en avait pas. Par contre quand j'ai fait un traceroute vers cette IP depuis une autre connexion, le dernier saut était "lag-462.cgnidf22.rbci.orange.net", j'imagine que ça veut dire "CGN Ile de France"

Niosem · « **Réponse #1 le:** **Hier** à 22:10:33 »

C'est pas vrai... ça commence. Je déteste le CGNAT. Ça vient probablement du fait que je suis un geek énorme et que je faisse de l'auto-hébergement de mes services mais je trouve fou qu'on se mette à passer des abonnés existants de l'IPV4 Full-Stack au CGNAT, alors qu'on pourrait faire IPV6 par défaut et IPV4 sur demande (bien que cela ne soit pas une solution idéale non plus...). Après la maeure partie des gens normaux n'y verront rien.

Mis a part cela, je trouve assez surprenant qu'ils n'aient pas testé tous les cas de figure avant d'activer le CGNAT... Casser les VPN Entreprise (dont Ivanti, quand même assez répandu vu son utilisation sur tout le réseau Carrefour pour n'en nommer qu'un) c'est pas vraiment favorable à leur réputation qu'elle soit du coté consommateur ou profesionnel. Après je viens d'une mauvaise experience avec Sosh alors j'ai un biais.

Encore content qu'on puisse toujours régler ce paramètre (bien que je ne sois plus chez Orange/Sosh), moi toute ma conaissance informatique vient d'un serveur Minecraft que j'ai ouvert pour la première fois a mes amis sure une Livebox 4 en ADSL, et je souhaite vraiment que l'option reste disponible pour continuer à encourager les jeunes à découvrir l'informatique et tout ce qui est réseau/infrastructure. Je me demande si ils vont limiter l'IP Full stack aux abonnés Orange et refourguer le CGNAT aux clients Sosh?

Pegasus38 · « **Réponse #2 le:** **Aujourd'hui** à 08:51:26 »

On va dire que pour 99% des abonnés ils ne le verront même pas, un peu comme les autres opérateurs, SFR et Free de base n'ont pas d'IP full stack, il faut la demander.

buddy · « **Réponse #3 le:** **Aujourd'hui** à 09:40:22 »

Citation de: Niosem le Hier à 22:10:33

Mis a part cela, je trouve assez surprenant qu'ils n'aient pas testé tous les cas de figure avant d'activer le CGNAT... Casser les VPN Entreprise (dont Ivanti, quand même assez répandu vu son utilisation sur tout le réseau Carrefour pour n'en nommer qu'un) c'est pas vraiment favorable à leur réputation qu'elle soit du coté consommateur ou profesionnel.

Quelque soit la solution déployée (SFR, Bouygues, Free ou Orange), ça cassera toujours des VPNs d'entreprise pas forcément très souple au niveau des ports..

Optix · « **Réponse #4 le:** **Aujourd'hui** à 09:51:08 »

Les VPN d'entreprise, visiblement, il "suffit" de modifier la MTU pour qu'elle soit plus basse.
Un réglage d'antant qui ne passe plus aujourd'hui... les gens s'adapteront comme toujours.

Comme les services hébergés... ça fait des années qu'avec un dyndns, je passe avec mon mobile et mes autres accès en IPv6 à mes ressources, de façon transparente.
Pareil, faut s'adapter, c'est un peu de config un dimanche après-midi, mais après c'est royal, le CGNAT (et même le NAT tout court) n'est qu'un lointain souvenir.

Donc j'espère que le CGNAT qui arrive aussi chez Orange va permettre de bouger les habitudes.

vivien · « **Réponse #5 le:** **Aujourd'hui** à 09:56:10 »

Ce probléme se manifeste uniquement quand le client a un ONT tiers, qui bloque les paquets > 1500 octets :

Citation de: baptiste_ le Hier à 23:54:06

Ah, intéressant cette histoire de MTU supérieure à 1500 sur le WAN. J'avais oublié mais j'ai un ONT tiers sur le WAN ethernet de la box (pour débugguer et au final résoudre un autre souci, du rate-limiting bizarre). Du coup ça doit être à cause de cet ONT que les paquets (une fois encapsulés) de plus de 1500 octets ne passent pas. Cas un peu particulier donc...

Pour ceux qui utilisent une box Orange avec l'ONT Orange, il n'y a pas de probléme avec le partage d'IPv4.

L'ONT tiers utilisé avec une box Orange cela peut paraitre étrange, mais c'est pour que les paquets soit tagués DSCP 0 et ne plus avoir de limitation à 5 Mb/s avec des paquet avec un DSCP non nul.

hwti · « **Réponse #6 le:** **Aujourd'hui** à 11:12:15 »

Citation de: vivien le Aujourd'hui à 09:56:10

Ce probléme se manifeste uniquement quand le client a un ONT tiers, qui bloque les paquets > 1500 octets :
Pour ceux qui utilisent une box Orange avec l'ONT Orange, il n'y a pas de probléme avec le partage d'IPv4.

Ta collègue utilise un ONT tiers ?

turold · « **Réponse #7 le:** **Aujourd'hui** à 13:30:36 »

Qu'est-ce qu'on appelle précisément un "ONT tiers" ?

C'est par curiosité, car avec ma Livebox 3, je ne trouve même pas de paramètre CGN dans l'interface admin de la box (ou alors c'est très bien caché avec cette Livebox), donc très probablement jamais éligible.
Par contre, n'ayant aucun ONT intégré à la box, j'ai bien un ONT externe, mais il a été fourni par Orange. Je suppose qu'on parle alors juste d'ONT externe, pas tiers.

DDC · « **Réponse #8 le:** **Aujourd'hui** à 13:43:39 »

le CGN ne concerne que des livebox 4 et 5

turold · « **Réponse #9 le:** **Aujourd'hui** à 13:57:50 »

Citation de: DDC le Aujourd'hui à 13:43:39

le CGN ne concerne que des livebox 4 et 5

Voilà qui me rassure sur ce critère.
De mémoire, c'est aussi prévu sur les box plus récentes. Mais ça veut peut être pousser les tests sur du déploiement progressif avec les v4 et v5, pour voir si ça passe assez majoritairement sans souci, avant de s'occuper des box plus récentes.

msg · « **Réponse #10 le:** **Aujourd'hui** à 14:06:27 »

Bonjour ,

Je suis avec une Livebox 4 Fibre , ONT externe d'Orange et CGN en Dual Stack . Aucun souci pour l'instant .

Citer

Mode de connexion : Dual Stack

Si le mode CGN est actif sur votre Livebox, l’adresse IPv4 publique que vous utilisez pour naviguer sur Internet est mutualisée au sein du réseau d’Orange.
Nous vous conseillons de ne modifier cette configuration qu‘en cas de nécessité.

Le paramètre apparait dans le menu Paramètres avancés / Réseau , le dernier onglet à droite CGN .

turold · « **Réponse #11 le:** **Aujourd'hui** à 14:34:19 »

Citation de: msg le Aujourd'hui à 14:06:27

Je suis avec une Livebox 4 Fibre , ONT externe d'Orange et CGN en Dual Stack . Aucun souci pour l'instant .

Ok, ça réponds à ma question: un ONT tiers est un ONT non fourni par l'opérateur.

Donc en effet, c'est encore plus rare que ceux qui prenaient un routeur-modem non fourni par l'opérateur pour bénéficier de l'ADSL, où c'était environ 10% (dont j'ai fait parti de cette minorité).
Pour faire de même côté VDSL ou fibre, on estime que c'est environ 1% des lignes, voir même encore moins pour la partie ONT.