Categories

Publiek IPv4 versus CGNAT uitgelegd in Nederland

  • Joris van den Berg

Duidelijke uitleg over publiek IPv4 en CGNAT in Nederland. Begrijp de gevolgen voor gaming, camera’s, VPN en thuisservers, hoe je jouw situatie controleert, welke opties bestaan, en welke rechten volgens ACM-kaders en herroepingsrecht relevant zijn.

Bij het kiezen van een internetabonnement is het belangrijk om te weten of je een publiek IPv4-adres krijgt of achter CGNAT zit. Dit artikel legt uit wat het verschil is, welke gevolgen dat heeft voor toepassingen zoals gaming, camera’s en thuisservers, en welke rechten en opties je in Nederland hebt volgens de geldende kaders.

Publiek IPv4 versus CGNAT uitgelegd

Publiek IPv4 betekent dat jouw modem of router een uniek, extern IPv4-adres krijgt. Apparaten binnen je netwerk kunnen via port forwarding vanaf internet bereikt worden. CGNAT betekent dat meerdere klanten een gedeeld IPv4-adres gebruiken achter een carrier-grade NAT bij de aanbieder. Inkomende verbindingen naar jouw thuisnetwerk zijn dan meestal niet mogelijk.

Contracten verschillen per aanbieder. Bij vast internet leveren sommige partijen standaard een publiek IPv4-adres, bij andere is CGNAT de standaardinstelling of vooral op mobiel (4G/5G). Static of dynamisch IPv4 is een apart onderwerp en staat doorgaans in de productvoorwaarden.

Verschil tussen publiek IPv4 en CGNAT

  • Toegang van buitenaf Publiek IPv4 ondersteunt port forwarding en eigen diensten. CGNAT meestal niet.
  • Transparantie Aanbieders horen duidelijk te vermelden hoe IPv4 en IPv6 worden geleverd.
  • Prestaties Voor browsen en video merk je doorgaans geen verschil. Voor P2P, remote toegang en sommige games kan CGNAT beperkingen geven.

Bij publiek IPv4 zijn eigen servers, directe remote desktop of IP-camera’s met een open poort technisch haalbaar, met de normale risico’s en configuratie-eisen. Onder CGNAT strandt inkomend verkeer al bij de NAT van de aanbieder; de verbinding bereikt jouw router niet. Spelconsoles tonen dan soms een ongunstige NAT-classificatie en bepaalde P2P-protocollen werken beperkt. Over het algemeen functioneren streaming, webdiensten, videobellen en cloudopslag prima omdat die uitgaand starten. Het kan voorkomen dat je op een gedeeld IPv4-adres vaker captcha’s ziet of te maken krijgt met IP-reputatieblokkades. Dit verschilt per netwerk.

CGNAT Uitleg voor beginners

Door IPv4-schaarste zetten veel aanbieders CGNAT in. Je deelt één extern IPv4-adres met anderen. Uitgaand verkeer werkt normaal, maar inkomend verkeer naar jouw netwerk strandt bij de NAT van de aanbieder. Oplossingen zijn afhankelijk van je gebruik, zoals een publiek IPv4-aanvraag, IPv6 gebruiken of een omweg via een externe dienst.

CGNAT zit fysiek bij de aanbieder, dus poorten openzetten op je eigen router helpt niet. UPnP of PCP kan lokaal wel poorten openen, maar niet door de carrier-NAT heen. Dual stack of DS-Lite kan verschillen geven: bij dual stack heb je vaak volledig publiek IPv6, bij DS-Lite loopt IPv4 door de CGNAT-tunnel terwijl IPv6 direct is. Wie diensten wil aanbieden kan die via IPv6 adresseren als de tegenpartij IPv6 ondersteunt; oudere apparatuur en sommige games doen dat nog niet. Het kan ook zo zijn dat port triggers, SIP ALG-tweaks of STUN/TURN-diensten het effect van CGNAT verzachten voor specifieke apps, maar inkomend IPv4 rechtstreeks naar huis blijft geblokkeerd.

Transparantie over adressering en eventuele poortblokkades valt onder de open-internetregels. Aanbieders moeten duidelijke informatie geven over netwerkbeheer en bereikbaarheid van diensten; zie de ACM-pagina over netneutraliteit op acm.nl. Consumenteninformatie over internetabonnementen en vaste/mobiele aansluitingen staat gebundeld op ConsuWijzer.

Let op verschil tussen effecten: latency en downloadsnelheid hoeven onder CGNAT niet slechter te zijn, terwijl functionaliteit voor inkomend IPv4 ontbreekt. In veel gevallen kun je wel via een omweg werken, zoals een omgekeerde VPN-tunnel of een third-party relay. De keuze voor publiek IPv4 of CGNAT hangt samen met de aard van je toepassingen; de volgende paragraaf werkt dat concreet uit.

Hoe publiek IP-adres kiezen bij internetabonnement

Binnen het onderwerp publiek IPv4 versus CGNAT uitgelegd in Nederland draait de keuze vooral om bereikbaarheid van je thuisnetwerk. Over het algemeen heb je een publiek IPv4-adres nodig zodra je zelf diensten wilt aanbieden of rechtstreeks verbindingen van buiten wilt toestaan. Zoals eerder genoemd blokkeert CGNAT inkomende verbindingen aan de netwerkzijde van de aanbieder, waardoor lokale port forwarding geen effect heeft.

  • Thuisserver of NAS Externe toegang via port forwarding werkt rechtstreeks met een publiek IPv4-adres, inclusief eigen domeinnaam of dynamic DNS.
  • Gaming P2P-matchmaking, custom servers en sommige voicechat-systemen functioneren stabieler als poorten direct open kunnen.
  • VPN Voor een eigen VPN-server (bijv. WireGuard of OpenVPN) is een publiek en vanaf internet bereikbaar IP nodig.
  • Telemetrie en domotica Oudere of eenvoudige systemen rekenen op vaste poorten. Een publiek adres voorkomt omwegen via externe relays.

Bij levering van publiek IPv4 zijn er praktische details die in contracten of specificaties staan. Denk aan statisch of dynamisch IPv4, eventuele reverse DNS-mogelijkheden, en of je modem in bridge-modus kan. Ook relevant: de combinatie met IPv6 dual stack en de grootte van de IPv6-prefix (bijv. /56 of /64) voor je LAN. Het kan voorkomen dat extra routers in huis een dubbele NAT veroorzaken; dat kan bereikbaarheid beïnvloeden. Dit verschilt per aanbieder. Klaar.

Waar let op bij CGNAT internet

  • Standaardinstelling Bij veel consumentenlijnen staat CGNAT standaard aan. Vraag of een publiek IPv4-adres optioneel is en hoe je dat kunt laten activeren.
  • IPv6 Met dual stack kun je veel bereiken via IPv6 als je dienst en clients IPv6 hebben. Denk aan moderne cloud-diensten, enkele games en zelfgehoste services met AAAA-records.
  • Beleid poortblokkades Aanbieders blokkeren soms bekende misbruikpoorten (bijv. 25/TCP voor mail-uitgaand). Transparantie over blokkades en verkeersmanagement is verplicht onder de netneutraliteitsregels van de ACM.
  • Herroepingsrecht Online afgesloten overeenkomsten hebben meestal 14 dagen bedenktijd. Ontbreekt essentiële functionaliteit zoals publiek IPv4, dan kan het herroepingsrecht uitkomst bieden; zie uitleg op Rijksoverheid.

Extra aandachtspunten bij de keuze. Sommige aanbieders leveren publiek IPv4 alleen op aanvraag of schakelen om naar een ander profiel; soms met een nieuwe modemconfiguratie. Bij dynamisch IPv4 kan je adres wisselen na een reconnect of onderhoud, wat relevant is voor firewallregels, whitelists en DNS-records; dynamic DNS lost dat doorgaans op. IPv6 kan veel scenario’s dekken; controleer of je gebruikte software een AAAA-record publiceert en of clients IPv6 gebruiken. Voor e-mailservers speelt reputatie en reverse DNS; consumentenverbindingen zijn daarvoor meestal ongeschikt door policies en blokkades. Documenteer welke poorten en protocollen je nodig hebt voordat je wijzigt van CGNAT naar publiek IPv4, om verrassingen te voorkomen.

Veelgemaakte fouten bij port forwarding met CGNAT

Port forwarding in je eigen router werkt niet als je achter CGNAT zit. De inkomende verbinding stopt al bij de NAT van de aanbieder en bereikt je router niet. UPnP of PCP in je thuisnetwerk verandert daar niets aan, tenzij de provider expliciet netwerk­poorten aan de klantkant kan openen. Het punt is: zonder publiek IPv4 komt inkomend verkeer via IPv4 niet door de providerlaag heen.

Fouten komen vaak voort uit aannames over één router en één NAT-laag. In veel gevallen staan er toch meerdere apparaten in routermodus of ontbreken noodzakelijke functies in het modem of de CPE van de aanbieder. Bij DS-Lite gaat al het IPv4-verkeer via CGNAT, ook als je eigen router port forwarding ondersteunt. Dit verschilt per aanbieder. Contracten en productbeschrijvingen bepalen de mogelijkheden.

  • Dubbele NAT Zelfs met publiek IPv4 kun je interne double NAT hebben door extra routers of een modem/router-combinatie van de provider. Zet bij voorkeur slechts één apparaat in routermodus of gebruik bridge-modus als die beschikbaar is.
  • NAT loopback Niet elke router ondersteunt toegang tot je publieke hostname of IP vanuit het eigen LAN. Interne toegang kan dan falen terwijl externe toegang wel werkt.
  • Firewall Open zowel poorten in de router als in de host-firewall. Test altijd vanaf een extern netwerk om lokale caching of loopback-artefacten te vermijden.

Herkenning van CGNAT begint bij adrescontrole. Als het WAN-adres van je router niet overeenkomt met het adres dat websites tonen als jouw IP, loopt verkeer waarschijnlijk via de provider-NAT. Adressen in 100.64.0.0/10 (bijvoorbeeld 100.79.x.x) tussen klant en provider duiden vrijwel zeker op CGNAT. Ook klassieke private ranges (10.x.x.x, 172.16-31.x.x, 192.168.x.x) op de WAN-poort wijzen op extra NAT-lagen. In de praktijk verklaart dit waarom port forwarding geen effect heeft.

IPv4 Openbaar IP Controleren tips

  • WAN-adres check Vergelijk het WAN-adres van je router met het IP dat een “wat is mijn IP”-site toont. Verschil wijst vaak op CGNAT of extra NAT bij de provider.
  • Adresbereiken CGNAT gebruikt doorgaans 100.64.0.0/10 tussen klant en provider. Zichtbaar op de WAN-interface of in het modemstatusoverzicht.
  • Poorttests Voer een externe poortscan uit en laat een service op je host luisteren. Blijft de poort dicht terwijl lokaal alles klopt, dan blokkeert upstream NAT of firewall.

Alternatieven bij CGNAT zijn een aanvraag voor publiek IPv4 (indien leverbaar), een externe tunnel of reverse proxy, of overstappen op IPv6 voor inkomende verbindingen. Voor tunnel- of proxyoplossingen geldt dat uitgaand verkeer wel mogelijk moet zijn. Leveringsvoorwaarden en technische opties staan in de documentatie van de aanbieder. Informatie over rechten en transparantie-eisen rond internettoegang is te vinden bij de ACM: netneutraliteit.

Let op termijnen en benoemingen in productomschrijvingen: “CGN”, “CGNAT”, “DS-Lite”, “bridge” of “publiek IPv4 op aanvraag”. Terminologie is niet volledig gestandaardiseerd, maar verwijst wel naar concrete netwerkmodellen. Een publieke IPv4-route ontbreekt dan simpelweg of is beperkt. Zonder die route blijft port forwarding via IPv4 geblokkeerd, hoe correct je lokale instellingen ook zijn.

IPv6 en CGNAT wat betekent het

IPv6 levert unieke, wereldwijd routeerbare adressen zonder Network Address Translation (NAT). Waar publiek IPv4 schaars is, kan een aanbieder IPv6 naast IPv4 leveren via dual stack, of IPv4 via CGNAT encapsuleren met DS-Lite. In Nederland hanteren aanbieders verschillende combinaties. Dit verschilt per aanbieder. Het resultaat: uitgaand verkeer werkt in beide gevallen, maar de bereikbaarheid van eigen diensten hangt af van welk protocol je gebruikt.

Bij dual stack krijg je tegelijk IPv4 en IPv6. Bij DS-Lite is IPv6 native en loopt IPv4 via de gedeelde CGNAT-laag van de aanbieder. CGNAT raakt primair inkomend IPv4-verkeer; uitgaand verkeer en IPv6-verkeer functioneren doorgaans normaal.

  • Inbound via IPv6 Diensten zijn rechtstreeks bereikbaar als je router en firewall dit toestaan.
  • Compatibiliteit Niet elke dienst of klant heeft IPv6. Publiceer waar mogelijk zowel A- als AAAA-records.
  • Transitiemechanismen NAT64 en 464XLAT helpen IPv4-only diensten benaderen vanaf IPv6, maar lossen geen inkomend IPv4 op.

Dit onderdeel past in ‘Publiek IPv4 versus CGNAT uitgelegd in Nederland’ en richt zich op de rol van IPv6 als structurele routeerbare laag.

Praktisch gevolg: websites, streaming en veel apps werken direct over IPv6 als de aanbieder en de dienst IPv6 ondersteunen. Grote platforms en contentnetwerken doen dat al jaren, wat de afhankelijkheid van publiek IPv4 verlaagt. Sommige spelplatformen, P2P-apps of oudere apparaten blijven echter op IPv4-functies leunen; bij CGNAT kan dat beperkingen geven voor inkomende sessies. DNS speelt een sleutelrol: wie zowel A- als AAAA-records publiceert, bedient zowel IPv4- als IPv6-clients. Het kan voorkomen dat een dienst IPv6 wel aanbiedt maar een tussenliggende firewall nog regels mist; dan lijkt alleen IPv4 te werken terwijl IPv6 feitelijk is geblokkeerd.

Zoals eerder genoemd werkt regulier webgebruik over het algemeen prima met CGNAT plus IPv6. Specifieke servertoepassingen vragen extra aandacht, bijvoorbeeld bij federatieve diensten, remote access of eigen hostnamen. Daarbij geldt: inkomende IPv6 is rechtstreeks, inkomend IPv4 achter CGNAT niet.

Technisch zijn er drie veelvoorkomende profielen in Nederland. 1) Dual stack met publiek IPv4 en IPv6: volledige flexibiliteit, beide protocollen inbound mogelijk. 2) Dual stack met CGNAT-IPv4 en publiek IPv6: inbound alleen via IPv6. 3) DS-Lite: IPv6 native, IPv4 via CGNAT-tunnel; vergelijkbaar qua bereikbaarheid met profiel 2, maar met een andere transportlaag. Terminologie in contracten varieert; termen als “CGN”, “carrier-grade NAT”, “AFTR” of “gedeeld IPv4” wijzen op hetzelfde principe.

Transparantie over deze profielen valt onder de netneutraliteits- en informatieplichten; de ACM beschrijft de kaders op acm.nl. Informatie over vrije modemkeuze en apparatuur vind je via ConsuWijzer: consuwijzer.nl. Deze regels zeggen niets over het krijgen van publiek IPv4, maar wel over duidelijke communicatie en compatibiliteitseisen.

Rechten en plichten rond IP-adressen in Nederland

Publiek IPv4 versus CGNAT in Nederland raakt niet alleen techniek, maar ook contracten en consumentenrechten. Een IP-adres is een onderdeel van de internetdienst. De keuze voor publiek IPv4 of CGNAT wordt door de aanbieder gemaakt en staat doorgaans in de voorwaarden. Dit verschilt per aanbieder. Port forwarding werkt alleen wanneer jouw aansluiting een publiek IPv4-adres krijgt of wanneer je inkomend verkeer via IPv6 toestaat; bij CGNAT is inkomend IPv4-verkeer vanuit het publieke internet niet rechtstreeks te bereiken.

Vrije modemkeuze is vastgelegd. Volgens ACM en Europese regels mag je in veel gevallen eigen modem of router gebruiken, mits technisch compatibel en geschikt voor het netwerkaansluitpunt. Zie de toelichting van de ACM over vrije modem- en routerkeuze. Dit geeft controle over je thuisnetwerk (zoals firewall, wifi, port forwarding), maar het verandert niets aan de IPv4-toewijzing aan de providerzijde: bij CGNAT blijft inkomend IPv4 dicht.

In de praktijk hanteert de aanbieder beleidskeuzes rond IP-adressen: dynamisch publiek IPv4, vast publiek IPv4, of CGNAT. Soms is een publiek IPv4-adres op aanvraag beschikbaar, soms niet. Ook kan er sprake zijn van DS-Lite of andere varianten. De voorwaarden staan in het contract.

  • Transparantieplicht Aanbieders moeten duidelijk zijn over levering van IPv4 en IPv6 en eventuele beperkingen, passend binnen de regels voor open internet/netneutraliteit. Dit omvat informatie over CGNAT, bereikbaarheid van diensten en eventueel geblokkeerde poorten.
  • Herroepingsrecht Bij online afgesloten contracten geldt doorgaans 14 dagen bedenktijd. Blijkt een essentieel gebruik zoals eigen servertoegang niet mogelijk, meld dit binnen de termijn. Uitleg over rechten: ConsuWijzer: bedenktijd en herroepingsrecht.
  • Wijzigingen Bij significante wijziging van voorwaarden of technische eigenschappen (bijvoorbeeld overgang naar CGNAT) hoort de aanbieder te informeren. Soms is kosteloos opzeggen mogelijk volgens de contractvoorwaarden.

Aanbieders mogen verkeersmaatregelen toepassen die noodzakelijk en proportioneel zijn, bijvoorbeeld om misbruik of spam te beperken (zoals uitgaand poort 25 blokkeren), binnen de kaders van netneutraliteit. Logging van IP-toewijzingen en eventuele NAT-logs gebeurt meestal voor beveiliging en misbruikafhandeling volgens eigen beleid en toepasselijke regels. Een vaste publieke IPv4 is geen wettelijk recht voor consumenten; het is een productkenmerk.

Sommige routers ondersteunen port forwarding-profielen, UPnP of NAT-PMP. Dat werkt alleen richting een publiek IP aan jouw kant. Bij CGNAT kan de aanbieder geen inkomend IPv4-verkeer naar jouw lijn routeren, omdat het publieke adres gedeeld wordt door meerdere klanten. Dit is een technische beperking, geen weigering van dienstverlening.

Veelgestelde vragen

Mag een aanbieder CGNAT verplichten Ja, mits dit duidelijk gecommuniceerd wordt en het verkeer niet onredelijk wordt beperkt volgens netneutraliteit.

Kun je publiek IPv4 eisen Niet als recht, maar sommige aanbieders leveren dit op aanvraag. Vraag naar de mogelijkheden en voorwaarden.

ACM houdt toezicht op naleving van consumenten- en telecomregels. Contracten verschillen per aanbieder. Het kan voorkomen dat specifieke functies (bijvoorbeeld inkomende VPN over IPv4) alleen beschikbaar zijn met publiek IPv4 of via IPv6.

Een publiek IPv4-adres maakt inkomende verbindingen en port forwarding mogelijk. CGNAT beperkt dit, maar werkt prima voor regulier gebruik en bespaart schaarse IPv4-adressen. Controleer je gebruiksscenario’s en transparantie van de aanbieder. Volgens de ACM moeten voorwaarden duidelijk zijn en geldt doorgaans het 14 dagen herroepingsrecht bij afstandsverkoop. Vergelijk-Gratis helpt consumenten objectief opties te vergelijken zonder voorkeur voor specifieke aanbieders.

Joris van den Berg
Geschreven door

Joris van den Berg

Joris van den Berg is redacteur en data-analist bij Vergelijk-Gratis. Hij vertaalt kleine lettertjes en tarieven naar begrijpelijke keuzehulpen, met focus op totale kosten en voorwaarden. Onafhankelijk, cijfermatig en praktisch—zodat je zonder gedoe slimmer kiest en zorgelozer overstapt.

Meer lezen

Post navigation