¿Qué es CGNAT y por qué lo utilizan los ISP?

CGNAT (Carrier-Grade Network Address Translation) permite a los ISP compartir una única dirección IPv4 pública entre múltiples clientes simultáneamente. Los ISP lo utilizan para combatir el agotamiento de direcciones IPv4, aprovechando al máximo sus limitadas reservas de direcciones. Traduce rangos de IP privadas a públicas a nivel del operador, antes de que el tráfico llegue siquiera a tu router doméstico.

¿Cómo afecta CGNAT a los usuarios de VPN?

CGNAT puede causar problemas significativos a los usuarios de VPN. Dado que múltiples usuarios comparten una misma IP pública, el reenvío de puertos se vuelve imposible, las conexiones peer-to-peer son poco fiables y algunos protocolos VPN pueden tener dificultades para establecer túneles estables. Alojar servidores o ejecutar aplicaciones que requieran conexiones entrantes directas se vuelve prácticamente imposible sin solicitar una IP dedicada a tu ISP.

¿Reduce CGNAT mi privacidad en línea?

Paradójicamente, CGNAT puede complicar la privacidad en ambos sentidos. Dado que muchos usuarios comparten una misma dirección IP, tu actividad individual es más difícil de identificar, lo que ofrece cierto anonimato. Sin embargo, tu ISP tiene mayor visibilidad sobre tu tráfico para gestionar las traducciones, lo que significa que puede monitorizar las conexiones con más detalle que con configuraciones NAT estándar.

¿Puede el cambio a IPv6 resolver los problemas relacionados con CGNAT?

Sí, IPv6 elimina en gran medida la necesidad de CGNAT al proporcionar un espacio de direcciones enorme, asignando a cada dispositivo una dirección pública única. Sin embargo, la adopción generalizada de IPv6 sigue siendo incompleta, por lo que muchos servicios aún dependen de IPv4. Usar una VPN con soporte para IPv6 o solicitar una dirección IPv4 estática a tu ISP son soluciones alternativas más prácticas a corto plazo.

CGNAT

CGNAT: Qué es y por qué debería importarle a los usuarios de VPN

Si alguna vez intentaste configurar el reenvío de puertos y simplemente no funcionó —sin importar lo que hicieras— CGNAT podría ser la razón. Es una de esas decisiones de red que tu ISP toma entre bastidores y que tiene consecuencias muy reales en cómo usas internet.

¿Qué es CGNAT?

El NAT de nivel de operador (también llamado NAT a gran escala o CGN) es un método que usan los proveedores de servicios de internet para estirar el menguante suministro de direcciones IPv4. En lugar de asignar a cada cliente su propia dirección IP pública única, el ISP asigna una IP pública a un gran grupo de clientes de forma simultánea. Desde la perspectiva del mundo exterior, decenas o incluso cientos de hogares parecen compartir la misma dirección IP.

Imagínalo como un edificio de apartamentos con una sola dirección postal. El edificio tiene esa dirección pública única, pero en su interior existen docenas de unidades individuales. El correo (el tráfico de internet) llega al edificio, y un sistema interno lo dirige al apartamento correcto. CGNAT es ese sistema de enrutamiento —solo que a una escala mucho mayor, la del ISP.

Cómo funciona CGNAT

El NAT estándar, que la mayoría de los routers domésticos ya realizan, traduce tu IP local privada (como 192.168.x.x) a la IP pública de tu router. CGNAT añade otra capa encima de esta. A tu router se le asigna una IP privada en el rango 100.64.0.0/10 (reservado específicamente para CGNAT), y el propio sistema del ISP la traduce luego a una única dirección IP pública compartida.

El recorrido sería así:

Tu dispositivo → NAT del router doméstico → Sistema CGNAT del ISP → Internet público

Esta configuración de doble NAT es la que causa tantos dolores de cabeza. Cualquier solicitud que envíes puede recibir una respuesta enrutada de vuelta hacia ti, porque el sistema rastrea las conexiones salientes. Pero las conexiones entrantes —las iniciadas desde fuera— no tienen a dónde llegar. El sistema CGNAT no sabe cuál de sus numerosos clientes debería recibir una solicitud entrante no solicitada.

Por qué CGNAT importa a los usuarios de VPN

CGNAT genera varios problemas prácticos que afectan directamente al rendimiento y la funcionalidad de las VPN:

El reenvío de puertos se vuelve prácticamente imposible. Ejecutar un servidor doméstico, un servidor de juegos o cualquier servicio que requiera que dispositivos externos se conecten a ti queda bloqueado por CGNAT. Las reglas de reenvío de puertos configuradas en tu router doméstico no tienen efecto porque la capa CGNAT del ISP se interpone delante.

Las conexiones entre pares se degradan. El torrenting, los juegos con conexiones directas entre pares y las aplicaciones basadas en WebRTC tienen dificultades bajo CGNAT. Estas tecnologías dependen de ser accesibles desde fuera de tu red, algo que CGNAT impide.

Problemas de reputación por IP compartida. Como cientos de usuarios comparten una misma IP pública, si alguno de ellos realiza actividades de spam o abusivas, esa IP puede quedar en listas negras. Todos los que la comparten sufren entonces las consecuencias: sitios web bloqueados, CAPTCHAs o cuentas marcadas.

El alojamiento de VPN en casa queda bloqueado. Si quieres alojar tu propio servidor WireGuard u OpenVPN en casa para conectarte de vuelta a tu red doméstica mientras viajas, CGNAT bloqueará por completo las conexiones VPN entrantes.

Cómo ayuda una VPN (y sus limitaciones)

Usar un servicio de VPN comercial esquiva muchos de los problemas de CGNAT. Cuando te conectas a una VPN, tu tráfico sale a través del servidor del proveedor, que tiene una dirección IP real y públicamente enrutable. Esto evita el problema de la IP compartida y restaura una conexión a internet más directa.

Algunos proveedores de VPN también ofrecen el reenvío de puertos como funcionalidad, lo que permite que las conexiones entrantes te lleguen a través del túnel VPN —resolviendo el problema que CGNAT creó en primer lugar. Una dirección IP dedicada proporcionada por un proveedor de VPN es otra solución si los problemas de reputación por IP compartida te están afectando.

Sin embargo, una VPN no arreglará automáticamente CGNAT para las conexiones entrantes a menos que esa funcionalidad específica de reenvío de puertos esté habilitada y configurada.

El panorama general

CGNAT existe porque las direcciones IPv4 se agotaron. La solución a largo plazo es IPv6, que proporciona suficientes direcciones únicas para cada dispositivo en la tierra. Muchos ISP están implementando IPv6 poco a poco, pero hasta que la adopción sea universal, CGNAT seguirá siendo una solución alternativa habitual —y una fuente habitual de frustración para los usuarios con conocimientos técnicos.

CGNATAvanzado