Conoce los operadores que usan CG-NAT en sus conexiones a Internet

Conoce los operadores que usan CG-NAT en sus conexiones a Internet

Sergio De Luz

Las direcciones IPv4 públicas se han agotado, aunque los operadores de Internet en España todavía tienen direccionamiento público para asignar a sus clientes, la situación es tan grave para algunos operadores que están utilizando una tecnología llamada Carrier Grade NAT, también conocida como CGN o CG-NAT, para ahorrar una gran cantidad de direccionamiento IP público que actualmente es muy escaso. Que un operador haga uso de CG-NAT es algo malo para algunos clientes, pero no para todos. Hoy en RedesZone os vamos a explicar qué es el CG-NAT, por qué deberías saber si tu operador lo tiene activado y qué influye en tu conexión a Internet.

¿Qué es el CGN o CG-NAT de los operadores?

Cuando se empezó a ver que el direccionamiento IPv4 se iba agotando, aparecieron tecnologías como el NAT (Network Address Translation) que permiten tener una dirección IP pública compartida con decenas o cientos de equipos en una misma red local. Todos los routers que tenemos actualmente hacen NAT de la dirección IP pública, permitiendo que decenas de equipos de la red local puedan conectarse correctamente a Internet y ahorrando una gran cantidad de direcciones IPv4 públicas.

El CG-NAT es un NAT a gran escala, es una tecnología que permite al operador proporcionar una dirección IPv4 privada en la WAN de cada router que tenga el cliente en su casa, es decir, tendremos un doble NAT para salir a Internet, el primero lo tendremos en nuestro router con el típico direccionamiento de siempre, y posteriormente tendremos un NAT a nivel de operador. Esto permite al operador que con una sola dirección IPv4 pública, poder proporcionar servicio hasta 32 o 64 clientes generalmente, de esta forma, estará ahorrando una gran cantidad de direcciones IP públicas.

En el siguiente esquema se puede ver perfectamente cómo funciona una arquitectura con CG-NAT:

En las redes de banda ancha móvil, los operadores utilizan esta tecnología desde hace bastantes años, porque en nuestro smartphone recibimos una dirección IP privada y no directamente una dirección IPv4 pública enrutable en Internet. No obstante, la tecnología CGN en conexiones residenciales tiene unos inconvenientes bastante graves, y es que no podremos abrir puertos en nuestro router, porque simplemente no funcionarán. Al tener un segundo NAT a nivel de red, no importa que nosotros abramos los puertos o usemos la DMZ, porque seguiremos estando detrás del NAT del operador. Por lo tanto, si utilizas cualquier servicio que necesites abrir puertos, con el CGN simplemente no te funcionará.

¿Por qué es importante saber si tengo CG-NAT?

Para un usuario residencial es muy importante saber si nuestro operador nos ha metido dentro del CG-NAT, con el objetivo de saber si vamos a poder abrir puertos o vamos a tener grandes problemas con ello. Si como usuario doméstico utilizas tu conexión a Internet para acceder a servicios desde Internet hacia dentro de tu red local, con CGN no podrás hacerlo. Por ejemplo, si intentas utilizar cualquiera de estos servicios:

  • Servidor web para acceder a tu página desde Internet.
  • Servidor FTP o FTPES para acceder a sus archivos y carpetas desde cualquier lugar, con tan solo tener una conexión a Internet.
  • Servidor SSH para administrar de forma remota tu servidor o tu router.
  • Servidor VPN para conectarte a Internet de forma segura cuando estamos conectados a una red WiFi, o simplemente para acceder de forma remota a tu red local como si estuvieras físicamente.
  • Proxy inverso para acceder a diferentes servicios web de dentro de tu red local.

tener tu servidor NAS

No te funcionarán ninguno de ellos, porque para que funcionen es completamente necesario abrir uno o varios puertos en la NAT del router, para redirigir los paquetes adecuadamente hasta el servidor que está escuchando en el mismo dispositivo o en varios dispositivos. Por supuesto, también tendrás problemas a la hora de jugar a determinados juegos online, porque muchos de ellos necesita que abramos uno o varios puertos para el buen funcionamiento del equipo, por lo que en estos casos también tendrás inconvenientes al utilizar tu conexión a Internet.

Existen servicios muy habituales en las redes domésticas como la videovigilancia con cámaras IP, en este caso no tendrás problemas porque la mayoría de fabricantes como D-Link, EZVIZ, Xiaomi o TP-Link disponen de servicios en el Cloud, y la conexión con esta cámara IP se realiza a través de conexiones inversas, y nunca nos conectaremos directamente a ellas, por lo que no es necesario tener una dirección IPv4 pública.

Otros aspectos que sí nos debería preocupar de estar en CG-NAT son:

  • Más latencia en la conexión: en muchos casos la latencia al usar CGN es algo superior en comparación, ya que dependemos del tráfico y del NAT de otros usuarios que hay conectados. La latencia en los juegos es muy importante, por lo que debes tenerlo en cuenta.
  • Bloqueos en webs o limitaciones: si otros usuarios que tienen la misma dirección IP que nosotros ha descargado de forma masiva de MEGA o Google, nosotros también nos veremos afectados porque estamos compartiendo la misma dirección IP pública.

En el caso de delitos en Internet, aunque compartamos la dirección IP con otros usuarios, el operador siempre va a guardar un registro de todas las conexiones, por lo que seremos muy fácilmente identificables de cara a posibles delitos.

Cómo saber si mi operador tiene CGN

Para saber si tu operador te tiene dentro de CG-NAT, se puede hacer de varias formas, pero la más sencilla es meterte en tu router y comprobar qué dirección IP tenemos en la WAN de Internet. Si esta dirección IP se corresponde con la dirección IP pública de tu conexión entonces no estarás dentro de CG-NAT, esto significa que el puerto WAN de Internet de tu router tiene una dirección IP pública que es enrutable en Internet.

En el caso de que esta dirección IP de la WAN no se corresponda con la IP pública, y, además, esa IP del router empieza por «100.X.X.X», significa que estás dentro de CG-NAT, por lo que tendrás todos los problemas que hemos descrito anteriormente sobre abrir los puertos y alojar diferentes servicios. Nuestra recomendación es que elijas un operador de Internet que no utilice CG-NAT, o al menos, te permita salir de esto de forma completamente gratuita, porque hay algún operador que te cobrará un extra en la factura por proporcionar una dirección IP pública.

¿Se puede desactivar CG-NAT?

Cabe la posibilidad de que existan casos de usuarios que quieren desactivar esta función. Pero lo cierto es que esto puede ser algo tan simple como complicado, y es que depende totalmente de la empresa que suministra los servicios de internet. Por lo general, estas pueden llegar a ser bastante contrarias a este tipo de ideas. Por lo cual, de ser posible, lo más seguro es que estas no nos lo dejen claro de buenas a primeras. En todo caso, antes de empezar este proceso de salirnos de CG-NAT, lo más recomendable es verificar que efectivamente nos encontramos en esta configuración. Para ello tan solo tendremos que ver si la dirección IP tiene saltos, dos concretamente. Algo sencillo con el comando Tracert.

En todo caso, lo que tendremos que hacer es contactar con atención al cliente de nuestro ISP. Una vez contactamos, tendremos que trasladarle la consulta, y si tenemos suerte es posible que consigamos que nos la cambien. Pero también es posible que en algún momento nos encontramos con algún proveedor que no permite realizar estos cambios. Siendo algo que puede resultar engorroso en algunos casos.

En el caso de que si consigamos que nos saquen de CG-NAT, lo más probable es que esto sea algo que tarda alrededor de un día o dos. Y para ello simplemente nos van a preguntar si somos los titulares de la línea, junto con alguna pregunta grabada donde debemos confirmar que efectivamente nos queremos salir de esta configuración. Pasado ese tiempo, nos llegará un mensaje a nuestro número de teléfono, donde nos indicarán que ya no estamos dentro de CG-NAT. Para finalizar, lo único que será necesario realizar es un reinicio del router. Pero lo más recomendable es apagarlo y dejarlo así por unos minutos. De este modo nos aseguraremos de que la configuración se ha establecido de forma correcta y sin problemas.

Operadores en España que usan CG-NAT

Saber qué operadores de Internet en España hacen uso de CG-NAT es muy importante, porque debemos elegir operadores de Internet que no utilicen esta tecnología, o al menos, que nos permitan salir de ella de manera fácil y rápida, sin necesidad de esperar demasiado tiempo ni tener que pagar más.

Grupo Másmóvil: Másmóvil, Yoigo y Pepephone

Este fue el primer operador en incorporar esta tecnología a sus redes de FTTH, tal y como os informamos en RedesZone en cuanto lo descubrimos. Todas las marcas del Grupo Masmóvil como Masmóvil, Yoigo o Pepephone hacen uso de esta tecnología de manera predeterminada.

El Grupo Masmóvil permite salir del CGN siempre que el cliente lo solicite, ya sea a través de teléfono, email, o un mensaje directo en las redes sociales de los diferentes operadores. Si has contratado tu conexión a Internet con cualquiera de estas compañías y necesitas alojar servicios en tu red local, como los servicios que os hemos indicado antes, entonces necesitarás una dirección IP pública para que todo funcione correctamente.

Según nuestra experiencia, el operador tarda unas 24-48 horas en hacernos el cambio, y necesitaremos reiniciar el router en la mayoría de los casos.

Grupo Orange: Orange y Jazztel

Estos operadores no utilizan CG-NAT en sus conexiones, pero están utilizando la tecnología DS-Lite en sus redes, para proporcionar conectividad a Internet tanto con el protocolo IPv6 como también con el protocolo IPv4. En la parte de IPv4 sí utilizan CG-NAT y no una dirección IP pública directamente, pero ellos utilizan un protocolo llamado PCP que permite al router central que hace CG-NAT abrir determinados puertos, por lo que no deberíamos tener muchos problemas si queremos alojar servicios en nuestro hogar.

Para poder abrir los puertos, simplemente tendremos que abrir los puertos como haríamos normalmente en un router Livebox, y automáticamente el protocolo PCP actuará para abrir los puertos. Por supuesto, el puerto a abrir no podrá ser los típicos 80 o 443 entre otros, sino que serán puertos aleatorios, por lo que la solución no es del todo buena si pretendes alojar servidores web o un proxy inverso al que accedas vía HTTPS. Es posible que los clientes antiguos de estos operadores todavía sigan manteniendo una dirección IP pública.

Fi Network

Este operador utiliza de forma obligatoria CGN en sus conexiones, por lo que no podrás pagar un extra para salir ni tampoco pedirlo, porque simplemente no proporcionan conexiones a Internet sin CG-NAT. Si utilizas este operador, tan solo podrás utilizar conexiones inversas para poder acceder a los servicios de la red local, utilizar un servicio como Zero-Tier es una opción válida que funciona realmente bien, y no tendrás el inconveniente del CG-NAT, pero deberás saber que no te podrás conectar a tus servicios de forma directa, siempre deberás pasar por Zero-Tier o servicios similares.

Esperamos que muy pronto los clientes de Fi Network tengan la oportunidad de obtener una dirección IP pública fuera de CG-NAT.

Digi

Este operador sí utiliza CG-NAT en sus redes para ahorrar direccionamiento IPv4 público, además, este operador no permite salir del CGN de manera gratuita, tendrás que pagar 1€ más al mes por disfrutar de todas las ventajas de tener una dirección IP pública en tu conexión doméstica. Generalmente Digi asigna unos 32 clientes por cada dirección IP pública, los usuarios domésticos muy básicos no deberían tener problemas porque no van a alojar ningún servicio, no obstante, debemos tener en cuenta que algunos juegos online requieren de una dirección IP pública y abrir puertos.

También es cierto que la gran mayoría de usuarios de Internet no necesitan una dirección IP pública porque continuamente hacen uso de conexiones inversas sin ellos saberlo, pero si vas a alojar cualquier servicio o a jugar a determinados juegos, entonces sí es totalmente necesario salir de CGN.

Movistar y O2: libres de CGN

Los operadores Movistar y O2 son los únicos que están completamente libres de CG-NAT o CGN, en estos operadores no tenemos la posibilidad de utilizar esta tecnología, siempre nos van a proporcionar un direccionamiento IPv4 público, por lo que no tendremos ningún problema para alojar nuestros servicios, como un servidor web o FTP, ni tampoco para jugar ya que podremos abrir puertos en el router sin inconvenientes.

Tal y como podéis ver, actualmente muchos operadores en España hacen uso de CG-NAT en sus redes debido a que las direcciones públicas IPv4 están completamente agotadas, y están intentando seguir prestando servicio sin necesidad de comprar direcciones a otros operadores o empresas que tienen. Elegir el operador adecuado sin CG-NAT, o al menos, que tenga la posibilidad de salir de CGN es fundamental.

Ventajas y desventajas de CG-NAT

Si hablamos de las ventajas que puede tener CG-NAT a la hora de utilizarla, nos fijamos en una principal, y esta es la seguridad. Como este no permite que se abran puertos, mejora considerablemente la protección contra ataques, lo que puede impedir un uso malicioso, o que se pueda acceder a nuestros archivos o dispositivos conectados al router. Por ello, la seguridad que nos brinda es seguramente su principal ventaja.

Lo primero que debemos tener en cuenta es que el protocolo IP fue diseñado de acuerdo al principio de extremo a extremo en cuanto a redes se refiere. Lo que esto quiere decir, es que, en general, los protocolos de aplicaciones podrían mantenerse a la espera y realizar comunicaciones con los diferentes hosts sin que ningún tipo de sistema intermediario tenga que intervenir o modificar ningún tipo de datos en los paquetes.

Como las NAT normalmente suelen modificar las direcciones IP o a veces puede alterar los encabezados o incluso algún dato de las cargas útiles del protocolo. Al implementar CG-NAT se resuelve este problema ya que realiza el escalado de la información mediante la ALG o puerta de enlace a nivel de aplicación y así evitar que se interrumpan las comunicaciones, así como también realiza mapeo independiente de los puntos finales que garantiza la conectividad de las NAT.

En cambio, nos puede presentar algunos inconvenientes.

El primer problema llega de la mano de la latencia, como hemos mencionado anteriormente. Esto hace que a la hora de ejecutar juegos online, por ejemplo, no podamos disponer del rendimiento más óptimo. Por eso al navegar con CG-NAT, la latencia será algo superior, lo que conlleva un funcionamiento más lento. Esto a la hora de jugar, puede ser muy importante.

Otro de los inconvenientes, es que si ocurre que se bloquea una página web a un usuario, el cual comparte nuestra IP pública, también compartiremos el bloqueo de la misma. Esto ocurre, porque el acceso se bloquea a una determinada IP. Esto puede suceder si, por ejemplo, el sistema también bloquee el tráfico de un simple usuario que envía spam por su dirección IP. Si al mismo tiempo, este usuario se encuentra dentro de la CG-NAT es probable que otros usuarios que también se encuentran compartiendo la misma dirección IP pública que el usuario bloqueado, se vean afectados y sean bloqueados por error.

A pesar de que es una tecnología que le brinda versatilidad en varios aspectos negativos que pueden destacarse, ya que presenta algunos problemas en cuanto a escalabilidad, seguridad y por lo tanto en lo que a confiabilidad se refiere. En este sentido, debemos mencionar, que de la misma forma que sucede con cualquier tipo de NAT, la CG-NAT también quiebra el principio de extremo a extremo.

Una de las cosas que tenemos que destacar, es que a pesar de que ayuda como solución temporal o como alternativa, la realidad es que no soluciona el hecho de que las direcciones IPv4 se vayan agotando, como por ejemplo para utilizarlas como IP pública para el alojamiento de páginas web.

El último problema que nos podemos encontrar con CG-NAT, es lo que se menciona al inicio de esta sección, no es posible abrir puertos. Esto obviamente nos da más seguridad a nuestros dispositivos, pero al mismo tiempo nos impedirá usar otras herramientas como puede ser un servidor VPN, FTP o algunos servidores web. Por lo cual, si solemos acceder a contenido de nuestro equipo de forma remota, cabe la posibilidad de que directamente, no podamos hacerlo mientras esté activo CG-NAT. Esto se puede aplicar al mismo tiempo a un NAS en red, o a servidores.

Una vez que sabemos las ventajas y desventajas que nos podemos encontrar, cabe la posibilidad de que algún usuario quiera desactivar este servicio. Por ello, lo recomendable es que nos pongamos en contacto con nuestro ISP mediante su Atención al cliente, y que ellos nos gestionen todo el proceso.

¡Sé el primero en comentar!