Actualmente, muchos operadores en sus redes de fibra óptica han implementado la funcionalidad de CG-NAT, o también conocido como CGN o Carrier-Grade NAT, proporcionando a sus clientes un direccionamiento privado no enrutable en Internet en lugar de un direccionamiento público que sí es enrutable en Internet. Si estás detrás de un CG-NAT, no podrás hacer uso de ningún tipo de servidor en tu casa, ya que para usar este tipo de servicios necesitarás hacer reenvío de puertos, y con CG-NAT no podrás hacerlo porque tendrás dos NAT, el NAT que te proporciona el router de casa, y un NAT adicional que te proporciona el operador. Hoy en RedesZone os vamos a explicar paso a paso cómo saber si el operador me está dando una dirección IP pública o una dirección de CG-NAT.
¿Qué es CG-NAT y por qué algunos operadores lo usan?
CG-NAT o también conocido como Carrier-Grade NAT o Carrier-Grade Network Address Translation, es una tecnología que los operadores implementan en sus redes para ahorrarse direcciones IPv4 que están ya agotadas. Debido al agotamiento de las direcciones IP públicas, los operadores llevan años proporcionando direccionamiento IP privado en las redes 3G/4G y 5G, porque normalmente en los smartphones o tablets no vamos a alojar ningún tipo de servidor. Sin embargo, desde hace ya algunos años también han pasado esta tecnología CG-NAT a sus redes de fibra óptica, proporcionando a los clientes un direccionamiento privado específico que no es enrutable a través de Internet, esto significa que no podremos acceder a servidores FTP, VPN o cualquier otro tipo de servidor que nosotros tengamos en nuestro hogar.
Conocer si mi operador me ha proporcionado una dirección IP pública o estoy detrás del CG-NAT es muy importante, sobre todo para los usuarios que disponen en sus hogares de un servidor NAS donde alojar diferentes servidores, si queremos acceder a un servidor VPN que tengamos en la red local, y otros usos bastante habituales como montarnos nuestra propia nube privada con Nextcloud. Todos estos usos no los podremos hacer, debido a que el operador le proporcionará a nuestro router un direccionamiento privado dentro del rango 100.64.0.0/10, por lo que, aunque abramos puertos en el router (port-forwarding o reenvío de puertos) no tendremos conectividad extremo a extremo.
Debido a este direccionamiento privado reservado para CG-NAT de 100.64.0.0/10, la primera dirección IP irá desde 100.64.0.1 a 100.127.255.254, por lo que tendremos unas 4 millones de direcciones IP privadas que les podremos proporcionar a nuestros clientes, no obstante, lo normal es tener subredes más pequeñas y con menos clientes compartiendo una misma dirección IP pública.
En el siguiente esquema que hemos realizado con el programa GNS3 para simulación de redes, podremos ver cómo funciona el CG-NAT. El router que tenemos en nuestro hogar son cualquiera de los R1, R2, R3, R4, cada uno de estos routers son los que podrían estar en tu hogar, y el router «CGN» es el router del operador que está realizando NAT y compartiendo la misma dirección IP pública (87.87.87.87)
Aunque nosotros realicemos un «port-forwarding» en los routers domésticos que tenemos en casa, no podremos hacer esto en el router CGN que es del operador. Por este motivo, es fundamental saber si nuestro operador me tiene en CG-NAT o tengo una dirección IP pública para poder acceder a todos los servicios de nuestro hogar (servidor FTP, NAS, VPN y más).
Inconvenientes CG-NAT
Ahora que ya conocemos que es CG-NAT y todo lo que nos ofrece, vamos a ver en qué puntos puede flaquear, o los inconvenientes que puede presentar.
- El problema principal que puede presentar el CG-NAT es sobre todo en el mundo de los videojuegos online. Si utilizamos esta, la latencia se verá directamente afectada. Esta será un poco superior, por lo cual los juegos pueden funcionar más lentos cuando hablamos de ordenadores y consolas de última generación. Por lo cual la experiencia de los jugadores se ve afectada, pudiendo llegar a estropearse por completo.
- Si en alguna página web se genera algún bloqueo hacia una IP pública y buscando a un usuario en concreto, nos veremos afectados por ese mismo bloqueo. Esto ocurre porque lo que se bloquea, es el acceso directo a todas las redes dependientes de esa IP pública.
- Abrir puertos no será posible con CG-NAT. Esto por otro lado genera mucha más seguridad a los equipos contra los malwares y accesos malintencionados. Pero al mismo tiempo nos impedirá utilizar otros servicios como puede ser una VPN, un servidor FTP, entre otros. Por lo cual si queremos utilizar el equipo de forma remota, con CG-NAT tendremos muchos problemas a la hora de hacerlo.
- Si estamos interesados en el Internet de las cosas, tendremos problemas. Esto hace que no se pueda desarrollar de forma correcta la red de acceso directo a los dispositivos que tenemos conectados en casa.
- En el caso de la geolocalización, también nos pueden banear de páginas y servicios por seguridad al poder estar con la misma IP Pública que algún posible sospechoso.
Ventajas a nivel empresarial
CG-NAT es una técnica de direccionamiento, la cual permite a las empresas compartir una dirección IP pública. Esto tiene beneficios directos en el ahorro de costes, o en mejorar la eficiencia y gestión de las direcciones IP. Nos proporciona una IP pública, la cual es compartida, a diferentes dispositivos. Sin CG-NAT, cada uno de ellos requerirían una dirección IP pública separada de las demás.
Con CG-NAT, las empresas pueden gozar de una seguridad un poco más alta. Esto ocurre porque los dispositivos que quedan detrás de esta dirección IP, están ocultos. Lo cual impide que se pueda acceder a ellos desde Internet de forma sencilla. Reduciendo así la exposición que tenemos a los ataques externos y nos ayuda a proteger la privacidad en lo que refiere a los datos de los usuarios internos de la empresa y de los clientes.
Otro beneficio importante, es la gestión de redes privadas. La capacidad de compartir una dirección IP púbica entre diferentes dispositivos, se puede reducir la cantidad de direcciones IP que se deben asignar de forma muy considerable. Por lo que en general, la administración y gestión de la red es mucho más simple. Esto es algo que repercute directamente en la economía, la productividad de los usuarios internos, y el tiempo que la empresa puede permanecer online.
En cambio, siempre habrá algún desafío el cual se debe sortear. Esto es debido a que como solo utilizamos una dirección IP pública, se debe extremar la precaución al realizar actividades por internet. Se pueden llegar a producir bloqueos o restricciones de acceso a muchos servicios diferentes, y todo debido al mal uso que se le puede dar a la dirección IP compartida. Por lo general esto es algo que está relacionado con actividades maliciosas. Un buen ejemplo de ello, es si se genera demasiado spam desde nuestra dirección.
Cómo saber si mi operador me tiene en CG-NAT o tengo IP pública
Podemos conocer si nuestro operador nos ha proporcionado una dirección IP pública, o sin embargo, nos tiene detrás de un CG-NAT con varios métodos que os vamos a explicar en detalle. Cualquiera de los métodos que os vamos a enseñar a continuación, nos indicará si tenemos un direccionamiento IP público, o, sin embargo, nuestro operador nos ha metido dentro de un CG-NAT. Además, podríamos utilizar sin problemas uno o más métodos a la vez para corroborar a ciencia cierta de si tenemos IP pública en nuestro hogar o si no lo tenemos.
Ver la dirección IP de la WAN en el router
Lo primero que tenemos que hacer es acceder a nuestro router doméstico, ya sea uno configurado por ti o el que te ha proporcionado el operador de Internet. Debes acceder a través de su puerta de enlace predeterminada, normalmente accederás a través de http://192.168.1.1 o http://192.168.0.1, a continuación, inicias sesión con el usuario y contraseña que tengas (por defecto suele ser usuario «admin» y clave «admin).
En la pantalla de estado del router aparecerá un apartado donde ponga «WAN IP Address«, «WAN IP» o similares, es decir, tenemos que mirar qué dirección IP está obteniendo la interfaz WAN de Internet del router. En la siguiente captura podéis ver una conexión de Digi haciendo uso de CG-NAT, como se puede ver en la sección de «Dirección IP».
Para saber si nuestra dirección IP es pública o está en CG-NAT, es tan simple como saber si esa dirección IP que nos indica el router está dentro del rango del CG-NAT o no tiene nada que ver. Si la dirección IP está dentro de la subred 100.64.0.0/10, es decir, dentro del rango 100.64.0.1 a 100.127.255.254, entonces podremos asegurar que estamos en CG-NAT porque este rango pertenece a esta tecnología y está reservado.
Comparar IP WAN del router con la IP pública conseguida en Internet
Otro método muy útil para conocer si nuestra dirección IP está en CG-NAT o tenemos IP pública, es comparar la «Dirección IP WAN» que aparece en nuestro router, con la dirección IP pública que podemos conseguir a través de webs como Cual es mi IP. Si la dirección IP que nos indica esta web es exactamente la misma que la que indica la dirección IP WAN de nuestro router, entonces podremos asegurar que el operador nos ha proporcionado un direccionamiento IP público y no estamos dentro de CG-NAT.
Este método para averiguar si estamos en CG-NAT o no es de los más sencillos, ya que solamente tendremos que comparar las dos direcciones IP, sin necesidad de saber si está dentro del rango de CG-NAT 100.64.0.0/10 como os hemos explicado anteriormente.
Hacer un traceroute o tracert a nuestra IP pública
Si entráis en la página web de Cual es mi IP y la web os dice que vuestra dirección IP pública es 150.150.150.150, abrís un símbolo del sistema en Windows (tecla Windows y ponéis en el buscador «cmd» y pulsáis intro), y ponéis:
tracert 150.150.150.150
Si la traza tiene 1 único salto, significa que tienes IP pública, si tiene 2 saltos significa que estás en CG-NAT. El motivo de esto es que para llegar a la dirección IP pública, uno de los saltos estará en el router doméstico, y el otro salto (el segundo) estará en el router CGN de nuestro operador.
- Si tenemos un salto, podremos asegurar que la dirección IP es pública y la tiene el router.
- Si tenemos dos saltos, podremos asegurar que estamos en CG-NAT
Esperamos que con estos pasos podáis averiguar de forma fácil y rápida si estamos con direccionamiento IP público o, por el contrario, estáis bajo CG-NAT.
¿Qué operadores en España utilizan CG-NAT?
Actualmente la mayoría de operadores en España está utilizando esta técnica para ahorrar en direcciones IP públicas, de esta forma, con una sola dirección IP pública podrán dar servicio a decenas de clientes, con el correspondiente ahorro. Los principales operadores que utilizan CG-NAT son varios, aunque algunos de ellos te permiten «salir» fuera del CG-NAT, ya sea de manera completamente gratis o pagando algo más mensualmente, a continuación, puedes ver los operadores que sí utilizan CG-NAT en sus redes:
- Orange / Jazztel: este operador es algo especial, porque hay algunos clientes que sí tienen una dirección IP pública nativa y otros utilizan CG-NAT con IPv6 (DS-Lite). Dependiendo de la zona y de otros factores internos, a algunos clientes se les asigna una IP pública o directamente les meten en CG-NAT usando también IPv6. En la mayoría de los casos no es posible «cambiar» y tener una IPv4 de forma nativa.
- Grupo Masmovil (Yoigo, MasMovil y Pepephone): este operador tiene CG-NAT de forma predeterminada, no obstante, cualquier cliente que solicite salir del CG-NAT podrá hacerlo y no conlleva ningún tipo de coste adicional, es totalmente gratis disponer de una IP pública. Creemos que esta es la mejor política que se puede tener, por defecto tenemos CG-NAT pero se le da al cliente la posibilidad de salir y gratis.
- Digi: este operador tiene CG-NAT de forma predeterminada, si queremos una IP pública tendremos que pagar un euro más mensualmente para disfrutar de direccionamiento público en nuestro router.
Actualmente, otras operadoras se sumaron al uso de CG-NAT. Estas son compañías relativamente nuevas en el panorama de las ISP. Estas con Fi Network, con CG-NAT establecido de forma obligatoria, y por otro lado tenemos a Virgin Telco, que lo tiene activado por defecto.
Los operadores que no utilizan CG-NAT actualmente en sus redes son Movistar/O2 y también Vodafone / Lowi, por lo que si no quieres tener que estar llamando para sacarte del CG-NAT cuando te instalen la conexión a Internet, estos operadores no te meterán dentro del CG-NAT. No obstante, debes recordar que la mayoría de operadores te permiten salir sin ponerte muchos problemas, por lo que también debes valorar el contratar con un operador que sí tenga CG-NAT pero te permita salir gratis o pagando 1€ más al mes.