Cómo comprobar si estás detrás de CGNAT
Aprende a saber si tu router tiene una IPv4 pública real, está detrás de CGNAT del ISP o solo sufre doble NAT en casa.
Carrier-Grade NAT, normalmente abreviado como CGNAT, es una de las razones más comunes por las que el reenvío de puertos parece no hacer nada. Tu router puede permitirte crear una regla de reenvío, tu servidor de juego puede estar en ejecución y tu firewall local puede parecer correcto, pero las personas fuera de tu casa siguen sin poder conectarse. La pieza que falta suele ser sencilla: es posible que tu router doméstico no tenga realmente una dirección IPv4 pública.
Esta guía muestra una forma práctica de comprobar CGNAT sin adivinar. El objetivo no es etiquetar cada resultado de NAT estricto como CGNAT. Las pruebas de tipo NAT describen el comportamiento de conexión. CGNAT es un diseño de compartición de direcciones aguas arriba usado por un ISP. Para identificarlo, compara tu dirección IPv4 pública con la dirección WAN del router, revisa el rango de direcciones y luego descarta un doble NAT normal dentro de tu casa.
Respuesta rápida
Si la dirección IPv4 WAN de tu router es igual a la IPv4 pública mostrada por un comprobador externo, probablemente el router tiene una IPv4 pública real.
Si la dirección WAN de tu router está en 100.64.0.0/10, es una señal fuerte de CGNAT. RFC 6598 reserva este espacio compartido para despliegues NAT de proveedores de servicio.
Si la dirección WAN de tu router está en 10.0.0.0/8, 172.16.0.0/12 o 192.168.0.0/16, hay un NAT aguas arriba. Puede ser la puerta de enlace de tu ISP, tu módem/router u otro router doméstico.
Si la dirección WAN y la dirección pública son diferentes, algo aguas arriba está traduciendo el tráfico. Revisa la topología de tu casa antes de llamarlo CGNAT.
Por qué el tipo NAT por sí solo no prueba CGNAT
Una prueba de tipo NAT observa cómo se comporta tu red actual cuando se crea una conexión. Puede mostrar internet abierto, full cone, restringido, restringido por puerto, simétrico, tiempo de espera o bloqueo, según el método de prueba. Eso es útil para juegos y aplicaciones peer-to-peer, pero no revela quién posee la dirección IPv4 pública. Un resultado de NAT simétrico puede ocurrir en un router con IPv4 pública, y una casa con CGNAT puede permitir que algunas sesiones salientes funcionen con normalidad.
CGNAT es distinto. Significa que el ISP coloca a muchos abonados detrás de una capa NAT compartida para que varios clientes puedan usar un grupo más pequeño de direcciones IPv4 públicas. RFC 6888 describe CGN como un NAT de múltiples abonados. RFC 6269 explica por qué compartir direcciones puede romper supuestos de aplicaciones, registros, gestión de abuso y conectividad entrante. El síntoma práctico para usuarios domésticos es que el tráfico entrante no solicitado no puede llegar al router, incluso cuando la regla local de reenvío de puertos es correcta.
Cómo comprobar CGNAT
1Busca tu dirección IPv4 pública
Ejecuta un comprobador de IP pública desde un dispositivo en la misma red, o ejecuta la prueba NAT de este sitio y copia el valor IPv4. Esta es la dirección que ven los sitios web y servicios remotos. Anótala exactamente, porque la compararás con la dirección WAN del router en el siguiente paso.
2Busca la dirección IPv4 WAN o Internet en tu router
Inicia sesión en la página de administración del router y busca un campo llamado WAN IP, Internet IP, dirección IPv4 o estado de puerta de enlace. No uses la dirección local de tu teléfono o PC, como 192.168.1.23. Necesitas la dirección asignada a la interfaz del router que mira a internet.
3Comprueba el rango de la dirección WAN
Si la dirección WAN del router está entre 100.64.0.0 y 100.127.255.255, está en el espacio de direcciones compartido definido por RFC 6598 y listado por IANA como no alcanzable globalmente. Si es 10.x.x.x, 172.16-31.x.x o 192.168.x.x, es espacio privado. En ambos casos, el router no tiene directamente una dirección IPv4 normal alcanzable globalmente.
4Descarta doble NAT en casa
Muchos hogares tienen dos dispositivos de enrutamiento: un módem/router del ISP y un router Wi-Fi separado. Si ambos enrutan, tu propio router recibe una dirección WAN privada aunque la línea del ISP todavía pueda tener una IPv4 pública en el primer dispositivo. Pon el dispositivo del ISP en modo puente o configura tu router como punto de acceso, y comprueba de nuevo.
5Usa el reenvío de puertos como evidencia de apoyo
Un fallo de reenvío de puertos no basta para probar CGNAT, pero es útil después de verificar que un servicio está escuchando y que el firewall está abierto. Si la dirección WAN es compartida o privada y las comprobaciones externas de puertos siempre fallan, es probable que CGNAT u otro NAT aguas arriba esté bloqueando el acceso entrante.
6Usa traceroute solo como señal avanzada
Cloudflare describe una técnica que busca saltos 100.64.0.0/10 entre la red del cliente y la dirección pública observada. Puede ayudar a usuarios técnicos a confirmar una ruta CGN, pero no es el primer paso para la mayoría porque el enrutamiento y filtrado del ISP pueden ocultar o cambiar la visibilidad de los saltos.
Rangos de direcciones importantes
| Rango | Qué significa |
|---|---|
| 100.64.0.0/10 | Espacio de direcciones compartido para NAT de proveedores de servicio. Una dirección WAN del router aquí es un indicador fuerte de CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Espacio de direcciones privadas. Tu router está detrás de otro dispositivo NAT, que puede ser la puerta de enlace del ISP u otro router local. |
| Otros rangos IPv4 normales | Si la dirección WAN del router coincide con el resultado del comprobador de IPv4 pública, el reenvío de puertos suele poder funcionar si el servicio local y el firewall están configurados correctamente. |
CGNAT frente a doble NAT
CGNAT y doble NAT se parecen porque ambos colocan tu dispositivo detrás de más de una capa de traducción. La diferencia es el control. A menudo puedes corregir doble NAT cambiando el modo de tu propio equipo. Normalmente no puedes quitar el CGNAT del ISP desde la configuración del router doméstico.
CGNAT
El ISP comparte direcciones IPv4 públicas entre muchos abonados. Tu router recibe una dirección compartida o privada aguas arriba, por lo que el tráfico IPv4 entrante no solicitado se detiene antes de llegar al router.
Doble NAT
Dos dispositivos en tu casa están enrutando, a menudo una puerta de enlace del ISP más tu propio router. El modo puente, el modo punto de acceso o eliminar una capa de enrutamiento suelen solucionarlo.
Señales falsas comunes
No diagnostiques CGNAT solo por un resultado de puerto cerrado. Un puerto cerrado solo indica que la comprobación externa no llegó a un servicio que aceptara la conexión. Varios problemas locales pueden producir el mismo resultado.
- El firewall del sistema operativo o del router bloquea el puerto aunque exista la regla de reenvío.
- El servidor de juego, cámara, NAS o servicio de escritorio remoto no está escuchando realmente en ese puerto.
- La regla de reenvío usa TCP cuando la aplicación necesita UDP, o el comprobador externo prueba el protocolo equivocado.
- Una VPN, suite de seguridad o proxy cambia la IP pública observada y hace engañosos los resultados de comparación.
Qué puedes hacer
Corrige primero el doble NAT local
Si controlas ambos dispositivos de enrutamiento, pon la puerta de enlace del ISP en modo puente o configura el segundo router como punto de acceso. Después compara de nuevo la IP WAN y la IP pública.
Pide a tu ISP una IPv4 pública
Algunos proveedores ofrecen una dirección IPv4 pública, un complemento de IPv4 estática o un plan sin CGNAT. El nombre y el precio varían según la región.
Usa IPv6 cuando el extremo remoto lo admita
IPv6 puede evitar CGNAT IPv4, pero el firewall del router sigue controlando la alcanzabilidad entrante. Prueba la disponibilidad de IPv6 y la alcanzabilidad externa por separado.
Usa un relé, VPS, túnel o servidor alojado
Si el ISP no proporciona IPv4 pública, usa un modo de juego basado en relé, un túnel VPS, un proxy inverso o un servidor alojado que tenga una dirección pública alcanzable.
Comprueba primero el comportamiento de tu NAT
Ejecuta la prueba NAT en la misma red antes de cambiar la configuración del router. El resultado ayuda a separar el comportamiento NAT de la compartición de direcciones del ISP y de problemas locales de firewall.
Comprobar NAT ahora ->Fuentes
- RFC 6598: Prefijo IPv4 reservado por IANA para espacio de direcciones compartido
- Registro IANA de direcciones IPv4 de propósito especial
- RFC 6888: Requisitos comunes para NAT Carrier-Grade
- RFC 6269: Problemas con la compartición de direcciones IP
- Cloudflare: Detección de Carrier-Grade NAT
- TP-Link: solución de problemas de reenvío de puertos
- TP-Link: DDNS y solución de problemas de IP WAN privada
- Cisco: descripción general de Carrier-Grade NAT