Como verificar se você está atrás de CGNAT
Veja se o roteador tem um IPv4 público real, está atrás de CGNAT do provedor ou sofre apenas com double NAT em casa.
Carrier-Grade NAT, geralmente abreviado como CGNAT, é um dos motivos mais comuns para o encaminhamento de portas parecer não fazer nada. O roteador pode permitir criar uma regra de encaminhamento, o servidor de jogo pode estar em execução e o firewall local pode parecer correto, mas pessoas fora da sua casa ainda não conseguem se conectar. A peça que falta costuma ser simples: talvez o roteador doméstico não possua realmente um endereço IPv4 público.
Este guia mostra uma forma prática de verificar CGNAT sem adivinhação. O objetivo não é chamar todo resultado de NAT restrito de CGNAT. Testes de tipo NAT descrevem o comportamento da conexão. CGNAT é um desenho de compartilhamento de endereços em uma camada acima, usado pelo provedor. Para identificá-lo, compare seu IPv4 público com o endereço WAN do roteador, confira a faixa de endereços e depois descarte double NAT comum dentro de casa.
Resposta rápida
Se o IPv4 WAN do roteador for igual ao IPv4 público mostrado por um verificador externo, provavelmente o roteador tem um IPv4 público real.
Se o endereço WAN do roteador estiver em 100.64.0.0/10, isso é um forte sinal de CGNAT. A RFC 6598 reserva esse espaço compartilhado para implantações NAT de provedores de serviço.
Se o endereço WAN do roteador estiver em 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/16, existe um NAT acima. Pode ser o gateway do provedor, o modem/roteador ou outro roteador doméstico.
Se o endereço WAN e o endereço público forem diferentes, algo acima está traduzindo o tráfego. Verifique a topologia da sua casa antes de chamar isso de CGNAT.
Por que o tipo NAT sozinho não prova CGNAT
Um teste de tipo NAT observa como sua rede atual se comporta quando uma conexão é feita. Ele pode mostrar internet aberta, full cone, restrito, restrito por porta, simétrico, timeout ou bloqueado, dependendo do método de teste. Isso é útil para jogos e aplicações peer-to-peer, mas não revela quem possui o endereço IPv4 público. Um resultado de NAT simétrico pode ocorrer em um roteador com IPv4 público, e uma casa com CGNAT ainda pode permitir que algumas sessões de saída funcionem normalmente.
CGNAT é diferente. Significa que o provedor coloca muitos assinantes atrás de uma camada NAT compartilhada, para que vários clientes usem um pool menor de endereços IPv4 públicos. A RFC 6888 descreve CGN como NAT multiassinante. A RFC 6269 explica por que o compartilhamento de endereços pode quebrar premissas de aplicações, registros, tratamento de abuso e conectividade de entrada. O sintoma prático para usuários domésticos é que o tráfego de entrada não solicitado não consegue chegar ao roteador, mesmo quando a regra local de encaminhamento de portas está correta.
Como verificar CGNAT
1Encontre seu endereço IPv4 público
Execute um verificador de IP público em um dispositivo na mesma rede, ou rode o teste NAT neste site e copie o valor IPv4. Esse é o endereço que sites e serviços remotos veem. Anote exatamente, porque você vai compará-lo com o endereço WAN do roteador na próxima etapa.
2Encontre o endereço IPv4 WAN ou Internet no roteador
Entre na página de administração do roteador e procure um campo chamado WAN IP, Internet IP, endereço IPv4 ou status do gateway. Não use o endereço local do celular ou PC, como 192.168.1.23. Você precisa do endereço atribuído à interface do roteador voltada para a internet.
3Verifique a faixa do endereço WAN
Se o endereço WAN do roteador estiver de 100.64.0.0 a 100.127.255.255, ele está no espaço de endereços compartilhado definido pela RFC 6598 e listado pela IANA como não alcançável globalmente. Se for 10.x.x.x, 172.16-31.x.x ou 192.168.x.x, é espaço privado. Em ambos os casos, o roteador não possui diretamente um endereço IPv4 normal alcançável globalmente.
4Descarte double NAT em casa
Muitas casas têm dois dispositivos de roteamento: um modem/roteador do provedor e um roteador Wi-Fi separado. Se ambos estiverem roteando, seu próprio roteador recebe um endereço WAN privado, mesmo que a linha do provedor ainda tenha um IPv4 público no primeiro dispositivo. Coloque o dispositivo do provedor em modo bridge ou configure seu roteador como ponto de acesso, e verifique novamente.
5Use encaminhamento de portas como evidência de apoio
Falha no encaminhamento de portas não basta para provar CGNAT, mas é útil depois de verificar que um serviço está escutando e o firewall está aberto. Se o endereço WAN for compartilhado ou privado e verificações externas de portas sempre falharem, CGNAT ou outro NAT acima provavelmente está bloqueando o acesso de entrada.
6Use traceroute apenas como sinal avançado
A Cloudflare descreve uma técnica que procura saltos 100.64.0.0/10 entre a rede do cliente e o endereço público observado. Isso pode ajudar usuários técnicos a confirmar um caminho CGN, mas não é o primeiro passo para a maioria das pessoas, porque o roteamento e a filtragem do provedor podem ocultar ou alterar a visibilidade dos saltos.
Faixas de endereço importantes
| Faixa | O que significa |
|---|---|
| 100.64.0.0/10 | Espaço de endereços compartilhado para NAT de provedores de serviço. Um endereço WAN do roteador aqui é um forte indicador de CGNAT. |
| 10/8, 172.16/12, 192.168/16 | Espaço de endereços privados. Seu roteador está atrás de outro dispositivo NAT, que pode ser o gateway do provedor ou outro roteador local. |
| Outras faixas IPv4 normais | Se o endereço WAN do roteador corresponder ao resultado do verificador de IPv4 público, o encaminhamento de portas geralmente pode funcionar se o serviço local e o firewall estiverem configurados corretamente. |
CGNAT vs double NAT
CGNAT e double NAT parecem semelhantes porque ambos colocam seu dispositivo atrás de mais de uma camada de tradução. A diferença é o controle. Muitas vezes é possível corrigir double NAT mudando o modo dos seus próprios equipamentos. Normalmente você não consegue remover o CGNAT do provedor nas configurações do roteador doméstico.
CGNAT
O provedor compartilha endereços IPv4 públicos entre muitos assinantes. Seu roteador recebe um endereço acima compartilhado ou privado, então o tráfego IPv4 de entrada não solicitado para antes de chegar ao roteador.
Double NAT
Dois dispositivos em sua casa estão roteando, geralmente um gateway do provedor mais seu próprio roteador. Modo bridge, modo ponto de acesso ou remover uma camada de roteamento costuma corrigir o problema.
Sinais falsos comuns
Não diagnostique CGNAT apenas por um resultado de porta fechada. Uma porta fechada só diz que a verificação externa não alcançou um serviço que aceita conexões. Vários problemas locais podem produzir o mesmo resultado.
- O firewall do sistema operacional ou do roteador bloqueia a porta mesmo que a regra de encaminhamento exista.
- O servidor de jogo, câmera, NAS ou serviço de área de trabalho remota não está realmente escutando nessa porta.
- A regra de encaminhamento usa TCP quando a aplicação precisa de UDP, ou o verificador externo testa o protocolo errado.
- Uma VPN, suíte de segurança ou proxy altera o IP público observado e torna os resultados de comparação enganosos.
O que você pode fazer
Corrija primeiro o double NAT local
Se você controla os dois dispositivos de roteamento, coloque o gateway do provedor em modo bridge ou configure o segundo roteador como ponto de acesso. Depois compare novamente IP WAN e IP público.
Peça IPv4 público ao provedor
Alguns provedores oferecem endereço IPv4 público, complemento de IPv4 estático ou plano sem CGNAT. O nome e o preço variam por região.
Use IPv6 quando o lado remoto oferecer suporte
IPv6 pode evitar CGNAT IPv4, mas o firewall do roteador ainda controla a alcançabilidade de entrada. Teste disponibilidade IPv6 e alcançabilidade externa separadamente.
Use relay, VPS, túnel ou servidor hospedado
Se o provedor não fornecer IPv4 público, use um modo de jogo baseado em relay, um túnel VPS, um proxy reverso ou um servidor hospedado que tenha endereço público alcançável.
Verifique primeiro o comportamento do NAT
Execute o teste NAT na mesma rede antes de alterar configurações do roteador. O resultado ajuda a separar comportamento NAT, compartilhamento de endereços do provedor e problemas locais de firewall.
Verificar NAT agora ->Fontes
- RFC 6598: prefixo IPv4 reservado pela IANA para espaço de endereços compartilhado
- Registro IANA de endereços IPv4 de uso especial
- RFC 6888: requisitos comuns para NAT Carrier-Grade
- RFC 6269: problemas com compartilhamento de endereços IP
- Cloudflare: detecção de Carrier-Grade NAT
- TP-Link: solução de problemas de encaminhamento de portas
- TP-Link: DDNS e solução de problemas de IP WAN privado
- Cisco: visão geral de Carrier-Grade NAT