Lo más reciente

Si algo no funciona en tu conexión de Internet no siempre es culpa tuya (la culpa es del CGA-NAT)

3:23 , , , , , , , , , ,

¿No has podido teletrabajar porque te resultaba imposible conectarte a tu empresa por vía remota? ¿Tienes un pequeño cloud en casa para uso personal pero no siempre puedes acceder? ¿Te resulta imposible hacer VPN contra algunos servidores? Si todos te dicen - y por todos no referimos al proveedor de conexión de tu ADSL o similar - que es muy raro lo que te pasa o te ejemplifican con aquello de que "fulanito sí puede" no caigas en la desesperación. Puede que en realidad no sea culpa tuya. 

Descartando fallos en la configuración, la mayoría de las veces los problemas vienen dados por la conexión y sí, poco importa que tengas fibra óptica y puedas navegar a 100 Gbps. El problema se llama CG-NAT y algunas compañías de telecomunicaciones la instalan por defecto sin informar debidamente al cliente.

El CG-NAT sería el acrónimo de Carrier Grade Network Adress Translation. Empecemos a explicar esto por el final. El NAT es un sistema que permite asociar un servicio interno de nuestra red a una ip pública externa. 

Por ejemplo, supongamos que queremos montar un servidor web en un ordenador de nuestro hogar. Como sabemos las webs se sirven desde los puerto 80 y 443 de servidores que corren programas como Microsoft IIS, Apache, Nginx, LightHttpd etc. Si queremos hacer algo así, lo primero es asignar una ip local a dicho servidor e instalar uno de los programas mencionados. Supongamos que la ip del servidor es 192.168.0.21. Como esta máquina suministra páginas web, responderá entregando dicha información si nos conectamos a las ip 192.168.0.21:80 y 192.168.0.21:443 (la primera sería la web sin certificado, la segunda con certificado TLS).


Si nos conectamos con otro ordenador dentro de la misma red a ese servidor, bastará con que tecleemos https://192.168.0.21:443 en la barra del navegador para que veamos una página web como cualquier otra. Pero claro, como nos interesa que esa web se vea desde cualquier máquina que tenga acceso a Internet es preciso que progrese a través del router y eso no lo puede hacer con una ip local. Para que eso ocurra debemos hacer que la ip pública (la que sí progresa a través de Internet) asocie el puerto a la máquina que sirve la web. Esto se llama NAT y se configura en el router, la cajita que la empresa de telecomunicaciones nos instala en casa y que generalmente también maneja el Wifi.

Si la ip pública de nuestro router es 211.45.122.87 configuramos :


IP PÚBLICA           PUERTO                 IP PRIVADA

211.45.122.87                80                         192.168.0.21

211.45.122.87               443                        192.168.0.21

Con esta simple configuración estamos diciendo que cuando el router reciba una petición por los puertos 80 ó 443, debe dirigir ese tráfico hacia la máquina con ip 192.168.0.21. Si todo está correcto, una máquina cualquiera en cualquier parte del mundo podrá ver nuestra máquina local (interna y privada) tecleando en el navegador https://211.45.122.87:443 ó http://211.45.122.87:80

Es decir, ahora dicha máquina es pública.

Pues bien, esta traslación implica que disponemos de una ip pública y que de momento es siempre IPv4. 

Las ips IPV4 tienen un formato XXX.XXX.XXX.XXX (12 números del 0 al 9 agrupados en cuatro grupos de 3) y dado el escaso número de combinaciones y la magnitud de Internet, donde cada cosa que se conecta tiene una ip asignada, ya no queda ninguna libre. Esto es así desde 2016. 

Para solucionar el problema se crearon las ips IPV6, que tienen una enorme cantidad de combinaciones que difícilmente se agotarán, pero que de momento no se han desplegado por el alto coste de modificar todos los elementos de la red. Así que desde hace 4 años se va trampeando reutilizando ip4 que quedan libres o haciendo chapucillas como el CG-NAT.

El CG-NAT consiste en mover la estructura del router hacia nodos superiores y suministrar a cada "cajita" de la vivienda del usuario una conexión con ip privada, no pública. Así que para determinados operadores de telecomunicaciones, hablar de un "router" refiriéndonos a la caja que meten en nuestro hogar, es anacrónico. 

De hecho una manzana de casas, o todas las viviendas conectadas a un mismo nodo, utilizan la misma ip pública cuando antes ésta era exclusiva. Esto significa varias cosas. La primera es que el vecino que descarga películas ilegales o pornografía tiene la misma ip que tu, que solo usas la conexión para trabajar y leer pasajes de la Biblia. Por esta razón diversos juzgados bien asesorados empiezan a rechazar pruebas de presuntas ilegalidades cibernéticas que justifican una acusación basándose únicamente en la ip de conexión. 

Otra cosa importante es que no puedes abrir puertos raros ni hacer NATs que no sean las habituales. Si tu empresa te dice que para abrir la VPN has de emplear tal puerto o que para tener un escritorio remoto has de usar RDP, lo más probable es que no puedas hacerlo. Puedes navegar por Internet o ver películas en Netflix, HBO etc, a lo sumo jugar online, pero más de eso va a ser que no.

Si estás en ese problema lo primero es verificar que tienes el problema CG-NAT. Para ello googlea "what's my ip" y en centenares de webs aparecerá tu ip pública. Inaginemos que es la 211.45.122.87 que habíamos visto antes. Parece que tienes una ip pública, ¿verdad? No estés tan seguro.

A continuación abre una ventana DOS en tu PC Windows y escribe el comando 

> tracert 211.45.122.87 

Si realmente es una ip pública asignada en exclusiva a tu router, obtendrás un único salto ya que el sistema reconoce que estás buscándote a ti mismo (lógico. ¿no?). Pero si la ip está multiasignada, obtendrás dos saltos (de ti hacia la cajita que te pensabas que era un router y de ahí al router verdadero que compartís un montón de gente). 

Otra forma de averiguarlo es entrando en la cajita y verificando la ip que tienes asignada. Si empieza por 10.XXX.XXX.XXX, 172.XXX.XXX.XXX ó 192.XXX.XXX.XXX ya no lo dudes, estás en un CG-NAT.

¿Me están engañando al haberme dado una CG-NAT? No te están engañando porque no hay un acuerdo tácito de que te iban a entregar una ip para ti. Tampoco te han dicho que tu ADSL te haga café o te lleve los niños al cole. No puedes dar por supuesto aquello que difiera o no se mencione en el contrato. De hecho la CGA-NAT es una práctica habitual en conexiones de datos para teléfonos móviles, pero claro, no es lo mismo que tener una ip pública para ti solito en un ADSL doméstico al que le pides algunos servicios adicionales.

Estos detalles conviene aclararlos porque si vas a destinar tu conexión a servicios no convencionales se pueden generar problemas puntuales, como que se te bloquee el acceso porque algún otro cliente haya realizado alguna actividad ilegal o que no puedas acceder a los pequeños servidores web o ftp (para subir imágenes puntuales) de las cámaras IP de tu negocio o de la cámara de vigilancia de tu casa.

Que nosotros sepamos MásMóvil, al igual que Yoigo y Pepephone instalan CG-NAT por defecto aunque si te quejas te instalan una ip pública normal, para ti solo. Jazztel lo hace con clientes nuevo de fibra y DIGI lo mismo, aunque estos últimos cobran un extra por modificar este parámetro. En general todos los operadores no te ponen problemas en hacer el cambio pero claro, muchos otros clientes no se enteran porque nunca tienen problema alguno al ser más convencional el uso que hagan de su sistema.

No hay comentarios

Publicar un comentario

Suscribirse a: Enviar comentarios ( Atom )