CGNAT (Carrier-Grade Network Address Translation) es una técnica de traducción de direcciones IP utilizada por los proveedores de servicios de Internet (ISP) para permitir que múltiples usuarios compartan una misma dirección IPv4 pública.
Se basa en el mismo concepto básico que el NAT tradicional que usamos en nuestros routers domésticos, pero aplicado a nivel de proveedor y a gran escala. De ahí el nombre Carrier-Grade (nivel de operador).
CGNAT surge como una solución transitoria ante la escasez de direcciones IPv4, que es un problema crítico en Internet desde hace años.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
¿Por qué existe CGNAT?
La cantidad de direcciones IPv4 disponibles (aproximadamente 4.3 mil millones) no es suficiente para soportar todos los dispositivos conectados que existen hoy (celulares, computadoras, IoT, etc.).
Aunque IPv6 (que ofrece 340 undecillones de direcciones) es la solución definitiva, muchas redes y servicios aún no son totalmente compatibles con IPv6.
Por lo tanto, los ISPs implementan CGNAT para:
- Seguir conectando a millones de usuarios a Internet usando una cantidad limitada de IPv4 públicas.
- Evitar el despliegue urgente de IPv6 en toda su infraestructura.
- Reducir costos de compra de bloques IPv4 adicionales (que son muy caros hoy en día).
¿Cómo funciona CGNAT?
Arquitectura básica de CGNAT:
Elemento | Función |
Red privada del ISP | Segmento interno donde están los clientes, usando IPs privadas especiales. |
Gateway CGNAT | Dispositivo NAT que traduce IPs privadas a IP pública compartida. |
Internet | Resto del mundo accesible solo mediante IP pública. |
Funcionamiento detallado paso a paso:
- Usuarios conectados al ISP reciben una IP privada en un rango especial reservado para CGNAT:
- 100.64.0.0/10 (que abarca 4,194,304 direcciones).
- Todos los dispositivos de esos usuarios, enmascarados tras CGNAT, acceden a Internet.
- Cuando un cliente inicia una conexión hacia Internet:
- El gateway CGNAT cambia su IP privada interna a una IP pública compartida.
- Modifica el puerto de origen usando PAT (Port Address Translation), ya que muchos usuarios usarán la misma IP pública.
- Registra la traducción (mapeo IP:puerto) en una tabla NAT para gestionar el tráfico de retorno.
- Las respuestas desde Internet vuelven a la IP pública.
- CGNAT usa la tabla NAT para redirigir cada paquete al cliente correcto dentro de la red privada.
Diferencia entre CGNAT y NAT tradicional
Aspecto | NAT Tradicional (hogar/empresa) | CGNAT (nivel ISP) |
Nivel de implementación | Router local del cliente | Equipos de red del proveedor ISP |
Rango IP privado usado | 192.168.x.x, 10.x.x.x, 172.16.x.x | 100.64.0.0/10 |
Control del cliente | Total control | El cliente no tiene control |
Número de clientes detrás | 1 hogar o empresa | Miles o millones de usuarios |
Ventajas de CGNAT
- Permite que los ISPs sigan ofreciendo acceso a Internet IPv4 a nuevos usuarios.
- Reduce costos de adquisición de bloques IPv4 públicos.
- Facilita la transición gradual hacia IPv6.
- No requiere cambios visibles para usuarios finales en actividades normales (navegación web, videos, redes sociales).
Problemas y desventajas de CGNAT
Dificultad para abrir puertos
El usuario no puede hacer port forwarding (abrir puertos) porque está detrás de una red doblemente NATeada (su router + CGNAT del ISP).
Problemas con aplicaciones P2P
Servicios como juegos online, VoIP, cámaras IP, torrents, videollamadas o servidores de juegos pueden fallar o requerir configuraciones específicas.
Identificación de usuarios
Varios usuarios pueden compartir la misma IP pública. Esto complica registros, logs y rastreo en temas de seguridad, forenses y legales.
Consumo de recursos
CGNAT requiere dispositivos de red de alto rendimiento (CGNAT Gateways) capaces de manejar millones de conexiones simultáneas.
Latencia
La traducción NAT adicional puede agregar algo de latencia en la conexión, aunque hoy en día los sistemas modernos minimizan este impacto.
¿Cómo saber si estoy detrás de CGNAT?
Puedes detectar que estás bajo CGNAT si:
- Tu IP pública que ves en Internet es diferente a la IP WAN de tu router.
- No puedes abrir puertos (UPnP falla o el ISP no da acceso).
- El rango de tu IP WAN es 100.64.0.0/10 o un rango privado (192.168.x.x, etc.).
- Algunos servicios P2P o juegos online no funcionan correctamente.
Soluciones para usuarios detrás de CGNAT
- Solicitar una IP pública estática o dinámica al ISP (algunos cobran un adicional).
- Implementar VPNs:
- VPN saliente hacia un VPS propio con IP pública (ej: WireGuard, OpenVPN).
- Servicios como Tailscale, Ngrok, Cloudflare Tunnel.
- Utilizar IPv6 (si el ISP ofrece IPv6 sin CGNAT).
- NAT traversal:
- Protocolos que superan NAT como STUN, TURN, ICE (muy usados en WebRTC y VoIP).
Ejemplo de CGNAT en la vida real
Caso típico: Proveedor de Internet móvil
- Usuarios de 4G LTE reciben IPs privadas (100.64.x.x).
- Todos acceden a Internet usando un conjunto limitado de IPs públicas compartidas.
- No pueden abrir puertos ni montar servidores directamente.
- Navegan por web, usan apps, redes sociales sin problemas.
Caso típico: ISP residencial económico
- ISP de fibra económica asigna IP privada CGNAT para ahorrar costos de IPv4.
- Los clientes que requieren “gaming”, “cámaras IP”, o “servidores” deben pagar por IP pública.
Rango IP de CGNAT: 100.64.0.0/10
- Rango decimal: 100.64.0.0 – 100.127.255.255
- Máscara: 255.192.0.0
- Cantidad de direcciones: 4,194,304
- Propósito: Exclusivo para CGNAT (RFC 6598)
Importante: Este rango NO debe ser enrutable en Internet público, sólo debe existir dentro de las redes del ISP.
Conclusión
CGNAT es una solución práctica pero imperfecta para extender la vida útil de IPv4 frente a su agotamiento. Permite que millones de nuevos usuarios se conecten, pero a costa de limitaciones técnicas que afectan a ciertas aplicaciones y complican la gestión de redes avanzadas.
Idealmente, el futuro es IPv6 — pero mientras eso se logra de manera completa en todo el mundo, CGNAT sigue siendo una herramienta clave para ISPs.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
Libro Ruteo Avanzado RouterOS v7
Material de estudio para el Curso de Certificación MTCRE, actualizado a RouterOS v7










