Si algo no funciona en la conexión de tu empresa no siempre es culpa tuya

En Connectü hemos tenido varias consultas de clientes en teletrabajo a los que resultaba imposible conectarse con su empresa. Funciones tan básicas como enviar ficheros por FPT o abrir una VPN les ha resultado imposible. Para más abundamiento, con las mismas herramientas software y hardware algunos compañeros pueden teletrabajar sin problemas mientras que para ti es imposible a pesar de contar con fibra óptica.

Descartando fallos en la configuración, la mayoría de las veces los problemas vienen dados por la conexión y sí, poco importa que tengas fibra óptica. El problema se llama CG-NAT y algunas compañías de telecomunicaciones la instalan por defecto si informar debidamente al cliente.

El CG-NAT sería el acrónimo de Carrier Grade Network Adress Translation. Empecemos a explicar esto por el final. El NAT es un sistema que permite asociar un servicio interno de nuestra red a una ip pública externa. Por ejemplo, supongamos que queremos montar un servidor web en un ordenador de nuestro hogar. Como sabemos las webs se sirven desde los puerto 80 y 443 de servidores que corren programas como Microsoft IIS, Apache, Nginx, LightHttpd etc. Si queremos hacer algo así, lo primero es asignar una ip local a dicho servidor e instalar uno de los programas mencionados. Supongamos que la ip del servidor es 192.168.0.21. Como esta máquina suministra páginas web, responderá entregando dicha información si nos conectamos a las ip 192.168.0.21:80 y 192.168.0.21:443 (la primera sería la web sin certificado, la segunda con certificado TLS).

Si nos conectamos con otro ordenador dentro de la misma red a ese servidor, bastará con que tecleemos https://192.168.0.21:443 en la barra del navegador para que veamos una página web como cualquier otra. Pero claro, como nos interesa que esa web se vea desde cualquier máquina que tenga acceso a Internet es preciso que progrese a través del router y eso no lo puede hacer con una ip local. Para que eso ocurra debemos hacer que la ip pública (la que sí progresa a través de Internet) asocie el puerto a la máquina que sirve la web. Esto se llama NAT y se configura en el router, la cajita que la empresa de telecomunicaciones nos instala en casa y que generalmente también maneja el Wifi.

Si la ip pública de nuestro router es 211.45.122.87 configuramos :


IP PÚBLICA                     PUERTO                 IP PRIVADA
211.45.122.87                   80                     192.168.0.21
211.45.122.87                 443                     192.168.0.21

Con esta simple configuración estamos diciendo que cuando el router reciba una petición por los puertos 80 ó 443, debe dirigir ese tráfico hacia la máquina con ip 192.168.0.21. Si todo está correcto, una máquina cualquiera en cualquier parte del mundo podrá ver nuestra máquina local (interna y privada) tecleando en el navegador https://211.45.122.87:443 ó http://211.45.122.87:80

Pues bien, esta traslación implica que disponemos de una ip pública y que de momento es simpre IPv4. Las ips IPV4 tienen un formato XXX.XXX.XXX.XXX y dado el escaso número de combinaciones y la magnitud de Internet, donde cada cosa que se conecta tiene una ip asignada, ya no queda ninguna libre. Esto es así desde 2016. Para solucionar el problema se crearon las ips IPV6, que tienen una enorme cantidad de combinaciones que difícilmente se agotarán, pero que de momento no se han desplegado por el alto coste de modificar todos los elementos de la red. Así que desde hace 4 años se va trampeando reutilizando ip4 que quedan libres o haciendo chapucillas como el CG-NAT.

El CG-NAT consiste en mover la estructura del router hacia nodos superiores y suministrar a cada "cajita" de la vivienda del usuario una conexión con ip privada, no pública. Así que para determinados operadores de telecomunicaciones, hablar de un "router" refiriéndonos a la caja que meten en nuestro hogar, es anacrónico. Así una manzana de casas, o todas las viviendas conectadas a un mismo nodo, utilizan la misma ip pública cuando antes ésta era exclusiva. Esto significa varias cosas. La primera es que el vecino que descarga películas ilegales o pornografía tiene la misma ip que tu, que solo usas la conexión para trabajar. Por esta razón diversos juzgados bien asesorados empiezan a rechazar pruebas de presuntas ilegalidades cibernéticas que justifican una acusación basándose únicamente en la ip de conexión. Otra cosa importante es que no puedes abrir puertos raros ni hacer NATs que no sean las habituales. Si tu empresa te dice que para abrir la VPN has de emplear tal puerto o que para tener un escritorio remoto has de usar RDP, lo más probable es que no puedas hacerlo. Puedes navegar por Internet o ver películas en Netflix, HBO etc, a lo sumo jugar online, pero más de eso va a ser que no.

Si estás en ese problema lo primero es verificar que tienes el problema CG-NAT. Para ello googlea "what's my ip" y en centenares de webs aparecerá tu ip pública. Inaginemos que es la 211.45.122.87 que habíamos visto antes. Parece que tienes una ip pública, ¿verdad? No estés tan seguro.

A continuación abre una ventana DOS en tu PC Windows y escribe el comando > tracert 211.45.122.87 . Si realmente es una ip pública asignada en exclusiva a tu router, obtendrás un único salto ya que el sistema reconoce que estás buscándote a ti mismo (lógico. ¿no?). Pero si la ip está multiasignada, obtendrás dos saltos (de ti hacia la cajita que te pensabas que era un router y de ahí al router verdadero que compartís un montón de gente). Otra forma de averiguarlo es entrando en la cajita y verificando la ip que tienes asignada. Si empieza por 10.XXX.XXX.XXX, 172.XXX.XXX.XXX ó 192.XXX.XXX.XXX ya no lo dudes, estás en un CG-NAT.

¿Me están engañando al haberme dado una CG-NAT? No te están engañando porque de hecho es una práctica habitual en conexiones de datos para teléfonos móviles, pero claro, no es lo mismo que tener una ip pública para ti solito. Aparte de que se pueden generar problemas puntuales, como que algún cliente quede bloqueado por haber realizado alguna actividad ilegal o que no puedas acceder a los pequeños servidores web o ftp (para subir imágenes puntuales) de las cámaras IP de tu negocio. Que nosotros sepamos MásMóvil, al igual que Yoigo y Pepephone instalan CG-NAT por defecto aunque si te quejas te instalan una ip pública normal, para ti solo. Jazztel lo hace con clientes nuevo de fibra y DIGI lo mismo, aunque estos últimos cobran un extra por modificar este parámetro. En general todos los operadores no te ponen problemas en hacer el cambio pero claro, muchos otros no se enteran porque nunca tienen problema alguno al ser más convencional el uso que hagan de su sistema.