23 mar. 2017

CGNAT

Hace unas horas, recibía un correo electrónico avisándome de los pasos a seguir para poder realizar con éxito la migración de Pepephone a la red de Mas Móvil, de la que ahora forman parte. Lo que en un principio iba a ser un cambio transparente para el usuario no es tal: Implica realizar una actualización de firmware en el router, aunque esto no es lo grave, sino la razón por la que se hace: La implementación de CGNAT. Había leído cosas sobre él con anterioridad, pero no me había interesado demasiado hasta el día de hoy, en que he descubierto que las implicaciones van más allá de lo técnico y pueden ocasionarte incluso problemas legales.

¿Que es?
Groso modo y sin entrar en muchos detalles, hasta ahora la conexión a Internet que tenemos en nuestras casas pasa por conectar en una LAN (Red de Area Local) todos nuestros dispositivos, que mediante un router comparten una IP Pública única con las que nos conectamos a una WAN (Red de Area Extensa), controlada por nuestro ISP (Proveedor de Servicios de Internet), y de ahí, navegar por la gran red propiamente dicha. Con este modelo, si nosotros cometemos alguna falta o tenemos algún problema de configuración, afecta solo a nuestra LAN y por ende, solo a nuestra casa y nuestro contrato.

El Carrier-Grade NAT pasa por meter una red intermedia entre la LAN y la WAN, (que en algunos sitios llaman extra-oficialmente NAN - Neighbour Area Network o Red de Area Vecinal), de forma que cuando nosotros nos conectemos a internet, no tengamos realmente una IP Pública, sino privada y compartida con todos los vecinos de esa NAN. Así que, las faltas y problemas de nuestros vecinos, nos afectan también a nosotros.

¿Por que se hace esto? Porque el modelo de IPv4 que se usa ahora para direccionar equipos en Internet se ha quedado sin direcciones asignables. La solución pasa por el modelo IPv6 que se creó hace algún tiempo, pero que no ha sido implementado a gran escala en Internet. Una chapuza en toda regla, que se pretende solucionar con la implementación de este CG-NAT.

¿En que afecta?
En varias cosas, de las cuales las más importantes son:
  • Imposibilidad de configurar puertos: Esto queda en manos del operador. El tipo de usuario más afectado por esto es el que juega a ciertos videojuegos. Pero también aquellos que estén usando por ejemplo una VPN para conectarse al trabajo desde casa, (ojo a los que hacéis guardias de fines de semana y cosas así), a los que usan Telnet o SSH (como por ejemplo muchos servicios domóticos), o ciertos servicios de sincronización de archivos en la nube (por ejemplo Nextcloud). Y olvidaros de todo lo que vaya por P2P, servicio que por cierto, usan muchos videojuegos.
  • Latencia: Este problema ha empezado a quedar patente de nuevo por quienes juegan on-line, donde se observa un incremento en la latencia por la gestión del CGNAT. Realmente no se describir el problema porque en cada caso es distinto, pero solo tenéis que echar un vistazo a los foros de Blizzard o de Steam para ver que no son pocos los usuarios que se quejan de pérdidas de conexión por un incremento repentino de latencia sin causa aparente.
  • Seguridad: Ciertamente, configurar un firewall individual para tu LAN es algo que siempre puedes hacer, pero ahora deberás hacerlo obligatoriamente. Piensa que al compartir tu red con la de otros vecinos bajo una misma IP, las posibilidades de que te entre "algo" por un descuido son mayores. Sin embargo, ¿como configurar un firewall si no podemos configurar puertos? Con una configuración establecida por el ISP, que puede no ser la más adecuada para nosotros.
  • Fiabilidad: El CGNAT es legal, pero puede crear situaciones que no lo sean. Veréis: Aunque técnicamente todo queda perfectamente registrado para saber quien se conecta a que sitio en todo momento, si por ejemplo un usuario comete una irregularidad y se gana un baneo en algún sitio, una restricción de velocidad o una amonestación que dependan de la IP, nosotros nos lo vamos a tragar igualmente. En muchos casos pensaremos aquello de "otra vez va mal esta conexión de mierda", pero considerando que muchos servicios de hosting se alquilan, y que un baneo puede afectar al acceso de cientos de servicios, puede que, por culpa de otros, nosotros nos quedemos sin acceso a algo importante. Esto se resume en que si bien legalmente estamos protegidos, en la práctica nos podemos encontrar con muchos problemas de conexión que no sabemos de donde vienen y contra los que no tenemos defensa alguna.


Desde mi operador dicen que puedo solicitar una IP Pública para seguir como hasta ahora, cosa que pienso hacer el mismo día en que se realice la migración. Aunque esto no me inspira ninguna confianza, la verdad es que en mi caso particular, la CGNAT me impediría utilizar internet en un 80%, ya que el uso más fuerte que le doy pasa por videojuegos en los que ya he consultado que existen incompatibilidades con este servicio. También tengo un par de Raspberrys a las que accedo mediante SSH, cosa que tampoco podría hacer. Y veremos a ver en que queda Netflix y otros servicios similares.

Es de esperar que mejoren esto a toda prisa, porque sinceramente: Si no puedo hacer estas cosas con mi conexión, no se que sentido tendría mantenerla. Bien podría ampliar mi conexión móvil a 2 Gb por mucho menos dinero y para ver cuatro páginas web y consultar el correo me valdría de sobra. Y como yo, supongo que habrá más gente afectada. Que muchos no sabrán de que va el palo... Pero en España informáticos y telecos hay a patadas que sí lo saben.

3 comentarios:

  1. La latencia se genera por el número de sesiones abiertas por parte de los usuarios que están en la misma lan (o usando la misma IP pública) cuando por ejemplo utilizan bitorrent, el router tiene un límite que cuando se alcanza genera latencia y pérdida de paquetes. Un saludo y gran artículo.

    ResponderEliminar
  2. Me gustaría saber si esto se aplica a ADSL o a fibra también

    ResponderEliminar
    Respuestas
    1. En principio debería ser independiente de ADSL o fibra, porque el problema con las IPv4 afecta a ambos. Pero supongo que dependerá de la política de cada ISP al respecto.

      Eliminar