Saltearse al contenido
InstagramYouTubeFacebook

Remote Access

Acceso Remoto MikroTik Detrás de CGNAT

Aprende qué es CGNAT, por qué bloquea el acceso entrante a routers MikroTik y cómo gestionar tu flota de forma remota con túneles salientes.

Resumen El CGNAT (Carrier-Grade NAT) permite que un ISP comparta una única dirección IPv4 pública entre muchos abonados, lo que conserva direcciones escasas pero rompe las conexiones entrantes — por lo que la redirección de puertos hacia un router MikroTik detrás de él simplemente no funciona. Como el router no tiene una dirección pública alcanzable, la solución fiable es invertir el sentido: hacer que el router marque hacia un punto de encuentro que tú controlas. Esta guía explica qué es CGNAT, cómo detectarlo y cómo gestionar routers MikroTik detrás de él usando túneles salientes.

¿Qué es CGNAT?

El CGNAT es una segunda capa de traducción de direcciones de red que se ejecuta dentro de la red del ISP y que asigna muchos clientes a un pequeño conjunto de direcciones IPv4 públicas compartidas, normalmente entregando a cada abonado una dirección privada del rango de operador 100.64.0.0/10 en lugar de una IP pública real. Existe porque el mundo se quedó sin bloques IPv4 libres hace años: en lugar de comprar direcciones cada vez más caras, la mayoría de los proveedores inalámbricos fijos, móviles, de fibra y satelitales colocan ahora a los abonados detrás de una puerta de enlace compartida. Tu MikroTik sigue teniendo acceso a internet y puede iniciar conexiones salientes con normalidad — pero desde el punto de vista de la internet pública, tu router no tiene una dirección propia. (Carrier-grade NAT — Wikipedia)

¿Cómo rompe el CGNAT el acceso entrante a un MikroTik?

La redirección de puertos normal asume que tu interfaz WAN tiene una IP pública que el resto de internet puede alcanzar. Bajo CGNAT esa suposición falla por partida doble. Primero, tu dirección WAN es privada (a menudo 100.64.x.x), por lo que un puerto redirigido en tu MikroTik apunta a una dirección que nadie fuera del operador puede enrutar. Segundo, la IP pública real reside en el dispositivo NAT maestro del ISP, que se comparte con docenas de otros abonados y no reenviará un puerto entrante arbitrario hacia ti — tú no lo controlas. (Open Port Checkers — Why port forwarding fails with CGNAT)

La consecuencia práctica para cualquiera que opere una flota de routers es severa: no puedes entrar al MikroTik de un cliente por Winbox, WebFig, SSH o API desde la oficina, porque no hay una ruta de entrada hacia él. Un nombre de host de DNS dinámico tampoco ayuda — resolvería a la IP compartida del operador, no a tu router. Este es el mismo muro con el que chocan los usuarios de Starlink, que tratamos en detalle en nuestro estudio de caso sobre los cambios de IP de Starlink.

¿Cómo saber si un MikroTik está detrás de CGNAT?

Revisa la dirección en la interfaz WAN y compárala con la IP pública que la conexión muestra realmente a internet. En un terminal de Winbox o WebFig:

/ip address print

Si la interfaz WAN tiene una dirección dentro de 100.64.0.0100.127.255.255 (el rango compartido 100.64.0.0/10), 10.0.0.0/8 u otro rango privado RFC1918, casi con seguridad estás detrás de CGNAT. Confírmalo comparando esa dirección con lo que informa un servicio externo de “cuál es mi IP”: si difieren, hay un NAT de operador entre tú e internet. Un traceroute que muestra uno o más saltos privados antes del primer salto público es otra señal fuerte. (oneuptime — How to detect if you are behind CGNAT)

¿Cómo gestionar routers MikroTik detrás de CGNAT?

La solución duradera es dejar de intentar conectar hacia dentro y, en su lugar, dejar que el router se conecte hacia fuera a un punto de encuentro con una dirección pública estable. Como la conexión saliente se inicia desde detrás del CGNAT, el NAT del operador la permite sin problema — del mismo modo que tu navegador alcanza cualquier sitio web. Una vez establecido ese túnel, alcanzas el router de vuelta a través de él. Hay cuatro formas comunes de construir esto, cada una documentada en su propia guía:

Una VPN autoalojada en un VPS es el enfoque clásico: un VPS Linux barato con una IP pública actúa como punto de encuentro, y cada MikroTik marca hacia él. WireGuard es el estándar moderno — rápido, de bajo consumo de CPU y tolerante a los cambios de dirección que vienen con el CGNAT y las IP dinámicas. La guía más amplia de gestión basada en VPS cubre la misma idea con otros tipos de túnel.

Una VPN de malla gestionada elimina la mayor parte del trabajo manual. Tailscale y ZeroTier ofrecen ambos un plano de control que se encarga de la travesía de NAT y la distribución de claves por ti, de modo que un router detrás de CGNAT se une a la red casi sin configuración por dispositivo.

Una plataforma TR-069 / ACS es la opción estándar de las telcos cuando operas a escala: el CPE abre una sesión saliente hacia un servidor de autoconfiguración, que luego envía configuración y firmware. Está diseñada específicamente para gestionar dispositivos de abonados que viven detrás del NAT del operador.

Una nube de gestión dedicada combina la idea del túnel saliente con monitoreo y control de acceso en un solo lugar, que es el modelo que usa el NATCloud de MKController.

Consejos

  • El IPv6 a menudo evita por completo el CGNAT. Si tu ISP asigna un prefijo IPv6 enrutable, puede que logres alcanzar el router por IPv6 incluso mientras el IPv4 está atrapado detrás del NAT del operador — pero solo si cada salto de tu ruta de gestión también tiene IPv6.
  • Configura siempre un keepalive en los túneles salientes (por ejemplo persistent-keepalive=25 en WireGuard) para que el operador no descarte silenciosamente la asignación NAT inactiva.
  • Algunos ISP venden una dirección IPv4 estática o pública como un complemento de pago. Para un único sitio crítico puede ser más sencillo que un túnel; para una flota no escala en costo.
  • Nunca expongas Winbox, WebFig o SSH directamente a internet como un “apaño”. Detrás de CGNAT no funcionaría de todos modos, y en una IP pública real es una invitación permanente para los atacantes.

FAQ

¿Un servicio de DNS dinámico soluciona el CGNAT? No. El DNS dinámico solo actualiza un nombre de host para que apunte a la IP pública que tengas. Detrás de CGNAT esa IP pública pertenece al operador y es compartida, por lo que el nombre de host no puede alcanzar tu router.

¿Es el CGNAT lo mismo que el NAT de mi propio router? No. El NAT de tu router traduce tu LAN privada a tu dirección WAN, y tú controlas sus reglas de redirección de puertos. El CGNAT añade un segundo NAT dentro del ISP que tú no controlas, y por eso se rompe la redirección entrante.

¿Puedo simplemente pedirle a mi ISP que lo desactive? A veces. Muchos proveedores ofrecen una dirección IPv4 pública o estática por una tarifa o bajo solicitud. La disponibilidad y el precio varían mucho según el operador y la región.

Da el siguiente paso

Construir tu propio túnel para un router es sencillo. Hacerlo en docenas o cientos de MikroTik — cada uno detrás de un operador CGNAT distinto, con claves que rotar y configuraciones de VPS que cuidar — es donde se acumula el costo operativo.

El NATCloud de MKController está hecho exactamente para esto. Cada MikroTik se conecta mediante un túnel saliente hacia el plano de control, sin IP pública, sin redirección de puertos y sin ediciones de VPS por dispositivo. Obtienes monitoreo centralizado y acceso remoto seguro a cada router, incluso a los que están enterrados bien al fondo detrás del NAT del operador.

Comienza tu prueba gratuita de MKController