CG-NAT

Buenas, hoy he llamado a Másmovil para salir del CG-NAT y en principio no ha puesto pegas hasta que ha intentado acceder al router. Me ha dicho que le da error, lo que era de preever ya que lo he sustituido por una ONT+Router Neutro. No obstante, me ha dicho que no puede sacarme de la CGNAT si no tengo puesto el router de ellos...

Claro esto me hace masa, porque no entiendo bien que para sacarme del router CG (que hace la NAT), sea necesario tener su router instalado.

¿Os ha pasado? ¿Esto es así?
 
Última edición:
Buenas, hoy he llamado a Másmovil para salir del CG-NAT y en principio no ha puesto pegas hasta que ha intentado acceder al router. Me ha dicho que le da error, lo que era de preever ya que lo he sustituido por una ONT+Router Neutro. No obstante, me ha dicho que no puede sacarme de la CGNAT si no tengo puesto el router de ellos...

Claro esto me hace masa, porque no entiendo bien que para sacarme del router CG (que hace la NAT), sea necesario tener su router instalado.

¿Os ha pasado? ¿Esto es así?
Hazlo como te dicen hasta que te saquen de CG-NAT y ellos mismos lo confirmen. Una vez pasado el trámite, pones los equipos que quieras.

Saludos!
 
Gracias, @pokoyo . Entonces es cierto que no sería necesario tener el equipo, responde más a un procedimiento que tengan establecido para llevar a trámite la solicitud.

Es que no me di cuenta hasta que contraté una VPN y tenía velocidades de risa.

EDITO: Soy nuevo en fibra, de las últimas comarcas que ha desaparecido el cobre, y claro con Movistar esto no pasaba.
 
Gracias, @pokoyo . Entonces es cierto que no sería necesario tener el equipo, responde más a un procedimiento que tengan establecido para llevar a trámite la solicitud.

Es que no me di cuenta hasta que contraté una VPN y tenía velocidades de risa.

EDITO: Soy nuevo en fibra, de las últimas comarcas que ha desaparecido el cobre, y claro con Movistar esto no pasaba.
Sí, sospecho que los tiros vienen por ahí, para que ellos mismos puedan cerrar el ticket cuando validen que su (tu) router, tiene IP pública.

Por otro lado, salir o no de CG-NAT creo que va a tener poco o nada que ver con la velocidad de tu VPN. Ya nos contarás cuando salgas de ello, no obstante.

A todo esto, y si no es mucho preguntar, la VPN… ¿para qué?

Saludos!
 
Sí, sospecho que los tiros vienen por ahí, para que ellos mismos puedan cerrar el ticket cuando validen que su (tu) router, tiene IP pública.

Por otro lado, salir o no de CG-NAT creo que va a tener poco o nada que ver con la velocidad de tu VPN. Ya nos contarás cuando salgas de ello, no obstante.

A todo esto, y si no es mucho preguntar, la VPN… ¿para qué?

Saludos!
Bueno, no he verificado que obtenga mejores velocidades con la VPN fuera del CG-NAT (porque aún estoy dentro), pero ahora obtengo resultados de 12mbps partiendo de 600 mbps.

La VPN es para configurar un puesto de Teletrabajo y alguna cosilla más.

EDIT: Entiendo que si afecta estar detrás de CG-NAT, ya que los puertos no los puedes abrir. Por ejemplo, para usar OpenVPN los puertos que se usan son 1194 TCP/UDP, 443 TCP que sería los que necesitarías abrir. Hablando con la operadora, incluso tras salir del CG-NAT es posible que necesite que sean ellos quienes los abran.
 
Última edición:
Si tú contratas (sacado de tu post previo) una VPN, tú no tienes que montar nada, ni te afecta CG-NAT, ya que el servidor de VPN no está en tu casa. Ahora si lo que quieres es montar una VPN en tu domicilio, ahí sí, tienes que pedir salir de CG-NAT, puesto que el servidor y quien expone los puertos eres tú.

Saludos!
 
Por lo que tenía entendido, es que el CG-NAT al tener los puertos cerrados no permitiría las conexiones entrantes aunque si salientes... Desconociendo realmente como funciona mi primera deducción ha sido que interferiría en la comunicación entre el servidor vpn externo (contratado) y mi equipo.

Pues si tampoco es por la CGNAT, no entiendo como con la VPN de SurfShark estoy obteniendo unas velocidades tan ridiculas tras configurar el router. He desactivado ipv6, y he probado con las configuraciones ovpn tanto para TCP como para UDP.

Seguiré investigando...
 
Por lo que tenía entendido, es que el CG-NAT al tener los puertos cerrados no permitiría las conexiones entrantes aunque si salientes... Desconociendo realmente como funciona mi primera deducción ha sido que interferiría en la comunicación entre el servidor vpn externo (contratado) y mi equipo.

Pues si tampoco es por la CGNAT, no entiendo como con la VPN de SurfShark estoy obteniendo unas velocidades tan ridiculas tras configurar el router. He desactivado ipv6, y he probado con las configuraciones ovpn tanto para TCP como para UDP.

Seguiré investigando...
Un CG-NAT no deja de ser un router por encima del tuyo. No es que tengas los puertos cerrados o abiertos, es que tu router no maneja la IP pública, sino el que tienes por encima, el del CG-NAT.

Y lo has dicho bien, no puedes abrir puertos para conexiones entrantes. Pero es que si el servidor no lo tienes tú en tu red, no hay conexión entrante que valga.

El tema de la velocidad pueden ser mil cosas, pero lo que sigo sin entender es el propósito de la VPN.

Saludos!
 
En mi caso ya tenía puesto el Mikrotik y la ONT cuando pedí salir del CGNat y nadie me dijo nada que tenía que poner el original.
Lo que yo creo que está pasando, me da por ahí, es que MM se está quedando sin ip públicas y cono jazztell y Orange, seguramente, están intentando abrir los puertos con el CGNat porque depende para los servicios que sea no hace falta salir.
Lo que querrán es intentar abrir algún puerto que les hayas dicho y así se ahorran una ip.
 
El tema de la velocidad pueden ser mil cosas, pero lo que sigo sin entender es el propósito de la VPN.

Saludos!

El propósito general de la VPN es proteger o aislar la información que se transfiere... ahora imagínate un trabajo en donde sea necesaria esa seguridad, y ahí tienes el propósito. No puedo dar más detalles en un foro público.
 
El propósito general de la VPN es proteger o aislar la información que se transfiere... ahora imagínate un trabajo en donde sea necesaria esa seguridad, y ahí tienes el propósito. No puedo dar más detalles en un foro público.
Vale, lo pregunto porque creo que estás errando el tiro. Si es propósito es el que describes, no deberías tener una VPN de u n tercero, sino montar tú la VPN. Si quieres transferir datos de manera segura entre A y B, uno de los dos ha de tener el servidor VPN y el otro ser un cliente. Si tú contratas un tercero "C", y transfieres a B, lo único que estás haciendo es facilitarle a C esa información. Es decir, el caminio entre A y C será seguro, entre C y B no. Y C tendrá acceso a todo tu tráfico, ya sin encriptar, puesto que es él quien lo saca a internet.

Así que, si es por temas de trabajo, monta una VPN en la oficina, y un cliente en el puesto que teletrabaja. Contratar una VPN de un tercero es regalarle los datos de navegación a ese tercero, y únicamente encriptar el tránsito hasta ese tercero, no hasta tu destino final.

Saludos!
 
Vale, lo pregunto porque creo que estás errando el tiro. Si es propósito es el que describes, no deberías tener una VPN de u n tercero, sino montar tú la VPN. Si quieres transferir datos de manera segura entre A y B, uno de los dos ha de tener el servidor VPN y el otro ser un cliente. Si tú contratas un tercero "C", y transfieres a B, lo único que estás haciendo es facilitarle a C esa información. Es decir, el caminio entre A y C será seguro, entre C y B no. Y C tendrá acceso a todo tu tráfico, ya sin encriptar, puesto que es él quien lo saca a internet.

Así que, si es por temas de trabajo, monta una VPN en la oficina, y un cliente en el puesto que teletrabaja. Contratar una VPN de un tercero es regalarle los datos de navegación a ese tercero, y únicamente encriptar el tránsito hasta ese tercero, no hasta tu destino final.

Saludos!

Ah, pues vas a tener razón... ¿Es muy complicado montar un server vpn?

Por cierto, al quitar el router de la compañia puse una ont de huawei (que creo que tb enrouta) con un router neutro Asus. ¿Es posible que la velocidad sea tan baja con la VPN porque la ONT no está en modo bridge? ¿O al final va a ser todo problema de la VPN contratada?

Es que no soy capaz de pasar de los 12 mbps.

Leyendo este articulo: [MANUAL] Huawei EG8120L (VoIP/Internet) + Masmóvil | Fibra óptica | Foros ADSLZone hay una parte donde dice:

NOTES

  • WAN in route mode: The ONT functions as a gateway. The IP address of the ONT can be obtained through DHCP, Static, or PPPoE. The IP address of the PC connected to the ONT can be obtained from the DHCP address pool of the ONT or can be set manually.
  • WAN in bridge mode: The ONT functions as a relay and does not process data. The ONT does not obtain the IP address allocated by the upper-layer device and it does not allow manual configuration of a static IP address. The IP address of the device connected to the ONT can be obtained through DHCP, PPPoE, or static.
Entiendo que si pusiera la ONT en modo bridge, ¿perdería la VOIP?

He seguido esta configuración [MANUAL] Huawei EG8120L (VoIP/Internet) + Masmóvil | Fibra óptica | Foros ADSLZone
 
Por cierto, al quitar el router de la compañia puse una ont de huawei (que creo que tb enrouta) con un router neutro Asus. ¿Es posible que la velocidad sea tan baja con la VPN porque la ONT no está en modo bridge? ¿O al final va a ser todo problema de la VPN contratada?
Es fácil de comprobar, prueba con y sin VPN. Y sí, puede tener que ver.

Entiendo que si pusiera la ONT en modo bridge, ¿perdería la VOIP?
Correcto. Yo no me complicaría la vida en tu lugar si necesitas teléfono. Masmóvil tiene todo en la misma VLAN, vlan20, así que no vas a poder separar el tráfico y que la ONT se quede sólo con el tráfico de la VoIP. Tienes dos opciones:
  • Pones la ONT en modo bridge total y compras un teléfono IP, y lo configuras con los datos de la VoIP, si ha conseguido sacarlos
  • No te complicas la vida y pones el router del operador, pero en DMZ a tu router, tal que no te preocupes de la doble NAT
  • Prescindes del teléfono

En casos donde el teléfono es indispensable, yo me iría a por la opción del DMZ. No es tan limpia como la ONT pero te aseguras sacar el 100% de tu conexión, y sino reclamas. Con equipos de otros fabricantes, directamente, no te van a dar soporte.

Montar un servidor VPN no es complejo. Si me describes un poco mejor qué necesitas, y qué tienes en la oficina, lo miramos.

Saludos!
 
Vale, voy a probar todo y comento. El teléfono no es imprescindible pero es más por manía de tenerlo funcionando.

Gracias.

EDIT: ¿Y si pongo la ONT en modo DMZ? Entonces debería tener VoIP no?
 
Última edición:
EDIT: ¿Y si pongo la ONT en modo DMZ? Entonces debería tener VoIP no?
¿qué ganas? No ganas nada, más que quedarte sin soporte por parte de tu proveedor a internet, y que ante cualquier fallo te diga "es cosa tuya, por no usar los equipos que yo te doy"

Saludos!
 
Nada, no soy capaz de recuperar la velocidad de la línea. Resetee tanto el router neutro como la ONT. Esta última la puse en modo bridge y sin el cliente VPN configurado en el router la velocidad era la máxima contratada (600 Mbps) mientras que con VPN 12 Mbps.

Desinstale el antivirus por si acaso y nada. He probado la aplicación de que facilita el proveedor VPN (¿es eso que llaman tunneling?) y obtengo velocidades de descarga de 238.96 y subida 156.08 Mbps, que aunque es un logro no abarca la cobertura a todos los dispositivos de mi LAN como tenía pensado al configurar la VPN en el router.

El siguiente paso, @pokoyo como dijiste, será poner el router de la compañia y hace una redirección con DMZ, a ver si así podría usarlo en el router... Eso sí, les llamaré para que me abran varios puertos TCP y UDP para la salida/entrada de la VPN.

Ya iré contando a ver si logro que rule o me veré obligado a configurar la VPN en los equipos que lo admitan.

¿Es posible que la OLT detectase que no es la ONT de ellos y bloquee/reduzca el tráfico de la VPN? Lo que si me he percatado, es que me han actualizado el firmware del router de la ISP y el método de obtención o escalado privilegios ya no funciona.
 
Última edición:
El siguiente paso, @pokoyo como dijiste, será poner el router de la compañia y hace una redirección con DMZ, a ver si así podría usarlo en el router... Eso sí, les llamaré para que me abran varios puertos TCP y UDP para la salida/entrada de la VPN.
No hace falta que llames a nadie. Si ya estás fuera de CG-NAT, lo único que tienes que hacer es poner su equipo en DMZ contra el tuyo, y listo. Todos el tráfico que llegue al router de masmóvil pasará hacia abajo sin excepción.

¿Es posible que la OLT detectase que no es la ONT de ellos y bloquee/reduzca el tráfico de la VPN? Lo que si me he percatado, es que me han actualizado el firmware del router de la ISP y el método de obtención o escalado privilegios ya no funciona.
Sí. Y no sólo la VPN, sino todo el tráfico. Otra opción que puedes probar es a clonar la MAC del router de la compañía en tu router o la ONT que esté haciendo de router. probablemente estén validando el equipo final por MAC y al no detectar una conocida, te estén metiendo en algún perfil de pruebas raro o que no use nadie, con peor velocidad. Esto se corrige obviamente al volver a poner el CPE que te entrega la compañía.

Saludos!
 
Arriba