CGNAT: cos'è, quali problemi causa e come risolverli

Se hai provato ad aprire una porta sul router per raggiungere un NAS da remoto, o ad avviare un server di gioco, e nulla funzionava nonostante la configurazione corretta, è molto probabile che la tua linea sia dietro un CGNAT. È una pratica diffusissima tra gli operatori e spesso del tutto invisibile finché non serve un IP pubblico raggiungibile dall'esterno.

Cos'è il CGNAT

Il Carrier-Grade NAT (CGNAT, detto anche NAT444 o LSN, Large Scale NAT) è un secondo livello di NAT applicato dall'operatore. Il tuo router fa già NAT tra la rete locale (es. 192.168.1.0/24) e l'indirizzo WAN che riceve. Con il CGNAT quell'indirizzo WAN non è un IPv4 pubblico, ma un indirizzo in un range condiviso, tipicamente il blocco 100.64.0.0/10 riservato proprio a questo scopo (RFC 6598). L'operatore traduce poi quel range verso un pool ristretto di IPv4 pubblici, condivisi tra molti clienti.

In pratica:

• rete locale → 192.168.x.x (NAT del tuo router)
• WAN del router → 100.64.x.x (range CGNAT dell'operatore)
• IP visto da Internet → IPv4 pubblico condiviso con decine o centinaia di altri utenti

La ragione è puramente economica: gli IPv4 pubblici sono esauriti e costosi sul mercato secondario. Condividerne uno tra molti clienti permette agli operatori di crescere senza acquistare nuovi blocchi.

Perché causa problemi

Il CGNAT funziona benissimo per la navigazione normale: aprire siti, streaming, social, posta. Il traffico parte dall'interno verso l'esterno e le risposte tornano indietro tramite la tabella di traduzione. I problemi nascono quando serve una connessione iniziata dall'esterno verso casa tua.

Situazioni tipiche che il CGNAT rompe:

• Port forwarding inutile: puoi aprire la porta sul router, ma l'operatore non inoltra il traffico in ingresso verso la tua WAN condivisa. La porta resta irraggiungibile.
• Accesso remoto a NAS, DVR, telecamere: nessun servizio self-hosted è raggiungibile da fuori con il solo IP.
• Server di gioco e hosting: impossibile far connettere altri al tuo dispositivo come host.
• VPN in ingresso: un server WireGuard o OpenVPN in casa non riceve connessioni dall'esterno.
• Doppio NAT diagnosticabile: se il tuo WAN è 100.64.x.x, sei quasi certamente sotto CGNAT.

Un modo rapido per verificare: confronta l'IP WAN mostrato nel router con l'IP pubblico visto da un sito tipo "what is my IP". Se sono diversi e quello del router è nel range 100.64.0.0/10, sei in CGNAT.

Le soluzioni

1. Richiedere un IP pubblico statico (o dinamico) all'operatore

È la soluzione più pulita. Molti operatori offrono un IPv4 pubblico dedicato, spesso a pagamento o come opzione business. Una volta assegnato, port forwarding, VPN e hosting tornano a funzionare normalmente. Su linee Velix l'IP pubblico è disponibile come opzione: è la strada consigliata per chi ha esigenze di accesso remoto continuativo.

2. Usare IPv6

Il CGNAT è un problema esclusivamente IPv4. Con IPv6 ogni dispositivo riceve un indirizzo globale univoco e raggiungibile (filtrato dal firewall, ma instradabile). Se il tuo operatore fornisce IPv6 nativo e i dispositivi all'altro capo lo supportano, puoi raggiungere il tuo NAS o la tua VPN direttamente via indirizzo IPv6, bypassando del tutto il CGNAT. Il limite è la diffusione: non tutte le reti client-side hanno ancora IPv6 abilitato.

3. Tunnel e reverse-VPN

Quando non puoi avere un IP pubblico né IPv6, la soluzione è far partire la connessione dall'interno verso un punto raggiungibile:

• WireGuard/OpenVPN verso un VPS: il dispositivo di casa apre un tunnel verso un server con IP pubblico, che fa da punto di rendezvous. Funziona anche dietro CGNAT perché la connessione è in uscita.
• Servizi di tunneling gestiti (Cloudflare Tunnel, Tailscale, ngrok): creano un overlay che attraversa il CGNAT senza configurazione di rete sul router. Tailscale in particolare usa una mesh WireGuard con NAT traversal automatico.
• STUN/TURN per applicazioni real-time: per VoIP e WebRTC il CGNAT complica il NAT traversal; un server TURN garantisce il relay quando la connessione diretta fallisce.

4. DDNS: utile ma non sufficiente

Un servizio di DNS dinamico associa un hostname all'IP, ma se l'IP è condiviso sotto CGNAT il DDNS non risolve il problema di raggiungibilità: punterebbe a un indirizzo che comunque non inoltra il traffico verso di te. Il DDNS ha senso solo in combinazione con un IP pubblico dedicato.

In sintesi

Il CGNAT è una conseguenza inevitabile dell'esaurimento degli IPv4 e per la maggior parte degli usi domestici è trasparente. Diventa un ostacolo solo quando servono connessioni in ingresso. La gerarchia delle soluzioni è chiara: un IP pubblico dedicato risolve tutto alla radice, IPv6 è il futuro già disponibile su molte linee, e i tunnel verso un punto esterno coprono i casi in cui le prime due opzioni non sono praticabili. Prima di tutto, però, verifica se sei davvero dietro CGNAT: spesso il "port forwarding che non funziona" ha qui la sua spiegazione.