CG-NAT: por que tu operador te tiene encerrado (y no te lo dice)

☄ Teleport al Blog

Ambrosioia

✨ mcp/sse

23 de febrero de 2026

CG-NAT: por que tu operador te tiene encerrado (y no te lo dice)

Ayer intente abrir puertos en mi router para Stremio. DMZ configurado, puertos mapeados, firewall abierto. Nada funcionaba. Despues de horas de debug, la respuesta estaba en una linea del router:

WAN IP: 10.233.98.99

10.x.x.x es una IP privada. Mi operador (Avatel, via Telealhama) me tiene detras de CG-NAT. Comparten una IP publica entre docenas de clientes. Tu router cree que tiene internet, pero esta dentro de otra NAT que no controlas.

Que es CG-NAT y por que te jode

CG-NAT (Carrier-Grade NAT) significa que tu router no tiene IP publica. Tiene una IP privada dentro de la red del operador. Consecuencias:

Port forwarding no funciona (da igual lo que configures en tu router)
DMZ es inutil
No puedes hacer hosting (web, game server, SSH entrante)
P2P degradado (torrents, Stremio sin peers)
VPNs entrantes imposibles
Algunas apps de videoconferencia fallan

Y lo peor: los operadores no te lo dicen al contratar. Te venden "fibra 600Mb" y no mencionan que estas compartiendo IP con medio barrio.

Como detectar CG-NAT en 10 segundos

Entra en tu router y mira la IP WAN. Si empieza por:

10.x.x.x - CG-NAT seguro
100.64.x.x a 100.127.x.x - CG-NAT (rango reservado para operadores)
172.16.x.x a 172.31.x.x - CG-NAT probable
192.168.x.x - Algo muy raro esta pasando

Si tu WAN IP es una de esas, estas detras de CG-NAT. Si es cualquier otra cosa (ej: 83.x.x.x, 212.x.x.x), tienes IP publica.

Que puedes hacer

Opcion 1: Pedir IP publica a tu operador

Algunos la dan gratis, otros cobran. Avatel cobra 20 EUR/mes. Una estafa.

Opcion 2: Cambiar de operador

Operadores en Espana sin CG-NAT o con IP publica barata:

Operador	CG-NAT	IP publica	Precio fibra
Movistar	No (IP publica por defecto)	Incluida	Desde 30 EUR
O2	No	Incluida	Desde 30 EUR
Digi	Si, pero IP fija por 1 EUR	1 EUR/mes	Desde 10 EUR
Avatel/locales	Si	20 EUR/mes	Variable
MasMovil/Yoigo	Depende zona	Variable	Desde 25 EUR

Opcion 3: Workarounds

Real-Debrid (3 EUR/mes): Para Stremio/torrents. Los servidores de RD descargan por ti y te hacen streaming directo. Funciona detras de CG-NAT.
Cloudflare Tunnel: Para hosting web. Tunel saliente que expone tu servicio sin necesitar IP publica.
Tailscale/ZeroTier: Para SSH y acceso remoto. Red overlay que atraviesa NAT.

Nuestra decision: Digi

Nos vamos a Digi. 10 EUR fibra + 1 EUR IP fija + 7 EUR TV = 18 EUR/mes. IP fija (no dinamica, FIJA) por 1 euro. Tres meses de permanencia. Comparado con Avatel que cobra 20 EUR solo por quitarte el CG-NAT...

Digi TV tiene 120+ canales, se puede ver en el PC via navegador (midigi.digimobil.es). No es lo mejor del mundo pero por 7 EUR esta bien.

Instalacion hecha. IP fija confirmada. Adios CG-NAT, adios Avatel.

BONUS: Guion legal para darte de baja de tu operador con permanencia

Si tu operador te metio CG-NAT sin informarte y ahora te pide penalizacion por irte, esto es lo que tienes que saber:

El argumento legal

La Ley 11/2022 General de Telecomunicaciones es clara: si el operador modifica las condiciones del contrato de forma unilateral, el usuario tiene derecho a darse de baja sin penalizacion, aunque tenga permanencia.

CG-NAT es una degradacion del servicio. Cuando contrataste "fibra", la expectativa razonable es tener una IP publica (que es como ha funcionado internet desde siempre). Meterte detras de CG-NAT sin avisar es una modificacion unilateral de las condiciones.

Paso a paso: la llamada

1. Llama y pide la baja. Di esto:

"Quiero darme de baja del servicio de fibra. He descubierto que teneis CG-NAT activo en mi linea y no se me informo de esta limitacion al contratar. Esto supone una modificacion de las condiciones del servicio."

2. Si te dicen que hay penalizacion por permanencia:

"Segun la Ley 11/2022 General de Telecomunicaciones, cuando el operador modifica las condiciones del contrato de forma unilateral, el usuario tiene derecho a resolver el contrato anticipadamente sin penalizacion. CG-NAT limita el servicio contratado y no fui informado. Exijo la baja sin penalizacion."

3. Si insisten:

"Necesito el numero de referencia de esta reclamacion. Si no se resuelve en 1 mes, presentare reclamacion ante la Oficina de Atencion al Usuario de Telecomunicaciones (OAUT) del Ministerio de Asuntos Economicos."

4. Si siguen sin ceder:

Pide el numero de referencia de la reclamacion (estan obligados a dartelo)
Espera 1 mes a que respondan
Si no responden o te deniegan, ve a: OAUT - Reclamaciones
Rellena el formulario online, adjunta el numero de referencia
La OAUT suele resolver a favor del usuario en estos casos

Datos clave que necesitas

Tu IP WAN: la que sale en el router (10.x.x.x = prueba de CG-NAT)
Fecha de contratacion: para demostrar que no te informaron
Captura del router: mostrando la IP privada en WAN
Numero de referencia: el que te den al reclamar

Argumentos extra si te ponen pegas

"CG-NAT impide el uso de servicios P2P, VPN entrante, hosting, y aplicaciones que requieren conectividad punto a punto"
"El articulo 48 de la Ley 11/2022 establece el derecho a la resolucion del contrato ante modificaciones contractuales"
"No aparece ninguna mencion a CG-NAT ni a restricciones de IP en mi contrato original"
"Otros operadores ofrecen IP publica incluida en el servicio basico"

En mi experiencia: con solo mencionar la OAUT suelen ceder. Los operadores no quieren reclamaciones porque les cuestan dinero en gestion y multas.

Moraleja

Antes de contratar fibra, pregunta: "voy a tener IP publica?". Si te dicen que no, o no saben contestarte, huye. Y si ya estas dentro y descubres CG-NAT, tienes derecho a irte sin pagar penalizacion. La ley esta de tu lado.

UPDATE 1 (25 febrero 2026): Plot twist - Avatel lo quito gratis

Dos dias despues de escribir este post, Pascual llamo a Avatel. No para darse de baja. Solo para preguntar.

"Oye, tengo CG-NAT y en el contrato no aparece. Necesito IP publica."

Respuesta del operador: "Ya esta. Te lo quitamos ahora mismo."

Ni 20 euros al mes. Ni permanencia. Ni formularios. Una llamada de 3 minutos.

$ curl ifconfig.me
89.32.87.143

IP publica real. Ya no es 10.233.98.99. Avatel tenia CG-NAT activado por defecto. No porque cobrasen por quitarlo (esos 20 EUR/mes resultaron ser para IP fija, no para IP publica). Simplemente no lo desactivaban salvo que lo pidieras.

Leccion: a veces el muro que te bloquea es de carton. Llama antes de montar workarounds.

UPDATE 2 (26 febrero 2026): Plot twist del plot twist - El router es una carcel

IP publica conseguida. CG-NAT eliminado. Victoria, no? No.

El router Huawei EG8147X6 que te pone Avatel tiene el usuario de administracion capado. Te dan un usuario llamado "Epuser" que puede ver el estado de la conexion, cambiar la WiFi... y poco mas. Las opciones de port forwarding, DMZ y firewall requieren el usuario "telecomadmin", que esta bloqueado por el ISP.

Resultado:

$ ssh [email protected]
ssh: connect to host 89.32.87.143 port 22: Connection timed out

IP publica, si. Pero el ONT tiene un firewall interno que bloquea todo el trafico entrante. Y no te deja cambiarlo. Tienes una puerta a internet con la cerradura soldada.

Lo que intentamos

UPnP: El router acepta las reglas... y las ignora. Bug documentado en ONTs Huawei. El firewall interno tiene prioridad.
DMZ via web UI: Con Epuser la opcion aparece pero no tiene efecto real. Es decoracion.
telecomadmin: Bloqueado. El ISP re-provisiona el ONT via OMCI si intentas resetearlo.

Tres intentos. Tres muros. El operador te da "fibra" pero el equipo que te instalan esta disenado para que no puedas usarla como quieras.

Decision final: Digi

Nos vamos a Digi. Esta vez de verdad. 10 EUR fibra + 1 EUR IP fija = 11 EUR/mes. Con un router que puedes configurar.

Por que no pueden cobrarnos permanencia

Avatel va a intentar cobrarnos penalizacion. Estos son los argumentos legales para que no puedan:

1. CG-NAT no informado en el contrato. Lo tenian activado sin mencionarlo. Eso es modificacion unilateral de las condiciones del servicio. Ley 11/2022 General de Telecomunicaciones, art. 48: derecho a resolver sin penalizacion.

2. Router capado = servicio degradado. Te venden "fibra" pero el equipo que te dan (Huawei EG8147X6 con Epuser) impide configurar port forwarding, DMZ o firewall. No puedes usar el servicio que contrataste de forma completa. Eso es una limitacion tecnica impuesta unilateralmente.

3. Aunque quitaron el CG-NAT, el servicio sigue degradado. IP publica si, pero el ONT bloquea trafico entrante y no te dan acceso de administrador para cambiarlo. Es como venderte un coche y soldar el capo para que no puedas ver el motor.

4. No es lo que contrataste. "Fibra optica" implica conectividad a internet. Conectividad a internet implica poder recibir y enviar trafico. Si solo puedes enviar, eso es medio servicio.

El guion actualizado para la llamada

"Quiero la baja sin penalizacion. Razones: primero, teniais CG-NAT activo sin informar en el contrato. Segundo, aunque lo quitasteis, el router que me habeis instalado tiene el usuario de administracion bloqueado y no permite configurar port forwarding ni DMZ. Tengo IP publica pero no puedo recibir trafico entrante. El servicio esta degradado por una limitacion tecnica que vosotros imponeis. Segun el articulo 48 de la Ley 11/2022 de Telecomunicaciones, tengo derecho a resolver el contrato sin penalizacion ante modificaciones unilaterales de las condiciones del servicio."

Si insisten: "Dadme el numero de referencia. Si no se resuelve en un mes, presentare reclamacion ante la OAUT."

La moraleja actualizada

El CG-NAT no es el unico problema. Aunque lo quiten, muchos operadores capan los routers para que no puedas hacer nada util con tu conexion. Antes de contratar, pregunta tres cosas:

Voy a tener IP publica?
Puedo administrar el router con acceso completo?
Puedo usar mi propio router?

Si la respuesta a cualquiera es "no", busca otro operador. La ley esta de tu lado para irte sin pagar.

UPDATE 3 (26 febrero 2026): Radiografia completa - asi es nuestra red

Despues de tres dias peleando con CG-NAT, routers capados y firewalls fantasma, hemos decidido parar y hacer lo que deberiamos haber hecho desde el principio: mapear toda la infraestructura.

Nuestro agente de seguridad (Chema) se conecto a todas las maquinas, escaneo puertos, reviso interfaces, y produjo este diagrama. Es la primera vez que tenemos vision completa de toda la red.

La topologia

                                +--------------+
                                |   INTERNET   |
                                +--+--------+--+
                                   |        |
              ISP Campo (WiMAX)    |        |    ISP Avatel (GPON)
              178.237.131.234      |        |    89.32.87.143
              campo.zapto.org      |        |    (dinamica, sin CG-NAT)
                                   |        |
          +------------------------+        +-----------------------------+
          |  ROUTER CAMPO (DD-WRT) |        |  ONT PISO (Huawei EG8147X6)|
          |  192.168.2.1           |        |  192.168.18.1              |
          |  Port Fwd:             |        |  [!] admin BLOQUEADO       |
          |   :2222 -> aurin:22    |        |  [!] Port fwd IMPOSIBLE    |
          |   :25565 -> Minecraft  |        |  [!] UPnP ignorado         |
          +--------+---------------+        +---+-----------+------------+
                   |                            |           |
   RED CAMPO 192.168.2.0/24          RED PISO 192.168.18.0/24
                   |                       |          |          |
   +---------------+---+    +-------------++  +------+-----+  +-+----------+
   | AURIN (PROD)      |    | VESPINO      |  | MACBOOK    |  | retropie   |
   | 192.168.2.147     |    | .18.16       |  | .18.12     |  | .18.17     |
   | Xeon x2, 128GB    |    | Headless     |  | Intel 2016 |  | RPi        |
   | RTX 2060          |    | WiFi only    |  | Movil      |  +------------+
   |                   |    |              |  +------------+
   | SSH(:2222 ext)    |    | :80 Cohete   |
   | Minecraft(:25565) |    | :22 SSH      |
   | n8n(:5678)        |    | :3306 MySQL  |
   | Ollama(:11434)    |    | :2283 Immich |
   | Syncthing         |    | :5432 PgSQL  |
   | Sunshine          |    | :2049 NFS    |
   | xmrig (Monero)    |    | Syncthing    |
   | Docker (Vocento)  |    |              |
   | CrowdSec          |    | Cloudflare   |
   | VM Ivanti (VPN)   |    | Tunnel ->    |
   +-------------------+    | pascualmg.dev|
                            | CrowdSec     |
                            +--------------+

Dos redes, un problema

Tenemos dos ubicaciones fisicas:

Campo (192.168.2.0/24): Donde esta aurin, la maquina de produccion. Conectada via WiMAX con IP publica y DDNS (campo.zapto.org). Router DD-WRT con port forwarding real. Aqui todo funciona.
Piso (192.168.18.0/24): Donde esta vespino (servidor) y el macbook. Fibra Avatel con IP publica pero router capado. Aqui nada entra.

Vespino sirve pascualmg.dev via Cloudflare Tunnel (que funciona perfecto porque es trafico saliente). Pero cualquier servicio que necesite trafico entrante directo (Stremio, SSH por IP, P2P) esta muerto.

Los tunnels que nos salvan (y los que faltan)

SSH:
  [internet] --> campo.zapto.org:2222 --> aurin:22   (port forward real)
  [internet] --> ssh.pascualmg.dev --> Cloudflare --> vespino:22  (tunnel)

HTTP:
  [internet] --> pascualmg.dev --> Cloudflare --> vespino:80  (tunnel)

Syncthing:  aurin <--> vespino <--> macbook  (p2p cifrado, relay si NAT)

FALTA:
  [internet] --> piso:* --> vespino:*   (BLOQUEADO por router carcel)

El plan: 30 euros y una llamada

La solucion no es cambiar de ISP. Es poner el ONT en modo bridge y meter un router de verdad detras.

Comprar un router OpenWrt (~30 EUR). Un Xiaomi AX3000T. WiFi 6, gigabit, y el router mas flasheado del mundo con OpenWrt. Control total por SSH.
Llamar a Avatel: "Ponedme el ONT en modo bridge". Misma llamada gratis que nos quito el CG-NAT. En bridge mode el Huawei solo convierte fibra a ethernet y pasa la IP publica directa al router.
Configurar todo por SSH: Port forwarding, firewall, WireGuard para site-to-site entre campo y piso, DDNS. Todo desde la terminal.

La topologia objetivo

          ROUTER CAMPO (DD-WRT)          ONT PISO (BRIDGE MODE)
          192.168.2.1                     Solo fibra -> ethernet
          Port Fwd + WireGuard                    |
                  |                      ROUTER PISO (OpenWrt)
                  |                      192.168.18.1
                  |                      Port Fwd + WireGuard + SSH
                  |                               |
           +------+------+               +-------+-------+
           |   aurin     |               |    vespino    |
           | WireGuard   |<--WireGuard-->| Port fwd REAL |
           | client      |   site2site   | Stremio OK    |
           +-------------+               | Immich OK     |
                                          +---------------+

Con WireGuard site-to-site, las dos redes se ven como una sola. Desde aurin puedes acceder a vespino por IP local y viceversa. Sin tunnels, sin Cloudflare (que sigue como backup/CDN), sin limitaciones.

Moraleja final (por ahora)

El CG-NAT fue el primer muro. El router capado fue el segundo. Pero ninguno es insalvable. Con 30 euros en hardware y control real sobre tu red, puedes tener la infraestructura que quieras. El problema nunca fue tecnico. Fue que el operador no quiere que tengas control.

Siguiente update: cuando tengamos el OpenWrt corriendo y los puertos abiertos de verdad.

Es tu post

Titulo Contenido (HTML)

<h1>CG-NAT: por que tu operador te tiene encerrado (y no te lo dice)</h1>

<p>Ayer intente abrir puertos en mi router para Stremio. DMZ configurado, puertos mapeados, firewall abierto. Nada funcionaba. Despues de horas de debug, la respuesta estaba en una linea del router:</p>

<p>10.x.x.x es una IP privada. Mi operador (Avatel, via Telealhama) me tiene detras de CG-NAT. Comparten una IP publica entre docenas de clientes. Tu router cree que tiene internet, pero esta dentro de otra NAT que no controlas.</p>

<p>CG-NAT (Carrier-Grade NAT) significa que tu router no tiene IP publica. Tiene una IP privada dentro de la red del operador. Consecuencias:</p>
<ul>
<li>Port forwarding no funciona (da igual lo que configures en tu router)</li>
<li>DMZ es inutil</li>
<li>No puedes hacer hosting (web, game server, SSH entrante)</li>
<li>P2P degradado (torrents, Stremio sin peers)</li>
<li>VPNs entrantes imposibles</li>
<li>Algunas apps de videoconferencia fallan</li>
</ul>

<p>Y lo peor: los operadores no te lo dicen al contratar. Te venden "fibra 600Mb" y no mencionan que estas compartiendo IP con medio barrio.</p>

<h1>Como detectar CG-NAT en 10 segundos</h1>

<p>Entra en tu router y mira la IP WAN. Si empieza por:</p>
<ul>
<li><code>10.x.x.x</code> - CG-NAT seguro</li>
<li><code>100.64.x.x</code> a <code>100.127.x.x</code> - CG-NAT (rango reservado para operadores)</li>
<li><code>172.16.x.x</code> a <code>172.31.x.x</code> - CG-NAT probable</li>
<li><code>192.168.x.x</code> - Algo muy raro esta pasando</li>
</ul>

<p>Si tu WAN IP es una de esas, estas detras de CG-NAT. Si es cualquier otra cosa (ej: 83.x.x.x, 212.x.x.x), tienes IP publica.</p>

<h1>Que puedes hacer</h1>

<h2>Opcion 1: Pedir IP publica a tu operador</h2>
<p>Algunos la dan gratis, otros cobran. Avatel cobra 20 EUR/mes. Una estafa.</p>

<h2>Opcion 2: Cambiar de operador</h2>
<p>Operadores en Espana sin CG-NAT o con IP publica barata:</p>

<table>
<thead><tr><th>Operador</th><th>CG-NAT</th><th>IP publica</th><th>Precio fibra</th></tr></thead>
<tbody>
<tr><td>Movistar</td><td>No (IP publica por defecto)</td><td>Incluida</td><td>Desde 30 EUR</td></tr>
<tr><td>O2</td><td>No</td><td>Incluida</td><td>Desde 30 EUR</td></tr>
<tr><td>Digi</td><td>Si, pero IP fija por 1 EUR</td><td>1 EUR/mes</td><td>Desde 10 EUR</td></tr>
<tr><td>Avatel/locales</td><td>Si</td><td>20 EUR/mes</td><td>Variable</td></tr>
<tr><td>MasMovil/Yoigo</td><td>Depende zona</td><td>Variable</td><td>Desde 25 EUR</td></tr>
</tbody>
</table>

<h2>Opcion 3: Workarounds</h2>
<ul>
<li><strong>Real-Debrid</strong> (3 EUR/mes): Para Stremio/torrents. Los servidores de RD descargan por ti y te hacen streaming directo. Funciona detras de CG-NAT.</li>
<li><strong>Cloudflare Tunnel</strong>: Para hosting web. Tunel saliente que expone tu servicio sin necesitar IP publica.</li>
<li><strong>Tailscale/ZeroTier</strong>: Para SSH y acceso remoto. Red overlay que atraviesa NAT.</li>
</ul>

<h1>Nuestra decision: Digi</h1>

<p>Nos vamos a Digi. 10 EUR fibra + 1 EUR IP fija + 7 EUR TV = 18 EUR/mes. IP fija (no dinamica, FIJA) por 1 euro. Tres meses de permanencia. Comparado con Avatel que cobra 20 EUR solo por quitarte el CG-NAT...</p>

<p>Digi TV tiene 120+ canales, se puede ver en el PC via navegador (midigi.digimobil.es). No es lo mejor del mundo pero por 7 EUR esta bien.</p>

<p>Instalacion hecha. IP fija confirmada. Adios CG-NAT, adios Avatel.</p>

<h1>BONUS: Guion legal para darte de baja de tu operador con permanencia</h1>

<p>Si tu operador te metio CG-NAT sin informarte y ahora te pide penalizacion por irte, esto es lo que tienes que saber:</p>

<h2>El argumento legal</h2>

<p>La <strong>Ley 11/2022 General de Telecomunicaciones</strong> es clara: si el operador modifica las condiciones del contrato de forma unilateral, el usuario tiene derecho a <strong>darse de baja sin penalizacion</strong>, aunque tenga permanencia.</p>

<p>CG-NAT es una degradacion del servicio. Cuando contrataste "fibra", la expectativa razonable es tener una IP publica (que es como ha funcionado internet desde siempre). Meterte detras de CG-NAT sin avisar es una modificacion unilateral de las condiciones.</p>

<h2>Paso a paso: la llamada</h2>

<p><strong>1. Llama y pide la baja.</strong> Di esto:</p>
<blockquote>"Quiero darme de baja del servicio de fibra. He descubierto que teneis CG-NAT activo en mi linea y no se me informo de esta limitacion al contratar. Esto supone una modificacion de las condiciones del servicio."</blockquote>

<p><strong>2. Si te dicen que hay penalizacion por permanencia:</strong></p>
<blockquote>"Segun la Ley 11/2022 General de Telecomunicaciones, cuando el operador modifica las condiciones del contrato de forma unilateral, el usuario tiene derecho a resolver el contrato anticipadamente sin penalizacion. CG-NAT limita el servicio contratado y no fui informado. Exijo la baja sin penalizacion."</blockquote>

<p><strong>3. Si insisten:</strong></p>
<blockquote>"Necesito el numero de referencia de esta reclamacion. Si no se resuelve en 1 mes, presentare reclamacion ante la Oficina de Atencion al Usuario de Telecomunicaciones (OAUT) del Ministerio de Asuntos Economicos."</blockquote>

<p><strong>4. Si siguen sin ceder:</strong></p>
<ul>
<li>Pide el numero de referencia de la reclamacion (estan <strong>obligados</strong> a dartelo)</li>
<li>Espera 1 mes a que respondan</li>
<li>Si no responden o te deniegan, ve a: <a href="https://usuariosteleco.digital.gob.es/reclamaciones/telefonia-e-internet">OAUT - Reclamaciones</a></li>
<li>Rellena el formulario online, adjunta el numero de referencia</li>
<li>La OAUT suele resolver a favor del usuario en estos casos</li>
</ul>

<h2>Datos clave que necesitas</h2>
<ul>
<li><strong>Tu IP WAN</strong>: la que sale en el router (10.x.x.x = prueba de CG-NAT)</li>
<li><strong>Fecha de contratacion</strong>: para demostrar que no te informaron</li>
<li><strong>Captura del router</strong>: mostrando la IP privada en WAN</li>
<li><strong>Numero de referencia</strong>: el que te den al reclamar</li>
</ul>

<h2>Argumentos extra si te ponen pegas</h2>
<ul>
<li>"CG-NAT impide el uso de servicios P2P, VPN entrante, hosting, y aplicaciones que requieren conectividad punto a punto"</li>
<li>"El articulo 48 de la Ley 11/2022 establece el derecho a la resolucion del contrato ante modificaciones contractuales"</li>
<li>"No aparece ninguna mencion a CG-NAT ni a restricciones de IP en mi contrato original"</li>
<li>"Otros operadores ofrecen IP publica incluida en el servicio basico"</li>
</ul>

<p>En mi experiencia: con solo mencionar la OAUT suelen ceder. Los operadores no quieren reclamaciones porque les cuestan dinero en gestion y multas.</p>

<h1>Moraleja</h1>

<p>Antes de contratar fibra, pregunta: "voy a tener IP publica?". Si te dicen que no, o no saben contestarte, huye. Y si ya estas dentro y descubres CG-NAT, tienes derecho a irte sin pagar penalizacion. La ley esta de tu lado.</p>

<hr>

<h1>UPDATE 1 (25 febrero 2026): Plot twist - Avatel lo quito gratis</h1>

<p>Dos dias despues de escribir este post, Pascual llamo a Avatel. No para darse de baja. Solo para preguntar.</p>

<blockquote>"Oye, tengo CG-NAT y en el contrato no aparece. Necesito IP publica."</blockquote>

<p>Respuesta del operador: <strong>"Ya esta. Te lo quitamos ahora mismo."</strong></p>

<p>Ni 20 euros al mes. Ni permanencia. Ni formularios. Una llamada de 3 minutos.</p>

<pre><code>$ curl ifconfig.me
89.32.87.143</code></pre>

<p>IP publica real. Ya no es <code>10.233.98.99</code>. Avatel tenia CG-NAT activado por defecto. No porque cobrasen por quitarlo (esos 20 EUR/mes resultaron ser para IP <em>fija</em>, no para IP publica). Simplemente no lo desactivaban salvo que lo pidieras.</p>

<p>Leccion: a veces el muro que te bloquea es de carton. Llama antes de montar workarounds.</p>

<hr>

<h1>UPDATE 2 (26 febrero 2026): Plot twist del plot twist - El router es una carcel</h1>

<p>IP publica conseguida. CG-NAT eliminado. Victoria, no? No.</p>

<p>El router Huawei EG8147X6 que te pone Avatel tiene el usuario de administracion <strong>capado</strong>. Te dan un usuario llamado "Epuser" que puede ver el estado de la conexion, cambiar la WiFi... y poco mas. Las opciones de <strong>port forwarding, DMZ y firewall</strong> requieren el usuario "telecomadmin", que esta bloqueado por el ISP.</p>

<p>Resultado:</p>

<pre><code>$ ssh passh@89.32.87.143
ssh: connect to host 89.32.87.143 port 22: Connection timed out</code></pre>

<p>IP publica, si. Pero el ONT tiene un firewall interno que bloquea todo el trafico entrante. Y no te deja cambiarlo. Tienes una puerta a internet con la cerradura soldada.</p>

<h2>Lo que intentamos</h2>

<ul>
<li><strong>UPnP</strong>: El router acepta las reglas... y las ignora. Bug documentado en ONTs Huawei. El firewall interno tiene prioridad.</li>
<li><strong>DMZ via web UI</strong>: Con Epuser la opcion aparece pero no tiene efecto real. Es decoracion.</li>
<li><strong>telecomadmin</strong>: Bloqueado. El ISP re-provisiona el ONT via OMCI si intentas resetearlo.</li>
</ul>

<p>Tres intentos. Tres muros. El operador te da "fibra" pero el equipo que te instalan esta disenado para que no puedas usarla como quieras.</p>

<h2>Decision final: Digi</h2>

<p>Nos vamos a Digi. Esta vez de verdad. 10 EUR fibra + 1 EUR IP fija = 11 EUR/mes. Con un router que puedes configurar.</p>

<h2>Por que no pueden cobrarnos permanencia</h2>

<p>Avatel va a intentar cobrarnos penalizacion. Estos son los argumentos legales para que no puedan:</p>

<p><strong>1. CG-NAT no informado en el contrato.</strong> Lo tenian activado sin mencionarlo. Eso es modificacion unilateral de las condiciones del servicio. <strong>Ley 11/2022 General de Telecomunicaciones, art. 48</strong>: derecho a resolver sin penalizacion.</p>

<p><strong>2. Router capado = servicio degradado.</strong> Te venden "fibra" pero el equipo que te dan (Huawei EG8147X6 con Epuser) impide configurar port forwarding, DMZ o firewall. No puedes usar el servicio que contrataste de forma completa. Eso es una <strong>limitacion tecnica impuesta unilateralmente</strong>.</p>

<p><strong>3. Aunque quitaron el CG-NAT, el servicio sigue degradado.</strong> IP publica si, pero el ONT bloquea trafico entrante y no te dan acceso de administrador para cambiarlo. Es como venderte un coche y soldar el capo para que no puedas ver el motor.</p>

<p><strong>4. No es lo que contrataste.</strong> "Fibra optica" implica conectividad a internet. Conectividad a internet implica poder recibir y enviar trafico. Si solo puedes enviar, eso es medio servicio.</p>

<h2>El guion actualizado para la llamada</h2>

<blockquote>"Quiero la baja sin penalizacion. Razones: primero, teniais CG-NAT activo sin informar en el contrato. Segundo, aunque lo quitasteis, el router que me habeis instalado tiene el usuario de administracion bloqueado y no permite configurar port forwarding ni DMZ. Tengo IP publica pero no puedo recibir trafico entrante. El servicio esta degradado por una limitacion tecnica que vosotros imponeis. Segun el articulo 48 de la Ley 11/2022 de Telecomunicaciones, tengo derecho a resolver el contrato sin penalizacion ante modificaciones unilaterales de las condiciones del servicio."</blockquote>

<p>Si insisten: <strong>"Dadme el numero de referencia. Si no se resuelve en un mes, presentare reclamacion ante la OAUT."</strong></p>

<h2>La moraleja actualizada</h2>

<p>El CG-NAT no es el unico problema. Aunque lo quiten, muchos operadores capan los routers para que no puedas hacer nada util con tu conexion. Antes de contratar, pregunta tres cosas:</p>

<ol>
<li>Voy a tener IP publica?</li>
<li>Puedo administrar el router con acceso completo?</li>
<li>Puedo usar mi propio router?</li>
</ol>

<p>Si la respuesta a cualquiera es "no", busca otro operador. La ley esta de tu lado para irte sin pagar.</p>

<hr>

<h1>UPDATE 3 (26 febrero 2026): Radiografia completa - asi es nuestra red</h1>

<p>Despues de tres dias peleando con CG-NAT, routers capados y firewalls fantasma, hemos decidido parar y hacer lo que deberiamos haber hecho desde el principio: <strong>mapear toda la infraestructura</strong>.</p>

<p>Nuestro agente de seguridad (Chema) se conecto a todas las maquinas, escaneo puertos, reviso interfaces, y produjo este diagrama. Es la primera vez que tenemos vision completa de toda la red.</p>

<h2>La topologia</h2>

<h2>Dos redes, un problema</h2>

<p>Tenemos dos ubicaciones fisicas:</p>

<ul>
<li><strong>Campo</strong> (192.168.2.0/24): Donde esta aurin, la maquina de produccion. Conectada via WiMAX con IP publica y DDNS (campo.zapto.org). Router DD-WRT con port forwarding real. <strong>Aqui todo funciona.</strong></li>
<li><strong>Piso</strong> (192.168.18.0/24): Donde esta vespino (servidor) y el macbook. Fibra Avatel con IP publica pero router capado. <strong>Aqui nada entra.</strong></li>
</ul>

<p>Vespino sirve pascualmg.dev via Cloudflare Tunnel (que funciona perfecto porque es trafico saliente). Pero cualquier servicio que necesite trafico entrante directo (Stremio, SSH por IP, P2P) esta muerto.</p>

<h2>Los tunnels que nos salvan (y los que faltan)</h2>

<pre><code>SSH:
  [internet] --&gt; campo.zapto.org:2222 --&gt; aurin:22   (port forward real)
  [internet] --&gt; ssh.pascualmg.dev --&gt; Cloudflare --&gt; vespino:22  (tunnel)

HTTP:
  [internet] --&gt; pascualmg.dev --&gt; Cloudflare --&gt; vespino:80  (tunnel)

Syncthing:  aurin &lt;--&gt; vespino &lt;--&gt; macbook  (p2p cifrado, relay si NAT)

FALTA:
  [internet] --&gt; piso:* --&gt; vespino:*   (BLOQUEADO por router carcel)</code></pre>

<h2>El plan: 30 euros y una llamada</h2>

<p>La solucion no es cambiar de ISP. Es <strong>poner el ONT en modo bridge y meter un router de verdad detras</strong>.</p>

<ol>
<li><strong>Comprar un router OpenWrt</strong> (~30 EUR). Un Xiaomi AX3000T. WiFi 6, gigabit, y el router mas flasheado del mundo con OpenWrt. Control total por SSH.</li>
<li><strong>Llamar a Avatel</strong>: "Ponedme el ONT en modo bridge". Misma llamada gratis que nos quito el CG-NAT. En bridge mode el Huawei solo convierte fibra a ethernet y pasa la IP publica directa al router.</li>
<li><strong>Configurar todo por SSH</strong>: Port forwarding, firewall, WireGuard para site-to-site entre campo y piso, DDNS. Todo desde la terminal.</li>
</ol>

<h2>La topologia objetivo</h2>

<p>Con WireGuard site-to-site, las dos redes se ven como una sola. Desde aurin puedes acceder a vespino por IP local y viceversa. Sin tunnels, sin Cloudflare (que sigue como backup/CDN), sin limitaciones.</p>

<h2>Moraleja final (por ahora)</h2>

<p>El CG-NAT fue el primer muro. El router capado fue el segundo. Pero ninguno es insalvable. Con 30 euros en hardware y control real sobre tu red, puedes tener la infraestructura que quieras. El problema nunca fue tecnico. Fue que el operador no quiere que tengas control.</p>

<p>Siguiente update: cuando tengamos el OpenWrt corriendo y los puertos abiertos de verdad.</p>

Estas seguro? Esto no se puede deshacer.

Comentarios (0)

Sin comentarios todavia. Se el primero!

CG-NAT: por que tu operador te tiene encerrado (y no te lo dice)

Que es CG-NAT y por que te jode

Como detectar CG-NAT en 10 segundos

Que puedes hacer

Opcion 1: Pedir IP publica a tu operador

Opcion 2: Cambiar de operador

Opcion 3: Workarounds

Nuestra decision: Digi

BONUS: Guion legal para darte de baja de tu operador con permanencia

El argumento legal

Paso a paso: la llamada

Datos clave que necesitas

Argumentos extra si te ponen pegas

Moraleja

UPDATE 1 (25 febrero 2026): Plot twist - Avatel lo quito gratis

UPDATE 2 (26 febrero 2026): Plot twist del plot twist - El router es una carcel

Lo que intentamos

Decision final: Digi

Por que no pueden cobrarnos permanencia

El guion actualizado para la llamada

La moraleja actualizada

UPDATE 3 (26 febrero 2026): Radiografia completa - asi es nuestra red

La topologia

Dos redes, un problema

Los tunnels que nos salvan (y los que faltan)

El plan: 30 euros y una llamada

La topologia objetivo

Moraleja final (por ahora)

Es tu post

Comentarios (0)

Deja un comentario