Para combater o esgotamento do endereço IPv4, o RFC 6598 foi implantado.

A ideia é usar o espaço de endereço 100.64.0.0/10 compartilhado dentro da rede da operadora e executar o NAT no roteador de borda da operadora para um IP público ou intervalo de IP público.

Devido à natureza dessa configuração, também é chamada de NAT444.

Detalhes do CGNAT:

• É feita à distribuição de portas, para cada cliente (ip privado) você reserva 1000 (mil) portas para ele navegar de uma forma minimamente satisfatória.
• Como um IP suporta cerca de 65 mil conexões (portas), assim atribuímos 64 clientes (as primeiras 1000 portas ficam reservadas por serem portas baixas)
• Se você colocar mais de 64 clientes por ip certamente terá problemas com a navegação dos clientes, sendo que alguns podem vir a usar mais portas que outros.
• Quantos menos clientes por IP melhor será a conexão dos clientes.
• Só é possível fazer CGNAT com no mínimo um IP fixo.

Esse “mapeamento de portas” também é usado como base para fazer o LOG, ou seja:

– Você define que aquele IP sempre saia por aquele range de portas, sabendo assim qual ip foi quando solicitarem a identificação de algum usuário (se passarem a porta).

Porém essa identificação depende de muitos fatores que costumam dar problema, exemplo:
– ip dinâmico no pppoe
– troca de regras
– ips públicos
– sistema gestão

Desvantagens do CGNAT:

A vantagem do NAT444 é óbvia: menos endereços IPv4 públicos são usados. Mas essa técnica apresenta desvantagens:

• O roteador do provedor que executa o CGNAT precisa manter uma tabela de estado para todas as traduções de endereços: isso requer muitos recursos de memória e CPU.
• Problemas de jogos de console. Alguns jogos falham quando dois assinantes usando o mesmo endereço IPv4 público externo tentam se conectar.
• O rastreamento de usuários por motivos legais significa registro extra, já que várias famílias ficam atrás de um endereço público.
• Qualquer coisa que requeira conexões de entrada é interrompida.
• Alguns servidores da web permitem apenas um número máximo de conexões do mesmo endereço IP público, como um meio de conter ataques DoS como inundações de SYN. Com o CGNAT, esse limite é atingido com mais frequência e alguns serviços podem ser de baixa qualidade

Duplo NAT:

Outro problema muito comum em provedores é a Aplicação Dupla de NAT, ou até tripla ou mesmo quadrupla (4 Nats), isso é comum mas pode ser evitado ou minimizado da seguinte maneira:

• Deixar o roteador da operadora ou provedor que te fornece o link em bridge fazendo a autenticação direto no mikrotik.
• Desativar NAT de outros concentradores mikrotiks, deixando o NAT somente no roteador mikrotik da borda
• Colocar a autenticação do seu cliente no roteador dele, não deixar na ONU ou antena.