CGNAT (Carrier-Grade NAT) e uma tecnica em que o provedor de internet faz NAT antes de entregar trafego ao usuario, compartilhando um unico IP publico entre dezenas ou centenas de assinantes. A faixa reservada para isso e 100.64.0.0/10, definida pela RFC 6598.

O que e CGNAT

Q: Como saber se estou em CGNAT?

Se o IP exibido nesta pagina estiver na faixa 100.64.0.0 a 100.127.255.255, voce esta em CGNAT. Outra forma: compare o IP publico desta pagina com o IP de WAN do seu roteador - se forem diferentes, ha NAT adicional do provedor.

Q: CGNAT afeta jogos online?

Sim. CGNAT resulta em NAT tipo "Estrito" ou "Moderado" em consoles e jogos que dependem de conectividade direta (peer-to-peer). Isso afeta matchmaking, latencia e recursos de hospedagem de partidas em jogos como FIFA, GTA Online e outros.

Q: Posso sair do CGNAT no Brasil?

Alguns provedores brasileiros oferecem IP fixo dedicado como servico pago (geralmente R$ 10-30/mes adicionais). Alem disso, a Anatel exigiu em 2022 que provedores oferecessem opcao sem CGNAT para clientes que solicitassem, com base na obrigacao de transparencia do Marco Civil.

Q: CGNAT e ilegal no Brasil?

Nao. CGNAT e uma tecnica tecnicamente valida para conservar enderecos IPv4. A questao legal gira em torno da obrigacao de log: a Lei 12.965/2014 exige que provedores registrem IP de saida, porta e timestamp para permitir identificacao judicial do usuario em caso de investigacao.

O que e CGNAT: RFC 6598, faixa 100.64.0.0/10, NAT compartilhado pelo provedor, impacto em jogos e hospedagem no Brasil, e como saber se voce esta em CGNAT.

CGNAT (Carrier-Grade NAT) e uma tecnica em que o proprio provedor de internet instala um segundo NAT antes de entregar o acesso ao usuario, permitindo que dezenas de assinantes compartilhem um unico endereco IP publico. A faixa reservada para esse enlace entre provedor e assinante e 100.64.0.0/10, definida pelo RFC 6598 em abril de 2012. No Brasil, mais de 60% dos usuarios residenciais de fibra optica ja estao atras de CGNAT sem saber, o que explica por que jogos ficam com NAT Estrito, hospedagem caseira nao funciona e VPNs domesticas sao impossiveis sem pagar por IP dedicado.

Neste artigo

O que e CGNAT: definicao tecnica e RFC 6598
Por que o CGNAT surgiu: esgotamento do IPv4
Como o CGNAT funciona na pratica
Impactos praticos do CGNAT para o usuario
CGNAT no Brasil: regulamentacao, provedores e Anatel
Como detectar e contornar o CGNAT
CGNAT e identificacao juridica: Marco Civil e LGPD
Perguntas frequentes

O que e CGNAT: definicao tecnica e RFC 6598

CGNAT (Carrier-Grade NAT), tambem chamado Large-Scale NAT (LSN) ou NAT444, e um mecanismo de traducao de enderecos IP operado pelo provedor de internet em escala de operadora. O RFC 6598 (abril de 2012, IETF) formalizou a faixa 100.64.0.0/10 (de 100.64.0.0 a 100.127.255.255) exclusivamente para o enlace entre o equipamento do provedor e o CPE (Customer Premises Equipment) do assinante.

No modelo tradicional sem CGNAT, o provedor atribui ao roteador do assinante um endereco IP publico unico, roteavel globalmente na internet. Com CGNAT, o provedor atribui ao roteador do assinante um IP na faixa 100.64/10 (privado de uso do provedor) e opera um dispositivo CGNAT no nucleo da rede que traduz essas conexoes para um pool de IPs publicos compartilhados. O resultado e o que tecnicos chamam de NAT444: tres camadas de enderecos (publico, provedor 100.64/10, privado domestico 192.168.x.x) com dois NATs consecutivos.

Por que o CGNAT surgiu: esgotamento do IPv4

O IPv4 tem 2^32 = 4,29 bilhoes de enderecos. Esse numero parecia imenso em 1981, quando o RFC 791 o especificou para uma rede experimental. Nao era. O crescimento explosivo da internet comercial nos anos 1990, seguido pela proliferacao de dispositivos moveis nos anos 2000, consumiu o espaco disponivel muito mais rapido do que qualquer previsao.

O paliativo do NAT domestico e seus limites

A primeira resposta ao problema foi o NAT (Network Address Translation) no nivel do roteador domestico. A RFC 1918 (1996) reservou tres faixas de enderecos para uso privado interno (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Com NAT, um unico IP publico poderia ser compartilhado por todos os dispositivos de uma residencia ou escritorio. Isso expandiu a vida util do IPv4 por duas decadas.

Mas o NAT domestico nao e suficiente quando o proprio numero de conexoes residenciais supera o espaco de IPs publicos disponíveis. Em fevereiro de 2011, o IANA distribuiu os ultimos cinco blocos /8 de IPv4 para os cinco registros regionais. O LACNIC, responsavel pela America Latina, esgotou seu espaco em junho de 2014. Obter novos blocos IPv4 passou a exigir compra no mercado secundario, a precos que chegaram a USD 55-60 por endereco em 2023.

Por que o CGNAT e nao simplesmente IPv6

A solucao estruturalmente correta seria migrar toda a infraestrutura para IPv6, que tem espaco virtualmente ilimitado. O problema e que essa migracao exige atualizacao de equipamentos de rede (roteadores de borda, sistemas de gerenciamento, plataformas de billing), treinamento de equipes e atualizacao de sistemas de monitoramento. Para provedores com milhoes de clientes, o custo e o tempo de transicao sao significativos.

O CGNAT surgiu como solucao de curto prazo que, na pratica, se tornou semi-permanente em grande parte da infraestrutura brasileira. Provedores continuam implantando CGNAT em novas conexoes porque e mais rapido e barato do que um rollout completo de IPv6, mesmo que criie problemas para os usuarios.

CGNAT versus IPv6 nativo: comparativo de solucoes para esgotamento de IPv4
Aspecto	CGNAT	IPv6 nativo
Custo de implantacao	Baixo para o provedor	Alto (atualizacao de infra completa)
Espaco de enderecos	Compartilha IPv4 existente	2^128 enderecos novos
Impacto para o usuario	NAT duplo, sem inbound	IP dedicado, sem NAT
Jogos e P2P	Problemas de NAT Estrito	Funciona normalmente
Hospedagem caseira	Impossivel sem IP dedicado	Possivel com firewall
Identificacao juridica	Exige log de porta (complexo)	IP unico por dispositivo

Como o CGNAT funciona na pratica

O dispositivo CGNAT do provedor (chamado LSN gateway, CGNAT device ou A+P gateway) e um equipamento de rede de alto desempenho que mantem uma tabela de traducao de portas em escala massiva. Pode gerenciar dezenas de milhares de conexoes simultaneas por segundo.

A tabela de traducao de portas

Quando seu computador inicia uma conexao TCP (por exemplo, acessando um site na porta 80), o fluxo de traducao e o seguinte.

Seu dispositivo envia um pacote com origem 192.168.1.5:45231 (seu IP privado local, porta efemera).
Seu roteador domestico faz NAT: substitui por 100.64.12.34:51234 (IP na faixa do provedor, porta mapeada).
O dispositivo CGNAT do provedor faz o segundo NAT: substitui por 200.100.50.10:61234 (IP publico compartilhado, porta final).
O servidor de destino responde para 200.100.50.10:61234.
O CGNAT traduz de volta para 100.64.12.34:51234, e o roteador traduz para 192.168.1.5:45231.

O problema fundamental e o passo de conexoes de entrada. Se um servidor externo (um amigo em um jogo, um cliente de torrent, um servico de VPN) tenta iniciar uma conexao direta para o seu IP publico 200.100.50.10, o CGNAT nao sabe para qual dos dezenas de assinantes redirecionar o trafego de entrada. Sem uma regra de port forwarding no CGNAT (que o usuario nao controla), conexoes de entrada sao bloqueadas.

Port allocation no CGNAT

O RFC 6598 e os documentos complementares (RFC 6264, RFC 7857) descrevem diferentes modelos de alocacao de portas no CGNAT. O modelo mais comum e o PAT (Port Address Translation) dinamico: o CGNAT aloca portas de um pool de 65535 sob demanda. Isso limita quantas conexoes simultaneas um unico IP publico pode suportar: com 64 usuarios compartilhando um IP, cada um tem em media ~1000 portas disponíveis.

Impactos praticos do CGNAT para o usuario

Os impactos variam conforme o uso. Para navegacao web e streaming, o CGNAT e praticamente invisivel. Os problemas aparecem em casos especificos.

Jogos online e NAT tipo Estrito

Consoles e jogos que usam conectividade peer-to-peer (jogador a jogador direta) detectam o tipo de NAT da conexao. PlayStation 4/5 mostra NAT tipo 1 (aberto), tipo 2 (moderado) ou tipo 3 (estrito). Xbox usa Aberto, Moderado ou Estrito. Nintendo Switch usa A, B ou C.

CGNAT geralmente resulta em NAT Estrito (tipo 3 no PlayStation, Estrito no Xbox), que bloqueia funcoes como. Abrir partida privada em jogos como FIFA, GTA Online ou Rocket League. Conectar diretamente com amigos sem passar por servidor intermediario. Algumas funcoes de chat de voz peer-to-peer. O matchmaking via servidor central ainda funciona, mas com latencia maior e em pools menores de jogadores.

Hospedagem caseira e servidores

Qualquer servico que precise aceitar conexoes de entrada (servidor web, servidor de jogos Minecraft, NAS acessivel remotamente, camera IP) e impossivel de hospedar em CGNAT sem ferramentas adicionais. A porta 80 ou 443 do seu roteador nunca sera acessivel externamente porque o CGNAT intercepta o trafego antes.

VoIP e SIP: protocolos que embarcam IPs no payload

O protocolo SIP (Session Initiation Protocol), usado em telefonia VoIP, embarca enderecos IP no corpo das mensagens de sinalizacao. Quando o CGNAT traduz o IP no cabecalho mas nao atualiza o IP dentro do payload SIP, a conexao de audio falha. Esse problema e chamado de "SIP ALG" (Application Layer Gateway) e exige configuracoes especificas no CGNAT para funcionar corretamente com sistemas VoIP legados.

Impactos do CGNAT por tipo de uso
Uso	Impacto com CGNAT	Solucao possivel
Navegacao web / streaming	Nenhum perceptivel	Nao necessaria
Jogos online P2P	NAT Estrito, limitacoes de matchmaking	IP dedicado ou IPv6
Servidor Minecraft / web	Inacessivel externamente	IP dedicado, Cloudflare Tunnel ou ngrok
VPN domestica (WireGuard, OpenVPN)	Nao aceita conexoes de entrada	Tailscale (NAT traversal) ou IP dedicado
Camera IP / NAS remoto	Port forwarding nao funciona	Servicos de tunnel (ZeroTier, Tailscale)
VoIP SIP	Audio pode falhar (SIP ALG)	SIP sobre TLS ou provider com suporte CGNAT
Torrents / P2P	Modo passivo apenas, menos peers	IPv6 (trackers e peers IPv6 funcionam)

CGNAT no Brasil: regulamentacao, provedores e Anatel

O Brasil e um dos paises com maior prevalencia de CGNAT residencial do mundo. Estima-se que acima de 60% dos usuarios de fibra e acima de 80% dos usuarios de internet movel 4G/5G estejam atras de CGNAT atualmente, segundo relatos de provedores e dados de pesquisadores da comunidade NIC.br.

A resposta da Anatel: Ato 14.612 de 2022

Em 2022, a Anatel publicou o Ato 14.612, que exigiu que provedores com mais de 50.000 acessos ativos oferecessem, mediante solicitacao do assinante, uma opcao de acesso sem CGNAT. A opcao pode ser IP publico dedicado ou IPv6 nativo (que elimina a necessidade de NAT).

A implementacao foi irregular. Grandes provedores (Claro, Vivo) passaram a oferecer IP dedicado como servico pago. Provedores menores frequentemente alegam indisponibilidade tecnica ou cobram valores que variam muito. A Anatel nao publicou metricas de conformidade publicas desde a publicacao do ato.

Os principais provedores e CGNAT

Claro (AS28573): CGNAT pesado em conexoes HFC (cabo) e fibra residencial. Oferece IP dedicado pago (R$ 10-20/mes dependendo do plano e regiao). Vivo (AS26599): CGNAT em fibra GPON residencial. IP estatico disponivel em planos empresariais. TIM (AS26615): CGNAT em 4G. Redes 5G em implantacao com IPv6 nativo em algumas cidades. Oi (AS7738): CGNAT variavel, dependente da regiao e do tipo de tecnologia (fibra vs ADSL legado). Provedores regionais de fibra (Desktop, Localnet, Algar AS16735): politicas variaveis; alguns oferecem IP publico por padrao em planos de fibra simetrica.

Como detectar e contornar o CGNAT

Detectar CGNAT e simples. Contornar requer solucoes especificas para cada caso de uso.

Deteccao passo a passo

Acesse a ferramenta Meu IP desta pagina e anote o IP exibido (IP publico visto pelos servidores).
Abra o painel de administracao do roteador (geralmente 192.168.0.1 ou 192.168.1.1) e anote o IP de WAN (Wide Area Network).
Se o IP de WAN do roteador for diferente do IP publico detectado, ha CGNAT. Se o IP de WAN estiver na faixa 100.64.0.0 a 100.127.255.255, a confirmacao e direta: voce esta em CGNAT pela faixa definida pela RFC 6598.

Solucoes por caso de uso

Para jogos: solicitar IP dedicado ao provedor (servico pago, geralmente R$ 10-30/mes) ou verificar se o provedor oferece IPv6 nativo. Em alguns jogos, configurar o console para usar IPv6 resolve o problema de NAT sem custo adicional.

Para servidores domesticos e cameras remotas: ferramentas de tunelamento como Tailscale (gratuito para uso pessoal), ZeroTier ou Cloudflare Tunnel criam redes privadas que atravessam NAT sem precisar de port forwarding. O Tailscale usa o protocolo WireGuard com NAT traversal via servidores de relay, funcionando mesmo em CGNAT triplo.

Para VPN domestica: WireGuard e OpenVPN convencionais nao aceitam conexoes de entrada em CGNAT. A alternativa e usar o modo "server na nuvem + client domestico": contratar um VPS barato (R$ 20-40/mes) com IP publico e fazer o tunel de volta para casa. Ou usar Tailscale, que resolve NAT traversal automaticamente sem VPS.

CGNAT e identificacao juridica: Marco Civil e LGPD

O CGNAT cria um problema juridico sério: o endereco IP publico compartilhado por dezenas de assinantes nao identifica um usuario especifico. Se um crime digital e cometido a partir do IP 200.100.50.10 as 14h32min de uma determinada data, como identificar qual dos 50 assinantes que compartilham esse IP estava conectado naquele momento?

A obrigacao de log de porta

A Lei 12.965/2014 (Marco Civil da Internet), no artigo 13, obriga provedores de conexao a armazenar logs de conexao por um ano. Para conexoes em CGNAT, o log precisa incluir nao apenas o IP publico, mas tambem a porta de traducao usada pelo assinante e o timestamp. Com o par (IP publico + porta + timestamp), e possivel identificar qual assinante especifico (via IP na faixa 100.64/10 ou contrato) realizou uma conexao determinada.

Sem esse log granular, a identificacao e impossivel. O IP publico sozinho nao e suficiente. E por isso que o Marco Civil e tecnicamente preciso ao exigir "registro de data e hora de inicio e termino de cada conexao" e "o numero do porto logico de origem e o numero do porto logico de destino" em conexoes CGNAT.

A tensao com a LGPD

A LGPD (Lei 13.709/2018) classifica o endereco IP como dado pessoal por possibilitar identificacao indireta. Logs de porta CGNAT, que associam IP publico a IP do assinante e porta, sao dados ainda mais sensiveis. Provedores que reteram esses dados por um ano (obrigacao do Marco Civil) precisam tratar essa retencao como processamento de dado pessoal, com base legal (obrigacao legal do Marco Civil) e protecao adequada contra acesso nao autorizado.

Perguntas frequentes sobre o que e CGNAT

O que e CGNAT e como afeta minha conexao?

CGNAT (Carrier-Grade NAT) e um segundo NAT instalado pelo provedor entre a internet e o roteador do assinante. O provedor atribui ao roteador um IP da faixa 100.64.0.0/10 (RFC 6598) e compartilha IPs publicos entre dezenas de clientes. O impacto pratico para a maioria dos usuarios e imperceptivel na navegacao web e streaming. Os problemas aparecem em jogos online (NAT Estrito), hospedagem de servidores domesticos (impossivel sem IP dedicado) e VoIP (possiveis falhas em SIP).

Como saber se estou em CGNAT?

Compare o IP mostrado pela ferramenta Meu IP desta pagina com o IP de WAN do painel do seu roteador (geralmente em 192.168.0.1). Se os dois IPs forem diferentes, ha CGNAT. Se o IP de WAN estiver na faixa 100.64.0.0 a 100.127.255.255, a confirma que o provedor usa a faixa RFC 6598 dedicada para CGNAT.

CGNAT afeta jogos online?

Afeta jogos que usam conectividade peer-to-peer direta entre jogadores. PlayStation 4/5 tipicamente mostra NAT tipo 3 (Estrito) em CGNAT, bloqueando algumas funcoes de multiplayer. Xbox mostra NAT Estrito. Nintendo Switch mostra NAT tipo C. Jogos que usam apenas servidores dedicados (como a maioria dos MMOs) funcionam normalmente. Para resolver em consoles: solicitar IP dedicado ao provedor ou verificar se ha suporte a IPv6 nativo.

Posso sair do CGNAT no Brasil?

Sim, mas geralmente com custo adicional. A Anatel exigiu pelo Ato 14.612 de 2022 que provedores com mais de 50.000 acessos oferecessem opcao sem CGNAT. Claro e Vivo oferecem IP dedicado pago (R$ 10-30/mes dependendo da regiao e plano). Outra opcao e usar provedor que ja oferece IPv6 nativo, que elimina o CGNAT para trafego IPv6. Provedores menores de fibra frequentemente oferecem IP publico por padrao sem custo adicional.

CGNAT e ilegal no Brasil?

Nao. CGNAT e uma tecnica tecnicamente valida para gerenciar o esgotamento de enderecos IPv4. A questao legal gira em torno dos logs: a Lei 12.965/2014 (Marco Civil) exige que provedores em CGNAT armazenem, por um ano, o registro com IP publico, porta de traducao e timestamp para cada conexao de assinante. Isso permite identificacao judicial. Sem esse log granular, seria impossivel rastrear atividades especificas de usuarios compartilhando o mesmo IP publico.

Como hospedar um servidor em casa com CGNAT?

Hospedagem direta via port forwarding nao funciona em CGNAT porque o segundo NAT do provedor bloqueia conexoes de entrada. As alternativas viáveis sao. Tailscale ou ZeroTier: criam redes privadas com NAT traversal automatico, gratuitas para uso pessoal. Cloudflare Tunnel: expoe servicos locais via tunelamento para a nuvem Cloudflare, gratuito para trafego basico. VPS com tunel reverso: contratar um servidor na nuvem com IP publico e fazer port forwarding de volta para casa via SSH ou WireGuard.

Qual e a diferenca entre CGNAT e NAT domestico?

NAT domestico e feito pelo roteador do usuario, traduzindo IPs privados (192.168.x.x) para o IP publico atribuido pelo provedor. CGNAT e um segundo NAT, feito pelo proprio provedor antes de entregar o trafego, traduzindo o IP na faixa 100.64/10 para um IP publico compartilhado por multiplos assinantes. No CGNAT, o usuario tem NAT duplo: o do roteador domestico e o do provedor. Por isso o nome NAT444: tres niveis de espaco de enderecos.

IPv6 resolve o problema do CGNAT?

Em grande parte, sim. Com IPv6 nativo, cada dispositivo recebe um endereco globalmente unico, eliminando a necessidade de NAT. Isso significa que hospedagem caseira, jogos P2P e VoIP funcionam sem restricoes de NAT. O problema e que muitos servidores e servicos ainda nao suportam IPv6. A solucao transitoria e o dual-stack: conexao com IPv4 (possivelmente CGNAT) e IPv6 simultaneos, usando IPv6 quando o destino suporta.

O CGNAT e a realidade invisivel de mais da metade das conexoes residenciais no Brasil. Entender o que e CGNAT ajuda a diagnosticar problemas de NAT em jogos, entender por que hospedagem caseira nao funciona e escolher as alternativas certas. Use a ferramenta Meu IP desta pagina para detectar automaticamente se sua conexao esta em CGNAT e qual e o IP publico sendo usado.

Para o contexto tecnico completo, os artigos sobre o que e IP e o que e IPv6 explicam os fundamentos do endereçamento que tornam o CGNAT necessario. A especificacao oficial do CGNAT esta no RFC 6598 (abril 2012, IETF) e as implicacoes legais no Brasil estao detalhadas na Lei 12.965/2014 (Marco Civil da Internet, Planalto).

Por Equipe SaberMeuIP - revisado por engenharia de rede - ultima atualizacao 13 de maio de 2026

FERRAMENTA

Detectar CGNAT

Ver se seu IP esta em CGNAT (faixa 100.64/10)

Leituras Relacionadas

Claro NET CGNAT —
Diferenca ip publico privado — Diferenca ip publico privado: RFC 1918, faixas reservadas, como funciona o NAT, roteamento e casos de uso de cada tipo de endereco IP na rede brasileira.
O que e IP — O que e IP: entenda o Internet Protocol, a diferenca entre IPv4 e IPv6, IP publico e privado, historia ARPANET e RFC 791. Explicacao completa com exemplos.