Corrigir Double NAT em redes domésticas

O que é NAT e por que o “Double NAT” causa problemas

NAT (Network Address Translation) converte o endereço IP público que seu provedor (ISP) fornece em endereços IP privados usados na sua rede local. O dispositivo que faz essa tradução normalmente é o roteador.

Double NAT acontece quando há dois dispositivos realizando NAT na mesma cadeia — por exemplo, um modem/roteador do ISP conectado a um roteador pessoal. Cada um traduz endereços de forma independente, criando duas redes privadas distintas. Isso pode bloquear comunicações diretas, complicar regras de encaminhamento de portas, atrapalhar QoS e dificultar o uso de VPNs, consoles e dispositivos de automação residencial.

Importante: NAT por si só não é problemático; o problema ocorre quando duas camadas de tradução coexistem e não há coordenação entre elas.

Impacto prático do Double NAT

• Dificuldade para abrir portas (port forwarding) e usar UPnP corretamente.
• Conexões de jogos online com matchmaking travado ou incapacidade de hospedar partidas.
• Problemas em VPNs que esperam mapear portas/endereços.
• QoS pode deixar de funcionar porque a política não é aplicada ao tráfego externo na camada errada.
• Dispositivos smart home podem perder comunicação direta com a nuvem ou entre si.

Faixa de IPs privados — caixa de referência

• 10.0.0.0 — 10.255.255.255
• 172.16.0.0 — 172.31.255.255
• 192.168.0.0 — 192.168.255.255

Se os dois primeiros saltos em um traceroute mostram endereços dentro dessas faixas, provavelmente há Double NAT.

Como detectar Double NAT no Windows

Siga estes passos para verificar se existe Double NAT a partir de um PC Windows:

1. Abra o menu Iniciar e digite “cmd”.
2. Execute o Prompt de Comando como administrador (pressione Ctrl + Shift + Enter).
3. Execute o comando abaixo para rastrear a rota até um IP público conhecido (ex.: DNS do Google):

tracert 8.8.8.8

4. Observe a lista de “hops” (saltos). Se os primeiros dois saltos exibirem endereços IP privados (conforme a caixa de referência acima), é um forte indício de Double NAT.

Nota: se apenas o primeiro salto for privado e os seguintes públicos, provavelmente não há Double NAT.

Outras formas de detectar problemas relacionados

• Console de jogos: muitos consoles mostram o tipo de NAT (Aberto/Moderado/Restrito). Moderado ou Restrito pode indicar Double NAT.
• Página de administração do roteador: verifique o tipo de WAN (se o IP WAN está em uma faixa privada, provavelmente o roteador está atrás de outro NAT).
• Verifique o IP público no painel do seu roteador e compare com um serviço online (por exemplo, “qual é meu IP”). Se o IP exibido no roteador for privado e o serviço online mostrar outro IP, há NAT adicional a montante.

Causas comuns de Double NAT

• Você conectou seu roteador pessoal à porta LAN de um modem/roteador do ISP.
• O ISP entrega um gateway com roteador integrado e DHCP ativo, e você adicionou outro roteador com NAT.
• Uso simultâneo de roteador 4G/5G e um roteador doméstico.
• Redes corporativas ou CGNAT no ISP que adicionam camadas extras de tradução.

Como corrigir Double NAT — métodos e passos

A seguir, as soluções mais comuns. Escolha a que melhor se aplica ao seu cenário.

1) Remover um roteador (solução mais simples)

• Desconecte o roteador secundário e use apenas o roteador do ISP ou apenas o seu roteador pessoal.
• Se você precisa apenas de Wi‑Fi melhor, considere definir o roteador secundário como ponto de acesso (AP) conectando-o via porta LAN→LAN e desativando o DHCP nele.

Vantagem: simples; desvantagem: pode reduzir controle/recursos se você abrir mão do roteador mais capaz.

2) Usar o roteador do ISP apenas como modem (modo bridge)

• Alguns dispositivos do ISP aceitam alternar para “modo bridge” ou “modo passthrough”.
• Ative o modo bridge no equipamento do ISP para que ele repasse o IP público diretamente para seu roteador pessoal (o ISP pode exigir reinicialização).

Passos gerais:

1. Faça login no painel do gateway do ISP (endereços comuns: 192.168.0.1 ou 192.168.1.1).
2. Procure por “Bridge mode”, “Pass-through” ou “IP Passthrough”.
3. Ative e salve as configurações; conecte a porta WAN do seu roteador pessoal à porta LAN do gateway.

Importante: alguns ISPs controlam o modo bridge e podem não disponibilizar essa opção ao usuário. Contate o suporte do ISP se necessário.

3) Colocar o roteador do ISP em DMZ para o seu roteador pessoal

• DMZ encaminha todo o tráfego não solicitado para um endereço IP específico na sua rede, essencialmente expondo esse dispositivo.
• Configure um IP estático no seu roteador secundário e coloque esse IP na configuração DMZ do roteador/ gateway do ISP.

Passos:

1. Configure um IP estático no roteador secundário (fora do pool DHCP do roteador do ISP).
2. No painel do gateway do ISP, localize a opção DMZ e insira o IP estático do seu roteador secundário.
3. Salve e reinicie os dispositivos se necessário.

Atenção: DMZ expõe o dispositivo alvo a tráfego externo; mantenha firewall e atualizações ativas.

4) Usar UPnP ou encaminhamento de portas (quando não for possível bridge/DMZ)

• UPnP pode automatizar o mapeamento de portas, mas nem sempre funciona através de duas camadas de NAT.
• Se você depende apenas de portas específicas (por exemplo, para um servidor de jogos), faça o port forwarding em ambos os roteadores (WAN→LAN do primeiro e WAN→LAN do segundo).

5) Alternativas avançadas

• Configurar o roteador secundário em modo “Access Point” (AP) e desativar NAT/DHCP neste dispositivo.
• Se o ISP usa CGNAT (Carrier-Grade NAT), contate o ISP para solicitar um IP público ou plano diferente; soluções locais podem não resolver.

Quando cada método falha (contraexemplos)

• Bridge mode indisponível: muitos gateways proprietários não permitem alteração pelo usuário.
• DMZ insegura: em ambientes que exigem proteção rígida, colocar um roteador em DMZ pode violar políticas de segurança.
• Port forwarding duplicado: se você encaminhar portas apenas no roteador interno sem ajustar o externo, a comunicação ainda falhará.

Playbook passo a passo (SOP rápido)

1. Identifique: rode tracert 8.8.8.8 e verifique saltos privados.
2. Determine topologia: quantos equipamentos entre a tomada e seus dispositivos? (modem do ISP, roteador pessoal, extensor, etc.)
3. Se possível, simplifique removendo o roteador extra.
4. Se precisa de dois equipamentos, tente colocar o gateway do ISP em bridge.
5. Se bridge indisponível, configure DMZ para o roteador secundário ou modo AP.
6. Teste conectividade (reboot, tracert, teste de partidas online/VPN).
7. Se persistir, contate o ISP — pode ser CGNAT ou configuração da WAN do provedor.

Checklist por função

• Usuário doméstico (não técnico): Verifique se há dois dispositivos com luzes WAN/LAN. Se sim, tente conectar apenas a um.
• Gamer: Verifique tipo de NAT no console; prefira bridge ou DMZ para alcançar NAT Aberto.
• Administrador de rede: Confirme topologia, roteamento estático se necessário, e mantenha registros de IPs estáticos e portas encaminhadas.

Fluxo de decisão (Mermaid)

flowchart TD
  A[Detectar problema] --> B{tracert mostra dois IPs privados no topo?}
  B -- Sim --> C{Você pode alterar configuração do gateway do ISP?}
  B -- Não --> Z[Problema não é Double NAT — investigar outros motivos]
  C -- Sim --> D[Ativar Bridge Mode no gateway]
  C -- Não --> E{Pode usar DMZ ou modo AP?}
  E -- DMZ --> F[Configurar DMZ para roteador secundário com IP estático]
  E -- AP --> G[Configurar roteador secundário como Access Point 'LAN→LAN, DHCP off']
  D --> H[Testar conectividade e jogos]
  F --> H
  G --> H
  H --> I{Problema resolvido?}
  I -- Sim --> J[Fim]
  I -- Não --> K[Contactar ISP — possível CGNAT ou suporte avançado]

Glossário rápido (1 linha cada)

• NAT: Tradução de endereços entre IP público e IPs privados.
• Bridge Mode: Modo em que um roteador atua apenas como modem, sem NAT.
• DMZ: Área que encaminha todo tráfego externo a um IP interno.
• CGNAT: NAT aplicado pelo provedor, limita a atribuição de IPs públicos.

Segurança e privacidade

• Ao usar DMZ ou bridge, mantenha o firmware atualizado e senhas fortes.
• Evite expor dispositivos diretamente à internet sem firewall ativo.

Critérios de aceitação (Kriterii priemki)

• Tracert de 8.8.8.8 mostra apenas um salto privado antes do primeiro IP público.
• Jogos e serviços que antes apresentavam NAT Restrito agora mostram NAT Aberto ou funcionam corretamente.
• Portas necessárias abrem corretamente depois de aplicar a solução escolhida.

Problemas que não são Double NAT (galeria de casos de borda)

• Latência alta por congestionamento do link.
• Perda de pacotes por cabo defeituoso ou interferência Wi‑Fi.
• Configurações de firewall locais bloqueando tráfego.

Resumo e próximos passos

Double NAT costuma ser resolvido simplificando a topologia (removendo um roteador) ou alterando o gateway do ISP para bridge/DMZ. Sempre faça backup das configurações antes de alterar firmware e, se o provedor usar CGNAT, envolva o suporte técnico do ISP. Teste com tracert e nos consoles para confirmar a solução.

Esperamos que este guia tenha ajudado. Se quiser, posso gerar um checklist imprimível ou comandos adicionais para macOS/Linux e exemplos de configuração para modelos de roteador comuns.