"Úgy gondolom: ügyfél CGNAT mögött van, én elvileg a fix IP-vel nem."
Itt hibázol.
A te fix* IP-d csak a Digi hálózatán kívül létezik, az eszközöd továbbra is CGNAT-olt IP-vel rendelkezik, a Digi tudja azt, hogy hogyan kell átfordítania.
Hogy egy egyszerű NAT példánál maradjunk.
Van neked egy hálózatod, ami egy interfésszel csatlakozik a publikus internethez. Ezen hálózat mögött van 100 géped, és van hozzá 2 publikus IP címed. Majd beállítod arra az egy interfészre, hogy mindkét IP címre hallgasson, és az egyik címen bejövő bármilyen kérést NAT-oljon el a hálózaton lévő 100 gép közül az egyikre.
Ekkor tekintheted úgy, mintha annak az egy gépnek lenne publikus internetcíme, pedig nincs. Ugyanolyan NAT-olt magánhálózati címe van, mint a többi 99 gépnek, csak épp megkap minden csomagot, ami egy publikus címre szól.
Viszont amikor a NAT-olt hálózatban lévő 100 gép beszélget egymással, ugyanúgy a magánhálózati címeket használják, afelé a gép felé is, aki felé a publikus címre szóló csomagok is szólnak.
CGNAT mögött vagy, de a Digi hálózatába X IP címre érkező csomagokat te megkapod. Olyan, mintha lenne egy publikus címed.
*szokjunk már le arról, hogy fix IP-nek nevezünk egy publikus IP címet. Egy magánhálózati, NAT-olt cím is lehet fix, csak épp nem publikus.