Adaptador de red NAT

Buenas Theliel​,

Gracias por la explicación detallada. Entiendo perfectamente lo que comentas sobre IPSec/L2TP y sus limitaciones históricas en entornos NAT, y no discuto que técnicamente sea un protocolo antiguo ni que existan alternativas más modernas como WireGuard u OpenVPN.

No obstante, creo que hay que separar el origen técnico del problema de la realidad del usuario final.

Mi escenario es el siguiente:

• Conexión de fibra Movistar con router GPT‑2742GX4X5
• Uso de máquinas virtuales (VirtualBox / VMware) con adaptador de red en modo NAT
• Conexión a VPN corporativa proporcionada por la empresa (IPSec/L2TP)

En otros operadores y con otros routers esta misma configuración funciona sin incidencias, mientras que con el router de Movistar el comportamiento es inestable o directamente no funcional. Por tanto, aunque el protocolo tenga limitaciones conocidas, el problema práctico aparece únicamente con este equipo en concreto.

Evidentemente, como usuaria:

• No tengo capacidad de decidir ni modificar el tipo de VPN corporativa
• No puedo cambiar la infraestructura de la empresa
• Lo único que puedo cambiar es el equipo de acceso que me proporciona el operador

Por ese motivo, desde el punto de vista del cliente, el problema sí se percibe como un problema del router, independientemente de que la causa última esté relacionada con NAT, passthrough o con cómo se implementan esos “helpers”.

Entiendo que no haya obligación de soportar todos los escenarios, pero en un contexto actual de teletrabajo, virtualización y acceso remoto, este tipo de configuraciones no son casos raros o marginales.

Mi objetivo con el hilo no es discutir si IPSec/L2TP es el mejor protocolo posible, sino entender por qué con el router de Movistar esta configuración falla cuando con otros equipos funciona, y qué alternativas reales ofrece Movistar al cliente (otro equipo, modo bridge real, compatibilidad mejorada, etc.).

Gracias de nuevo por la explicación técnica.

Buenas Itzi76​ 

Como te dije en mi primera respuesta, sigo sin entender bien tu escenario y que es lo que te da problemas cuando hablas de máquinas virtuales y adaptador de red NAT. 

Tal como además dije en el post que citas, si ese fuese el caso, no es ninguna limitación NAT, es el resultado de usar un protocolo obsoleto como IPSec/L2TP, el cual no se creó para ser usado en entornos NAT. Estos hacen uso de protocolos como AH y ESP que son enemigos número uno de NAT. Hasta tal punto que para que puedan ser usados obliga a los fabricantes de Router a tener que implementar literalmente parches sucios para que funcionen, y no son universales. Es decir, que dependiendo de la implementación de este "parche", de la VPN que use el usuario, de las condiciones de la red... puede funcionar o no. De echo te insto a buscar información de ello en Internet si es que es tu caso (Si se usa IPSec/L2TP, como se cita en el otro hilo), solo tienes que buscar en Google problemas con IPSec/L2TP y NAT... tendrás probablemente miles de entradas. Todo ello precisamente está explicado en dicho post cual es el problema... y no es el Router.

Si ese fuese tu problema, que repito no lo sé puesto que en ningún momento detallas el tipo de VPN que usáis, el problema no sería tanto y cuanto de configuración del servidor VPN de la empresa, sino de usar protocolos VPN obsoletos, que son más que bien conocidos de dar problemas de conexión en entornos NAT

Esto se puede solucionar con otro Router? A veces sí, a veces no. Como ya he dicho para que pueda usarse L2TP/IPSec detrás de NAT, el fabricante del Router tiene que implementar parches sucios para que pueda funcionar. Pero como he dicho no son universales, ni funcionan en todos los entornos, cada uno es diferente. Además, el fabricante ni siquiera tiene obligación de implementarlos, porque de echo no es bueno tenerlos, es un problema de seguridad en los Router, por defecto todos los suelen tener deshabilitados estos "ayudantes" o passthrough como los llaman.

En ese Router en particular, el gpt-2742gx4x5, así como su hermano el GPT-2841GX4X5, pues tengo ambos en diferentes residencias, en el pasado he logrado llegar a realizar conexiones por L2TP/IPSec, pero repito que depende enormemente de cada entorno, equipo...

Simplemente, resulta a día de hoy totalmente incomprensible que una red siga usando a día de hoy protocolos VPN como IPSec/L2TP teniendo alternativas desde hace más de 20 años como OpenVPN (superior en todo pero algo más lento), o la maravilla en absolutamente todo como WireGuard, que tiene ya más de 10 años. A diferencia de los viejos protocolos, WireGuard u OpenVPN no requieren absolutamente nada para funcionar correctamente (cuidado con el MTU como quier VPN). Los clientes no requiere lidiar ni saber nada de NAT, y los servidores únicamente un puerto en escucha. WIreGuard en particular es mucho más rápido que IPSec/L2TP, más seguro, más versátil... más todo. OpenVPN es extremadamente flexible, pero es verdad que la velocidad depende de las prestaciones del servidor VPN, si es muy viejo irá más lento que IPSec/L2TP por lo general.

Saludos.

Hola Alejandra,

Esta confirmado con el departsmento de IT de mi empresa, es mas soy la cuarta persona cliente de movistar de mie.presa que le pasa esto, en concreto con el router mitrastar, a mis compañeros les han indicado que es el router el que da esos problemas porque suelen tener restricciones de NAT y al cambiarselo les funciona todo. Que solucion dais?, porque vuelvo a repetir que con el departamento de IT de mi empresa se ha mirado todo y varias veces. Y lo que veo es que desde movistar no se me esta dando ninguna solucion, es mas en esta misma cominidad ya en el 2024 habia personas con este problema, asi que se ve que no es problema ni mio ni del departamento de IT de mi empresa.

Ver en esta comunidad "JoseMi5

Más integrado que la RDSI 24-02-2024

No puedo acceder VPN trabajo (router mitrastar gpt-2742gx4x5 v6)". Resuelvan el problema

Hola Itzi76 

Con los datos que nos indicas, confirmamos que la conexión de Movistar y el router funcionan correctamente, ya que la navegación es normal en distintos dispositivos cuando no se utiliza la VPN. Esto descarta una incidencia en la línea o en el acceso a internet.

El comportamiento que describes al conectar FortiClient es coherente con una configuración del túnel VPN que fuerza todo el tráfico a pasar por la VPN (sin split tunneling). En estos casos, si el servidor VPN no permite salida a internet o no asigna correctamente DNS o rutas, la navegación se pierde aunque la conexión local esté operativa.

Adicionalmente, en conexiones domésticas como la tuya, el uso de VPN corporativas puede verse afectado por:

• Ajustes de MTU dentro del túnel VPN.
• Políticas de seguridad del servidor FortiGate.
• Restricciones para conexiones detrás de NAT.

Desde nuestra parte no detectamos bloqueos ni limitaciones en el router que impidan el uso de este tipo de VPN, por lo que no sería necesaria una intervención técnica sobre la línea. Te recomendamos trasladar esta información al departamento de IT de tu empresa para que revisen la configuración de FortiClient / FortiGate (rutas, DNS y MTU).

Quedamos a tu disposición si necesitas alguna aclaración adicional.

Un saludo, Alejandra. 

Hola Sebastian,

Con cualquier dispositivo se puede navegar con normalidad SIN VPN.

Si aparece una direccion del tipo 192.168.x.x

La VPN que uso es FortiClient

Un saludo, 

Itzi

Hola Itzi76 

Agradecemos a Theliel por sus aportes a la Comunidad.

Gracias por la información adicional. Por lo que comentas, vemos que no puedes navegar ni con la VPN activada ni sin ella, tanto por WiFi como por cable. Esto indica que hay un problema, pero todavía no es posible determinar si está en el router, en tu equipo o en la configuración de la propia VPN, así que necesitamos recopilar algunos datos más para ayudarte.

Para empezar, prueba a conectar otro dispositivo (un móvil u otro ordenador) a la red WiFi del router, sin activar ninguna VPN, y verifica si puede navegar con normalidad. Esto nos permitirá saber si el problema afecta solo a tu equipo o a toda la red.

También sería útil que revises si tu ordenador está obteniendo una dirección IP correctamente. Si usas Windows, abre el Símbolo del sistema y escribe: "ipconfig"

Dinos si aparece una dirección del tipo 192.168.x.x. Si tienes instalado antivirus o firewall de terceros, prueba a desactivarlo temporalmente. En ocasiones pueden bloquear el tráfico, afectando tanto a la navegación normal como a las conexiones VPN.

Por último, indícanos el tipo de VPN que utilizas (PPTP, L2TP/IPSec, SSL, OpenVPN, FortiClient, GlobalProtect, Cisco AnyConnect, etc.), ya que algunos protocolos más antiguos pueden comportarse de forma inestable cuando se usan detrás de NAT.

Con estos datos podremos orientarte mejor y ayudarte a resolverlo lo antes posible. Estamos atentos para seguir contigo.

Un saludo, Sebastián.

Hola,

Despues de hacer las comprobaciones puedo decirles lo siguiente:

          Funciona Internet:

                  - Desde otro dispositivo (datos móviles)  con VPN conectada y SIN conectar la VPN.

         No funciona:

                 - Con la VPN conectada y por Wifi

                 - Sin la VPN y por Wifi

                 - Después de reiniciar el router (con la VPN conectada y sin conectar)

                - Con cable (con la VPN conectada y sin conectar)

Espero que se pueda solucionar porque no puedo trabajar.

Por último os confirmo que mi teléfono fijo es el 94****605.

Un saludo,

Buenas Itzi76​ 

Exactamente que te refieres acceder a una VM via NAT a través de una VPN?? Es decir, doy por sentado que usas tu conexión doméstica con Movistar para usar una VPN, y dicha VPN te conecta a.... una VM? Por otro lado, que tipo de VPN es?

El problema real que existen con las VPN son dos:

1º. Cuando se usan protocolos VPN muy arcaicos, como pueda ser PPTP o L2TP/IPSec. Estos pueden dar muchos problemas usarlos con conexiones domesticas, dado que estos protocolos no fueron diseñados para usarse detrás de NAT (Tu Router hace NAT en tu casa para que puedas tener conexión en todos tus dispositivos). Tal es así que dependiendo del fabricante tienen que implementar lo que llaman ayudantes o passthrough específicos para este tipos de protocolos no amigables. El problema es que ni son universales, ni funcionan en todos los escenarios, ni los fabricantes tienen por qué implementarlo

2º. El segundo problema común es una mala configuración por parte de los gestores de la VPN, ya sea en el lado servidor o el lado cliente, con el MTU. Muchas veces usan valores por defecto que dan por sentado que la conexión usará siempre 1500Bytes, y esto no es así. Esto provoca enormes problemas a cualquier conexión que use otro valor. Movistar por ejemplo, al usar una conexión PPPoE requiere por ende un MTU de 1492. En condiciones normales no pasa absolutamente nada porque el Router reporta estos datos por así decirlo. Pero cuando creas un tunel que es tráfico encapsulado dentro de tráfico normal, tienes que tener mucho cuidado de no encapsular más bytes de los que puedes llevar, o el paquete se descarta.

Saludos.

Hola Itzi76 

Gracias por contactarnos. Vamos a revisar juntos algunas comprobaciones iniciales que suelen resolver este tipo de incidencias cuando se utiliza una VPN y acceso por NAT a máquinas virtuales:

• Por favor, reinicia el router apagándolo durante 30 segundos y encendiéndolo nuevamente. Esto permite refrescar las tablas de rutas y el servicio NAT.
• Comprueba si el comportamiento es el mismo conectando el equipo por cable al router. Así descartamos problemas del WiFi.
• Antes de conectarte a la VPN, confirma si la navegación funciona correctamente en tu equipo.
  Luego conecta la VPN y verifica si el acceso a internet falla solo dentro de la máquina virtual o también fuera de ella.
• Si tienes posibilidad, intenta conectar la VPN desde otro dispositivo o desde una conexión distinta (por ejemplo, compartiendo datos desde el móvil).
  Esto nos ayuda a determinar si la incidencia está en la configuración del router o en el propio servicio VPN.

Si tras estas pruebas sigues sin poder acceder a internet desde tu máquina virtual, para poder hacerlo, ¿nos confirmas si el número de teléfono fijo registrado en tu contrato es el 94****605? Con este dato podremos analizar tu caso más en detalle y ayudarte de forma más precisa. Quedamos atentos para continuar contigo.

Un saludo, Sebastián.