Bloqueo tráfico wireguard en HGU Askey RTF8115VW

Hola,

Recientemente he dado de alta una nueva línea de fibra y me han instalado un router HGU Askey RTF8115VW.

Con la configuración de fábrica me resulta imposible conectarme a dos servidores de Wireguard como cliente. Los servidores están situados en localizaciones distintas usando puertos diferentes.

Desde el mismo ordenador conectado a otra red puedo conectarme a ambos sin problemas.

He probado a enviar y recibir tráfico UDP (cliente en mi máquina, servidor remoto) y funciona perfectamente.

Parece que hay algo bloqueando o filtrando este tipo de tráfico que solo sucede con este router.

¿Qué puedo hacer?

RTF8115vW

Wireguard

Theliel
22-01-2023
Buenas Tercian

El problema es que por lo general no hay fragmentación, los paquetes simplemente se descartan por el siguiente nodo. Puedes hacer la prueba de forma sencilla lanzando wireshark e intentando enviar un ping mayor de 1464, verás que enviarlo lo envía, pero no hay contestación alguna:

ping -l 1465 google.es

1464 es la longitud máxima de un ping para conexiones pppoe: 1464 + 8 cabecera ICMP + 20 cabecera IP = 1492

A día de hoy prácticamente todos los Router y muchos de red tienen deshabilitada la fragmentación IP, cuando un paquete excede los 1500Bytes, generalmente se descarta. Esto no suele ser ningún problema, dado que se controla a nivel de MSS, y todos los Router actuales suelen tener una regla interna que intercepta todos los paquetes SYN para sobreescribir el MTU correcto. Con lo que a efectos prácticos no suele existir ningún problema.

El problema no obstante aparece por lo general en los túneles, porque el túnel si tiene que saber cual es el tamaño de "frame tunelado" que va a llevar. Si este excede, en el caso de WireGuard, los 1420 (IPv6) o los 1440 (ipv4), el paquete que se envía no va a llegar.

Hay que tener en cuenta que muchos de los paquetes son menores, con lo que da igual que PPPoE se coma 8, porque no se va a exceder. Pero muchos otros paquetes sí, y por ende l rendimiento y conexión va a ir mal en el mejor de los casos. Por seguridad, siempre es recomendado bajar el MTU del túnel para curarse uno en salud. Además, eso solo teniendo en cuenta las conexiones PPPoE, pueden darse orígenes o destinos con MTU diferentes, menores, y dado que el MTU para el túnel está prefijado, dará igualmente problemas. Es decir, que no solo se trata ya del cliente que está detrás de tu Router, sino del que está al otro lado.

7 Respuestas

Técnico-Movistar
Responsable Técnico
25-01-2023
Hola Tercian.

Comprobamos que has dado como solución aceptada. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.

Un saludo.

Angela.
Técnico-Movistar
Responsable Técnico
23-01-2023
Hola Tercian.

¿Podrías confirmarnos si ha quedado resuelta tu consulta con la información facilitada por Theliel, al que agradecemos su aportación, por favor?

Un saludo.

Angela.
Theliel
Yo probé el VDSL
22-01-2023
Buenas Tercian

El problema es que por lo general no hay fragmentación, los paquetes simplemente se descartan por el siguiente nodo. Puedes hacer la prueba de forma sencilla lanzando wireshark e intentando enviar un ping mayor de 1464, verás que enviarlo lo envía, pero no hay contestación alguna:

ping -l 1465 google.es

1464 es la longitud máxima de un ping para conexiones pppoe: 1464 + 8 cabecera ICMP + 20 cabecera IP = 1492

A día de hoy prácticamente todos los Router y muchos de red tienen deshabilitada la fragmentación IP, cuando un paquete excede los 1500Bytes, generalmente se descarta. Esto no suele ser ningún problema, dado que se controla a nivel de MSS, y todos los Router actuales suelen tener una regla interna que intercepta todos los paquetes SYN para sobreescribir el MTU correcto. Con lo que a efectos prácticos no suele existir ningún problema.

El problema no obstante aparece por lo general en los túneles, porque el túnel si tiene que saber cual es el tamaño de "frame tunelado" que va a llevar. Si este excede, en el caso de WireGuard, los 1420 (IPv6) o los 1440 (ipv4), el paquete que se envía no va a llegar.

Hay que tener en cuenta que muchos de los paquetes son menores, con lo que da igual que PPPoE se coma 8, porque no se va a exceder. Pero muchos otros paquetes sí, y por ende l rendimiento y conexión va a ir mal en el mejor de los casos. Por seguridad, siempre es recomendado bajar el MTU del túnel para curarse uno en salud. Además, eso solo teniendo en cuenta las conexiones PPPoE, pueden darse orígenes o destinos con MTU diferentes, menores, y dado que el MTU para el túnel está prefijado, dará igualmente problemas. Es decir, que no solo se trata ya del cliente que está detrás de tu Router, sino del que está al otro lado.
Tercian
Más integrado que la RDSI
21-01-2023
Hola,

Muchas gracias por tu respuesta Theliel.

Efectivamente, el MTU por defecto de Wireguard es de 1420. Lo curioso es que utilizamos estos VPN a nivel laboral, y no yo ni ninguno de mis compañeros hemos tenido nunca ningún problema con la configuración por defecto. Es más, estoy seguro de que muchos de nosotros salimos con PPPoE y hemos podido utilizarlos siempre sin inconvenientes.

En los últimos días y tras reiniciar el router parece que funciona correctamente. Sigo con la configuración de MTU por defecto (1420), lo cual me genera curiosidad por entender por qué durante unos días dejo de funcionar en mi red y luego se recuperó sin realizar ninguna modificación.

Quizás esté completamente equivocado, pero desde el desconocimiento supongo que un MTU de 1420 produce fragmentación de paquetes cuando viaja a través de PPPoE, pero nada mas que eso.

En cualquier caso creo que este no es el lugar donde discutir estos temas tan técnicos, y como se ha solucionado la incidencia, aunque no se muy bien como, doy este problema por resuelto.

Si vuelve a suceder seguiré investigando y volveré a escribir por aquí.

Gracias
Técnico-Movistar
Responsable Técnico
17-01-2023
Hola Tercian

No hemos tenido respuesta tuya en unos días, entendemos que ya no tienes más consultas. Si no es así, o tienes cualquier duda/incidencia estamos a tu disposición.

Un saludo.

Fernando.
Técnico-Movistar
Responsable Técnico
15-01-2023
Hola Tercian

Gracias por remitirnos tu consulta y bienvenido a la Comunidad Movistar. Agradecemos a Tercian su colaboración.

Esperamos que su aportación te haya servido de ayuda.

Un saludo.

Fernando.
Theliel
Yo probé el VDSL
15-01-2023
Buenas Tercian

Pues muy probablemente sea un problema de configuración, o del cliente o del servidor Wireguard. Una de las enormes ventajas que tiene WG, las cuales en parte comparte con OpenVPN, es que tan solo se requiere un puerto (para quien actúa de servidor), que además es UDP. No requiere protocolos exóticos o problemáticos con NAT, como es PPTP o IPSec/L2TP. WireGuard es más simple que un chupo, usado como cliente, no hay nada que pueda bloquear el Router, el Router tan solo ve tráfico UDP, que bien podría ser de WireGuard o de cualquier aplicación. El tráfico VPN va encapsulado dentro de UDP.

Al igual que si fuese un tunel PPTP/IPSec si te diría que se requiere de un soporte especial por parte del Router, aquí no ese el caso, sino funciona es un problema de configuración, ni más ni menos, y no precisamente del Router.

Personalmente, donde pienso que estará el problema? Pues probablemente donde un gran porcentaje la pifia, con el MTU. El servidor/cliente estarán negociando un MTU del túnel (creo recordar que por defecto WireGuard lo establece en 1420) que rompe el MTU del frame Ethernet por exceso, por no tener en cuenta la conexión PPPoE. Así que, y suponiendo un MTU en WG de 1420, habría que bajar el MTU del servidor/cliente un buen trozo más, como mínimo a 1412.

En cualquier caso como digo el Router no puede bloquear nada relativo a WG porque para él no hay nada que pueda bloquear.

Saludos.

Foro

Bloqueo tráfico wireguard en HGU Askey RTF8115VW

7 Respuestas

Contenido relacionado

ACTUALIZAR ROUTER RTF8115VW

Abrir puertos Askey RTF8115VW

Microcortes en el modem Askey RTF8115VW.