Foro

Avatar de Tercian
Tercian
Más integrado que la RDSI
14-01-2023
Resuelto

Bloqueo tráfico wireguard en HGU Askey RTF8115VW

Hola,   Recientemente he dado de alta una nueva línea de fibra y me han instalado un router HGU Askey RTF8115VW.   Con la configuración de fábrica me resulta imposible conectarme a dos servidores...
RTF8115vW
Wireguard
  • Avatar de Theliel
    Theliel
    22-01-2023

    Buenas Tercian 

     

    El problema es que por lo general no hay fragmentación, los paquetes simplemente se descartan por el siguiente nodo. Puedes hacer la prueba de forma sencilla lanzando wireshark e intentando enviar un ping mayor de 1464, verás que enviarlo lo envía, pero no hay contestación alguna:

     

    ping -l 1465 google.es

     

    1464 es la longitud máxima de un ping para conexiones pppoe: 1464 + 8 cabecera ICMP + 20 cabecera IP = 1492

     

    A día de hoy prácticamente todos los Router y muchos de red tienen deshabilitada la fragmentación IP, cuando un paquete excede los 1500Bytes, generalmente se descarta. Esto no suele ser ningún problema, dado que se controla a nivel de MSS, y todos los Router actuales suelen tener una regla interna que intercepta todos los paquetes SYN para sobreescribir el MTU correcto. Con lo que a efectos prácticos no suele existir ningún problema.

     

    El problema no obstante aparece por lo general en los túneles, porque el túnel si tiene que saber cual es el tamaño de "frame tunelado" que va a llevar. Si este excede, en el caso de WireGuard, los 1420 (IPv6) o los 1440 (ipv4), el paquete que se envía no va a llegar.

     

    Hay que tener en cuenta que muchos de los paquetes son menores, con lo que da igual que PPPoE se coma 8, porque no se va a exceder. Pero muchos otros paquetes sí, y por ende l rendimiento y conexión va a ir mal en el mejor de los casos. Por seguridad, siempre es recomendado bajar el MTU del túnel para curarse uno en salud. Además, eso solo teniendo en cuenta las conexiones PPPoE, pueden darse orígenes o destinos con MTU diferentes, menores, y dado que el MTU para el túnel está prefijado, dará igualmente problemas. Es decir, que no solo se trata ya del cliente que está detrás de tu Router, sino del que está al otro lado.

Avatar de Theliel
Theliel
Yo probé el VDSL
15-01-2023

Buenas Tercian 

 

Pues muy probablemente sea un problema de configuración, o del cliente o del servidor Wireguard. Una de las enormes ventajas que tiene WG, las cuales en parte comparte con OpenVPN, es que tan solo se requiere un puerto (para quien actúa de servidor), que además es UDP. No requiere protocolos exóticos o problemáticos con NAT, como es PPTP o IPSec/L2TP. WireGuard es más simple que un chupo, usado como cliente, no hay nada que pueda bloquear el Router, el Router tan solo ve tráfico UDP, que bien podría ser de WireGuard o de cualquier aplicación. El tráfico VPN va encapsulado dentro de UDP.

 

Al igual que si fuese un tunel PPTP/IPSec si te diría que se requiere de un soporte especial por parte del Router, aquí no ese el caso, sino funciona es un problema de configuración, ni más ni menos, y no precisamente del Router.

 

Personalmente, donde pienso que estará el problema? Pues probablemente donde un gran porcentaje la pifia, con el MTU. El servidor/cliente estarán negociando un MTU del túnel (creo recordar que por defecto WireGuard lo establece en 1420) que rompe el MTU del frame Ethernet por exceso, por no tener en cuenta la conexión PPPoE. Así que, y suponiendo un MTU en WG de 1420, habría que bajar el MTU del servidor/cliente un buen trozo más, como mínimo a 1412.

 

En cualquier caso como digo el Router no puede bloquear nada relativo a WG porque para él no hay nada que pueda bloquear.

 

Saludos.

 

Avatar de Tercian
Tercian
Más integrado que la RDSI
21-01-2023

Hola,

 

Muchas gracias por tu respuesta Theliel.

 

Efectivamente, el MTU por defecto de Wireguard es de 1420. Lo curioso es que utilizamos estos VPN a nivel laboral, y no yo ni ninguno de mis compañeros hemos tenido nunca ningún problema con la configuración por defecto. Es más, estoy seguro de que muchos de nosotros salimos  con PPPoE y hemos podido utilizarlos siempre sin inconvenientes.

 

En los últimos días y tras reiniciar el router parece que funciona correctamente. Sigo con la configuración de MTU por defecto (1420), lo cual me genera curiosidad por entender por qué durante unos días dejo de funcionar en mi red y luego se recuperó sin realizar ninguna modificación.

 

Quizás esté completamente equivocado, pero desde el desconocimiento supongo que un MTU de 1420 produce fragmentación de paquetes cuando viaja a través de PPPoE, pero nada mas que eso.

 

En cualquier caso creo que este no es el lugar donde discutir estos temas tan técnicos, y como se ha solucionado la incidencia, aunque no se muy bien como, doy este problema por resuelto.

 

Si vuelve a suceder seguiré investigando y volveré a escribir por aquí.

 

Gracias

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    25-01-2023

    Hola Tercian.

     

    Comprobamos que has dado como solución aceptada. Por nuestra parte procedemos al cierre de este hilo. Para cualquier duda o consulta, ya sabes dónde encontrarnos.

     

    Un saludo.

     

    Angela.

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    23-01-2023

    Hola Tercian.

     

    ¿Podrías confirmarnos si ha quedado resuelta tu consulta con la información facilitada por Theliel, al que agradecemos su aportación, por favor? 

     

    Un saludo. 

     

    Angela.

     

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    22-01-2023

    Buenas Tercian 

     

    El problema es que por lo general no hay fragmentación, los paquetes simplemente se descartan por el siguiente nodo. Puedes hacer la prueba de forma sencilla lanzando wireshark e intentando enviar un ping mayor de 1464, verás que enviarlo lo envía, pero no hay contestación alguna:

     

    ping -l 1465 google.es

     

    1464 es la longitud máxima de un ping para conexiones pppoe: 1464 + 8 cabecera ICMP + 20 cabecera IP = 1492

     

    A día de hoy prácticamente todos los Router y muchos de red tienen deshabilitada la fragmentación IP, cuando un paquete excede los 1500Bytes, generalmente se descarta. Esto no suele ser ningún problema, dado que se controla a nivel de MSS, y todos los Router actuales suelen tener una regla interna que intercepta todos los paquetes SYN para sobreescribir el MTU correcto. Con lo que a efectos prácticos no suele existir ningún problema.

     

    El problema no obstante aparece por lo general en los túneles, porque el túnel si tiene que saber cual es el tamaño de "frame tunelado" que va a llevar. Si este excede, en el caso de WireGuard, los 1420 (IPv6) o los 1440 (ipv4), el paquete que se envía no va a llegar.

     

    Hay que tener en cuenta que muchos de los paquetes son menores, con lo que da igual que PPPoE se coma 8, porque no se va a exceder. Pero muchos otros paquetes sí, y por ende l rendimiento y conexión va a ir mal en el mejor de los casos. Por seguridad, siempre es recomendado bajar el MTU del túnel para curarse uno en salud. Además, eso solo teniendo en cuenta las conexiones PPPoE, pueden darse orígenes o destinos con MTU diferentes, menores, y dado que el MTU para el túnel está prefijado, dará igualmente problemas. Es decir, que no solo se trata ya del cliente que está detrás de tu Router, sino del que está al otro lado.