Certificado digital con FNMT imposible desde O2

Question

He comprobado que determinados trámites con páginas oficiales acaban en timeout. Es curioso por que es un problema que no observo casi con ninguna otra página.

Puedo hacer ping a esos servidores (el nombre se resuelve correctamente por el dns) pero todo intento de conexión web (por https) falla.

Empiezo a pensar que las IPs de O2 están bloqueadas en algunas de estas páginas: renta, fnmt, citas sanitarias de la CAM, recargar la tarjeta de transportes...

El problema se resuelve accediendo mediante conexión compartida con el móvil (usando el mismo equipo pero accediendo a internet a través del móvil como AP) o usando directamente el móvil. El problema ocurre exclusivamente al acceder desde la conexión de fibra de O2.

Comprobar el problema es muy sencillo, puedo llegar con ping a la siguiente dirección:

# ping apus20.sede.fnmt.gob.es

PING apus20.sede.fnmt.gob.es (193.104.0.137): 56 data bytes

64 bytes from 193.104.0.137: seq=0 ttl=249 time=4.164 ms

En cambio la navegación da timeout:

https://apus20.sede.fnmt.gob.es/

Desde otro operador, esa web redigire a la cert.fnmt.es.

He probado a acceder con varios equipos (linux, windows, android) y a todos les ocurre lo mismo. No es un problema de certificados, ni de dns. Es simplemente que el servidor web no response:

# tcpdump -i pppoe-wan host 193.104.0.137

tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

listening on pppoe-wan, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes

18:18:38.370417 IP 164.red-83-33-120.dynamicip.rima-tde.net.43850 > 193.104.0.137.443: Flags [S], seq 538093136, win 65340, options [mss 1452,sackOK,TS val 790748001 ecr 0,nop,wscale 6], length 0

18:18:39.434430 IP 164.red-83-33-120.dynamicip.rima-tde.net.43850 > 193.104.0.137.443: Flags [S], seq 538093136, win 65340, options [mss 1452,sackOK,TS val 790749066 ecr 0,nop,wscale 6], length 0

18:18:41.514442 IP 164.red-83-33-120.dynamicip.rima-tde.net.43850 > 193.104.0.137.443: Flags [S], seq 538093136, win 65340, options [mss 1452,sackOK,TS val 790751146 ecr 0,nop,wscale 6], length 0

18:18:45.594428 IP 164.red-83-33-120.dynamicip.rima-tde.net.43850 > 193.104.0.137.443: Flags [S], seq 538093136, win 65340, options [mss 1452,sackOK,TS val 790755226 ecr 0,nop,wscale 6], length 0

18:18:54.074428 IP 164.red-83-33-120.dynamicip.rima-tde.net.43850 > 193.104.0.137.443: Flags [S], seq 538093136, win 65340, options [mss 1452,sackOK,TS val 790763706 ecr 0,nop,wscale 6], length 0

# traceroute 193.104.0.137

traceroute to 193.104.0.137 (193.104.0.137), 30 hops max, 46 byte packets

1 * * *

2 17.red-81-46-66.customer.static.ccgg.telefonica.net (81.46.66.17) 2.432 ms 9.red-81-46-66.customer.static.ccgg.telefonica.net (81.46.66.9) 1.713 ms 17.red-81-46-66.customer.static.ccgg.telefonica.net (81.46.66.17) 2.568 ms

3 * * *

4 26.red-81-41-205.staticip.rima-tde.net (81.41.205.26) 1.982 ms 1.868 ms 1.847 ms

5 250.red-80-58-86.staticip.rima-tde.net (80.58.86.250) 1.428 ms 1.667 ms 1.576 ms

6 202.red-193-152-59.static.ccgg.telefonica.net (193.152.59.202) 3.763 ms 3.531 ms 3.514 ms

7 193.104.0.137 (193.104.0.137) 4.104 ms 3.469 ms 2.933 ms

¿Se podría comprobar si es un problema generalizado a todos los usuarios de O2 y tomar medidas para solucionarlo?

dtorres · Answer

ChatGPT me recomienda que añada esto a mi mensaje anterior:No hay respuesta TCP hacia 193.104.0.137 puerto 443.Se observan SYN retransmitidos sin SYN/ACK.Eso lo entiende nivel 2.

Técnico-Movistar · Answer

Hola dtorres&nbsp;
&nbsp;
Te agradecemos la información detallada que nos estás proporcionando. En este caso, aunque se comparte infraestructura de red y funcionamiento, la atención al cliente y el soporte técnico de cada marca (Movistar y O2) se gestionan de forma independiente. El equipo de O2 cuenta con acceso a las herramientas, sistemas y gestiones específicas de sus clientes, lo que les permite analizar tu caso en detalle y aplicar las soluciones necesarias. Por nuestra parte, no tenemos acceso a los servicios ni a las configuraciones de O2, por lo que no podemos realizar las revisiones técnicas correspondientes. Por ello, te recomendamos que contactes con el servicio de atención al cliente de O2 en el número 1551. De esta forma podrán revisar tu servicio y ayudarte a resolver los problemas de navegación que estás experimentando.
Esperamos que esta información te sea de ayuda y que tu incidencia se resuelva lo antes posible.
&nbsp;
Muchas gracias por participar en la Comunidad.
&nbsp;
Un saludo, Tatiana.

Theliel · Answer

Buenas ​ dtorres​&nbsp;
Tal como te dicen, por diferentes cuestiones este foro es para clientes de Movistar España, no para clientes de O2. Aun con todo, y dado que la infraestructura es la misma, debería por ende afectar por igual, en general.
¿Que pueda estar pasando? Varias cosas, pero lo más probable es que simplemente tengas un problema de MTU o un problema con el timestamp, porque en esencia es lo que explica todo lo que te sucede. Explica por qué funciona perfectamente un tracert/ping, por qué no hay respuestas ACK,&nbsp;
-En primer lugar, elimina deshabilita el envío de timestamps, por lo que veo usas tu propio Router, y es más que probable que sea el culpable de todo por no tenerlo bien configurado. Esto no es una práctica muy adecuada, puede dar problemas diversos. Tendrías qu deshabilitarlo pero ya.
-En segundo lugar, un problema de configuración del MTU, a pesar de que en teoría estás enviando el MSS a 1452... si por el motivo que sea al servidor no lo está gustando algún parámetro de tu SYN podría descartarlo, o que pese a ello por cualquier motivo te esté respondiendo con un MTU de 1500. Esto es más raro porque se puede ver que se envía bien... pero yo no lo descartaría, tan fácil como probar cambiando el MTU del equipo a un valor bajo, por ejemplo 1400. Sin contar con asegurarse de estar en una conexión directa sin VPN ni otras historias
-Por otro lado el tracert que muestra llega correctamente, no existe error en retransmisión, no hay problema de red.
-Dices que el tráfico llega pero no responde con ACK en una conexión TCP... pero el tracer/ping llega con lo que están respondiendo correctamente con el tráfico ICMP... si fuese un bloqueo por el motivo que sea completo, a nivel de red, tampoco podrías hacer tracer/ping al destino. Sí podría ser un bloqueo a nivel del propio servidor Web, pero dudo enormemente que la FNMT esté bloqueando nada...&nbsp;
&nbsp;
En cualquier caso, la prueba rápida y simple es poner el equipo de Movistar, lo resetéas, intentas conectarte y listo, a ver que pasa, si falla la conexión o funciona correctamente, mis 2 céntimos es que funcionará bien, y mis otros 2, yo diría que los timestamp...
&nbsp;
Saludos

Técnico-Movistar · Answer

Hola dtorres&nbsp;
&nbsp;
Agradecemos a Theliel por sus valiosos aportes a la Comunidad.
&nbsp;
Esperamos que la información proporcionada haya sido útil y haya resuelto tu consulta. Si consideras que el caso está solucionado, te agradeceríamos que pulsaras el botón "Marcar como solución" en el mensaje que dio respuesta a tu duda dentro del hilo que abriste. Esto nos ayuda a confirmar que tu consulta ha sido atendida correctamente y, además, permite que otros usuarios puedan encontrar fácilmente respuestas útiles para situaciones similares.&nbsp;
&nbsp;
Un saludo, Sebastián.&nbsp;

Técnico-Movistar · Answer

Hola dtorres&nbsp;
&nbsp;
No hemos recibido respuesta por tu parte. No dudes en contactarnos de nuevo si tienes cualquier consulta o duda en la que podamos ayudarte; estaremos a tu disposición.
&nbsp;
Muchas gracias por participar en la Comunidad.
&nbsp;
Un saludo, Tatiana.

Foro

Certificado digital con FNMT imposible desde O2

6 Respuestas

Contenido relacionado

CERTIFICADO FNMT

Imposible solucionar que venga el técnico de la antena de Digital +

Problema con Dolby Digital