Buenas Rebeca80
Me temo que el equipo no es el problema compañera, ni la línea. Tus propias comprobaciones extensas que has realizado así lo dicen, y nos indica, de facto, cual es realmente el problema
A diferencia de otros protocolos de túneles como pueda ser IPSec/L2TP, PPTP... WireGuard (aplicable también a OpenVPN) no requieren absolutamente nada especial, ni por parte de Router, ni de condiciones del usuario ni nada. Ni cuando se hospedan (el servidor), ni cuando usamos un cliente para conectarnos al servidor. Lo único que se necesita por parte del servidor es, obviamente un mapeo de puerto convencional al puerto TCP/UDP que se haya configurado para dicho servidor VPN, nada más.
Y esta diferenciación es vital, porque si bien protocolos viejos y arcaicos como IPSec/L2TP... tienen problemas reales importantes donde el Router tienen que hacer malabares para que pueda hacerse funcionar un cliente VPN (usando esos protocolos), aquí no existe tal problema. Cuando usas WireGuard como cliente, el Router o la línea no necesitan absolutamente nada, para ellos tu tráfico por VPN es exactamente igual, y se trata exactamente igual, que cualquier otro. Es más, esta es parte de la magia que hace que WireGuard sea tan eficiente, rápido, transparente... Si como dices el problema fuese específicamente del Router o la línea, el problema no lo tendrías con el contenido por VPN, lo tendrías con cualquier tipo de contenido, tanto un test de velocidad, una descarga directa... todo!! Para el Router es exactamente lo mismo.
Entonces... ¿¿donde está el problema?? Pues está, me temo, en tu/su configuración (Cliente/Servidor). Quien configurase ese servidor VPN y por ende imagino que también os enviaría la configuración para los clientes, es muy posible que no controlase mucho sobre VPN (Usar Synology denota también esto), y simplemente uso cualquier plantilla que Synology le diese y siguiente siguiente.....
El "problema" es bien conocido, y digo entre comillas porque realmente no existe tal problema, es simplemente una consecuencia de una mala configuración. Lo que está pasando, y con un analizador de paquetes lo verías perfectamente, es que tu cliente VPN está encapsulando los frames Ethernet de la VPN dentro de un paquete Ethernet que cuando se envía excede los 1500Bytes que permite Ethernet. Esto es el MTU.
El MTU es, en simple, el tamaño máximo de datos que puedes meter en un paquete. Un Frame Ethernet tiene un MTU máximo (sin contar con frames jumbo) de 1500Bytes. Si se envía cualquier paquete que tenga al final un tamaño mayor, se descarta. Si envías paquetes "pequeños" no hay problema, pero en el momento que está enviando un paquete "completo", por la mala configuración, "rompes" el paquete externo, y el paquete se elimina.
Normalmente cuando no se usa una VPN esto no es un problema, porque existen sistemas para avisar siempre a cualquier parte el MTU que una red usa. Cuando accedes por ejemplo a cualquier contenido el Router y el destino negocian el MTU, y tu equipo recibe el MTU con el que se tiene que comunicar. Si el Router te dice que uses un MTU de 1400, tu equipo ya sabe que no puede enviar un paquete más grande de 1400. Y todo funciona perfectísimamente!!
Pero entonces... que tiene que ver una VPN?? Pues que en una VPN estás encapsulando un paquete dentro de otro paquete. El paquete completo no puede exceder JAMAS lo que dicte tu conexión. El Router únicamente puede controlar y ver el paquete externo, el MTU de dicho paquete externo, que va a descartar como exceda el valor de la conexión o el negociado.... pero no puede "ver" ni controlar el MTU del paquete interno encapsulado, eso es cosa del cliente VPN.
En números simples... vamos a poner de ejemplo que la conexión es de 1500 el MTU. Esos 1500 no es información útil que puedes enviar, Ethernet es un protocolo, encima de otro, encima de otro... como muñecas Matrioshka. El cliente VPN debe de saber que MTU tiene para su propio paquete interno, y esto va a depender del MTU de la conexión. Matemáticas simples, un ejemplo
En IPv4 tendríamos 1500 como digo en el mejor de los casos. A 1500Bytes le tendríamos que restar la cabecera IP (20 Bytes), la cabecera en caso de estar usando UDP (8 Bytes) y por supuesto la cabecera WireGuard, que deberían de ser unos 32Bytes. Si restamos pues nos quedan 1440Bytes, si fuese IPv6 1420Bytes. Es decir, que en este caso de ejemplo, si el MTU de la conexión o que la conexión se negocia es de 1500, el MTU de la VPN no puede ser 1500Bytes, sino como mucho 1440/1420. Es obvio por qué, no?? Si metieses en la VPN un paquete de 1500Bytes, al sumarle los 32 de cabecera, UDP/TCP, IP... excedería los 1500Bytes y el paquete se va a la [....]. Esto pasa en cualquier Router, ojo, no es una peculiaridad del HGU, cualquier dispositivo de red que se vea con un paquete mayor de 1500 Bytes (sin Jumbo), va a la [....].
¿Y por qué pasa esto? Simplemente porque quien configuró el cliente/servidor WireGuard no tuvo en cuenta todo esto, asumiría simplemente (o más probable que desconociese absolutamente todo esto) que todas las conexiones sin excepción tienen un MTU fijo de 1500, con lo que si se realiza cualquier conexión con un MTU inferior se rompe para paquetes "grandes" (de ahí que te pase especialmente con transferencias "grandes".
Movistar usa una conexión PPPoE, eso implica que cualquier paquete que pasa hacia Internet o desde Internet se le suma la cabecera PPPoE en algún momento concreto, que son 8Bytes. Dado que el servidor/cliente están mal configurados y asumen como digo de forma incorrecta que siempre se tienen disponibles 1500Bytes, ves ya el problema
Cuando tu cliente WireGuard envía un paquete, lo hace pensando en un paquete exterior de 1500, compone un payload de 1440 (por ejemplo, según la cuenta anterior), le suma cabeceras y todo, y como hemos dicho llega a los 1500Bytes el paquete completo (perfecto hasta aquí), lo envía al Router, el Router le añade los 8Bytes de la cabecera PPPoE como hace con cualquier paquete que envíes (por VPN o sin ella) y..... pues al guano todo, paquete a la [....] porque al añadirle los 8Bytes a un paquete que tu equipo está enviando incorrectamente de 1500Bytes, excede los 1500Bytes
Es por ello que realmente la conexión se establece y realmente no te "bloquea" todo, porque la mayoría de todos los paquetes que se transfieren suelen ser más pequeños de 1500Bytes. El MTU es el máximo, no que todos sean de ese tamaño. Ahora bien, si los datos que se están transmitiendo/recibiendo son mas... "pesados", los paquetes pueden llegar a "llenarse" completamente, y al hacerlo, paquetes descartados, intentos de nuevo, fragmentaciones... problemas y problemas y problemas.
Solución?? Pues realmente es muy sencilla, dile al administrador del servidor VPN que lo configure de forma adecuada, tanto el servidor como los clientes, sin más. Que no de por sentado que en el mundo siempre se usa una conexión de Frames de 1500Bytes. Prueba y nos cuentas.
Saludos.
