Imposible transferencias en remoto con NAS

Buenas Rebeca80​ 

Entiendo perfectamente tu pregunta, pero tiene una explicación realmente sencilla, y es, de hecho, lo que nos dice entre otras cosas que es precisamente ese el problema. Vamos a ver dos puntos importantes aquí que citas, la posibilidad de que sea el Router que tenga algún tipo de problema, sea como dices tráfico masivo, Firewall... que sea MTU, que en otros sitios funcione bien...

1º. Por qué VPN falla y no falla una conexión normal

Precisamente por como funciona una VPN. No sé por qué en el colectivo se ha quedado que una conexión VPN es un puente mágico que te conecta a otro lado... no hay nada de mágico, TODO tu tráfico sigue pasando por la red del ISP y otras redes, igual que cualquier otro tipo de tráfico. Las VPN nacen de la necesidad de poder acceder a una red local privada, sin estar físicamente conectada a ella. Y si se entiende este concepto, se entiende el resto.

Sí tú estás en tu red y te quieres conectar a otro equipo de tu misma red, tu equipo y el de tu red se intercambian frames Ethernet sin problema a 1500Bytes. El interior de este paquete puede ser perfectamente este esquema (IPv4), es simplificado porque el frame Ethernet tiene otras cosas, pero para el MTU es lo que nos interesa:

Cabecera IP (20Bytes) + Cabecera TCP (20Bytes) + Payload (Datos, hasta 1460Bytes)

Eso es un paquete IPv4 básico que usa TCP. Con 1500Bytes podemos enviar por tanto datos "válidos" por un total de hasta 1460Bytes. En ese paquete tu le puedes decir al equipo de tu red que quieres descargar un archivo de 2MB. Obviamente el archivo de 2MB no cabe en esos 1460Bytes, así que se "parte" en muchos paquetes de 1460Bytes: 2MB = 2097152 Bytes. A 1460 Bytes por paquete necesitamos 1437 paquetes, 1436 completos y el 1437 no ocupará los 1460Bytes, usará solo 592Bytes. Y esto funciona a la perfección. 

Este esquema es extremadamente similar a si descargas un archivo desde Internet... con un pequeño cambio, cuando el Router negocia el MTU con el servidor destino, no nos permite usar 1500, así que el esquema ahora es ligeramente diferente:

 SIN VPN: Cabecera PPPoE (8Bytes) + Cabecera IP (20Bytes) + Cabecera TCP (20Bytes) + Payload (Datos, hasta 1452Bytes)

El cálculo es igual, solo que ahora tenemos menos datos que podemos meter. ahora necesitamos 1445 paquetes, 1444 completos y el último pues 464Bytes solo.

Ahora bien, esto cambia totalmente cuando usas una VPN, el esquema es totalmente diferente. El paquete que te llega/envías está encapsulado dentro. Por usar el mismo esquema vamos a suponer que usamos una VPN bajo UDP. Ahora el paquete que importa no es el de fuera, es el de dentro!!

Mira que pasa si dejásemos exactamente el mismo paquete anterior encapsulado

Paquete que nos interesa, donde se va a transmitir realmente la información útil:

UTIL = Cabecera IP (20Bytes) + Cabecera TCP (20Bytes) + Payload (¿Cuantos Bytes?, donde van los pedazos )

Pero es una VPN, lo tenemos que encapsular dentro de un paquete externo. Este es el paquete Externo:

Cabecera PPPoE (8Bytes) + Cabecera IP (20Bytes) + Cabecera UDP (8Bytes) + Payload (Datos, hasta 1464, Cabecera VPN + UTIL)

¿Ves ahora el problema? El Router negocia sin problema el paquete externo que él controla y ve, pero tu estás construyendo con la VPN en el payload de ese paquete un paquete completo. El paquete de fuera no puede exceder los 1500, la VPN necesita saber obligatoriamente con cuantos Bytes cuenta para crear el paquete que hemos llamado UTIL. Sin VPN es simple, ya lo hemos puesto arriba "SIN VPN). Ahora eso no nos vale, porque si la VPN coge ese paquete y lo mete dentro, rompe el tamaño. Suponiendo siempre IPv4, Wireguard requiere una cabecera de 32Bytes si no recuerdo mal, con lo que con eso ya puedes hacer digamos toda la "suma". Si el MTU de la VPN fuese de 1500, el paquete final sería 

Cabecera PPPoE (8Bytes) + Cabecera IP (20Bytes) + Cabecera UDP (8Bytes) + Payload (32Bytes + 1500Bytes) = 1568 Bytes

Problema gordo....

Por defecto, no obstante, te dice que para IPv6 el MTU de WireGuard (paquete Interno) es de 1440Bytes. Por qué?

Cabecera IP (20Bytes) + Cabecera UDP (8Bytes) + Payload (32Bytes + 1440Bytes) = 1500 Bytes... PERFECTO!!

PERO!! Esto no es una norma, y ha ignorado que podemos usar una conexión PPPoE...

Cabecera PPPoE (8Bytes) + Cabecera IP (20Bytes) + Cabecera UDP (8Bytes) + Payload (32Bytes + 1440Bytes (Cabecera IP + Cabecera TCP + Payload)) = 1508 Bytes... Se JOD***

¿¿Lo entiendes ahora?? En una retransmisión normal esto da exactamente igual, tu equipo sabe perfectamente que tiene que crear payload de 1492, aun cuando la interfaz física esté en 1500, el Router negocia 1492Bytes, y tu equipo cualquier cosa que envíe a Internet lo hace asumiendo 1492. Y lo hace perfectamente!! Y por eso funciona todo perfectamente. El problema aparece cuando pasas a la VPN el control de ese payload, y mete más de lo que puedes meter. Ni el PC ni el Router pueden negociar el tamaño que debería de tener el Payload interno

2º. ¿Por qué no puede ser el Router?

Te lo expliqué en el otro mensaje. Para el Router el es totalmente indiferente el contenido que hay en ese Payload. El Router lo único que ve es (en el caso de UDP)

Cabecera PPPoE (8Bytes) + Cabecera IP (20Bytes) + Cabecera UDP (8Bytes) + Payload (Datos, hasta 1464Bytes)

-El Router no sufre absolutamente NADA con eso.
-El Router no sabe siquiera que estás usando una VPN
-El Router es capaz, sin despeinarse, de procesar velocidades de todo lo que de tu fibra. 
-El Router no tiene la menor idea de lo que tú metes en el Payload. 

El Payload puede ser desde un paquete VPN, un paquete de control, un simple paquete ping, fragmentos de un archivo de 500GB... puede ser lo que te de la gana, al Router le resbala a dos manos (y perdóname la expresión) lo que quieras meter en el Payload. El Router no tiene que procesar nada, no toca ese payload, ni siquiera lo mira. Lo único que le va a importar al Router es que el paquete sea conforme a lo que dicta los estándares: Que no esté corrupto, que las cabeceras sean correcta, que el tamaño sea correcto..... Lo que tú quieras meter en el Payload, es cosa únicamente tuya. El único que mira el payload en este caso es el servidor VPN y el cliente VPN. Ellos son los que procesan el paquete.

Cuando el paquete llega al servidor VPN hace el proceso inverso. Elimina el paquete externo que es el vehículo que ha permitido que le llegue a él, se queda con el Payload que es lo que él necesita. Ese Payload es a su vez cabecera y datos encriptados, que una vez los desencripta es un paquete Ethernet con su cabecera IP, con su cabecera TCP (probablemente) y con el Payload de datos útiles. Y esto mismo lo hace tu cliente VPN cuando recibe un dato del servidor VPN. 

Para el Router todo ello es totalmente invisible. El Router no bloquea absolutamente nada, el Router no sabe siquiera que es o no es tráfico de una VPN, el Router no detecta ningún tipo de inundación de nada. En absoluto es tráfico UDP masivo!! tráfico masivo archivos de 30MB?? Ni de 30 ni de 500GB. El Router puede transferir sin problema velocidades sostenidas de 1Gbit (Unos 110MB/s aprox, 110x8) tanto en subida como en bajada (simultáneamente) durante horas o días si quieres. Si eso fuese una tarea "pesada" para el Router, no podrías entonces navegar ni descargar nada a más de unos pocos MB/s. Que sea UDP además en vez de TCP es aun menos trabajo para el Router, porque el tráfico UDP no requiere mantener una conexión activa bidireccional, por eso se usa UDP en vez de TCP, por eficiencia, UDP es más rápido pero tiene menos "control", por eso es el preferido para las VPN (ojo, se puede usar perfectamente TCP con WireGuard y con cualquier VPN, simplemente la velocidad de transferencia será menor, no porque el Router sea mejor o peor, es por como funciona UDP y como funciona TCP, TCP requiere constantemente que el que recibe vaya informando al emisor que va llegando cada pedacito... )

Espero que haya quedado un poquito más claro.

Saludos.