Buenas JoseMi5
Los problemas con VPN son muy habituales, si miras en el foro es algo que se repiten con cierta frecuencia. El 100% de ellos son problemas directa o indirectamente debido al servidor VPN que se usa o como esté configurado. Y te desarrollo esto un poco mejor. Siempre por supuesto dando por sentado que somos nosotros los que nos conectamos a un servidor remoto, y no al revés, claro está.
1º. Uso de VPN arcaico y problemáticos
Esta es la primera causa fundamental. Existen algunos protocolos en Internet muy viejos que cuando se desarrollaron fueron sin pensar en entornos donde se usa NAT. NAT es el mecanismo que permite tu Router compartir la conexión con todos tus equipos. Es decir, tienes una sola conexión, pero todos tus equipos tienen Internet. Esto es posible gracias a NAT. Bien, el problema es que existen muchos protocolos que no funcionan con NAT.
Las VPN más viejas, como lo son PPTP y L2TP/IPSec, hacen uso de protocolos que no funcionan con NAT, simple y llanamente. Hablamos de protocolos para VPN que tienen cuanto menos más de 20 años. Por desgracia aun se encuentran en muchas empresas/pymes, a pesar de que a día de hoy existen tecnologías VPN mucho más rápidas, robustas, seguras, sencillas y aptas para cualquier entorno.
Esta es la principal pesadilla de los que tienen problemas con las VPN. Los fabricantes de Router, ante este problema real, se han visto con los años obligados a implementar "trampas" en sus Router para poder hacer funcionar estos protocolos incompatibles con NAT. El problema es que estas "trampas" no son universales, pueden funcionar o no, dependen del software del servidor VPN, de la suerte y de mil cosas más. Eso sin contar, que este tipo de "trampas" son malas para el uso normal de Internet en la casa, de tal modo que algunos fabricantes las usan, otros no, otros permiten habilitarlas o deshabilitarlas... cada uno decide.
Esto no es único de estas dos VPN citadas, pasa con algunos otros protocolos también. Los fabricantes tienen que implementar una a una según que protocolo sea. Por ejemplo, pasa también con SIP, con H263, con FTP...
Estas "trampas" se les suele llamar ALG, Ayudantes, Passthrough... tienen diferentes nombres. En tu caso, dado que usas un túnel de este tipo, ya tienes el primer problema. Tendrás que asegurarte primero que el fabricante está implementando internamente este tipo de ayudantes para los protocolos que usa L2TP/IPSec, y que los tiene habilitados. Y ojo, eso tampoco es garantía de que vaya a funcionar bien, como ya he dicho no es algo que sea universal ni mucho menos, y es más, no es bueno usarlos. Esto afecta por supuesto a toda la red, a menos que el equipo en cuestión que fuese se conectase directamente a Internet, sin NAT.
2º. MTU
El segundo problema que se tiene y que tb evita la conexión, es que aquellos que configuran los servidores y clientes VPN no tienen en cuenta el MTU de algunos operadores. Un "paquete" tiene máximo un tamaño de 1500Bytes, pero la conexión de Movistar requiere 8 Bytes, con lo que realmente tu conexión tan solo puede enviar o recibir de internet paquetes de 1492Bytes. Los túnel meten en esencia un paquete dentro de otro paquete. Imagina que toda la envoltura del paquete exterior fuesen 40Bytes y ahora podríamos colocar el paquete real a transmitir por el tunel. Así que un Informático poco inteligente podría decir que el tamaño máximo que pudiese tener el paquete interno, sería de 1500-40 = 1460Bytes, así que diría que el MTU del paquete VPN fuese d e1460. Pero que pasa... que ahora forman un paquete de 1500, y al pasar por el Router se incluirían los 8 Bytes adicionales... eso son 1508Bytes, excede los 1500, con lo que el paquete se descarta.
Un informático inteligente, sabría que 1500Bytes no es una medida universal, y que pueden existir conexiones con un MTU menor. Así que habría establecido el MTU de la VPN en 1400 por ejemplo, dando mucho margen a ello, evitando los problemas.
La inmensa mayoría de todos los equipos están configurados para usar un MTU de 1500, con lo que si la VPN le dice que 1460 (en el ejemplo anterior) al equipo le va a parecer bien, y de ahí los problemas.
-------------
El primer problema, me parece cuanto menos sorprendente que en 2024 aun usen algunos PPTP o L2TP/IPSec. Existen protocolos VPN como OpenVPN o incluso la maravilla de WireGuard, que hace obsoletos y por mucho a todo lo anterior. Que requieren configuraciones sencillas, son extremadamente seguros, robustos, rápidos, funcionan con NAT perfectamente!! Pero... mientras algunos ya usaban pistolas, otros aun les gustaba seguir tirando piedras. Y así les va. Con independencia que puedas sufrir tb del segundo problema, este es complicado. Primero tendrás que acceder al Router y ver si existe una sección en el Router para habilitar esto. Si existe, debería de estar en la configuración avanzada en una sección que sea seguramente NAT o por ahí perdido con algún nombre como los que he dicho. Y repito que no tiene por qué aparecer esta configuración. Muchos Router por defecto ya lo tienen habilitado!! Pero, ojo, repito, no tiene por qué funcionar bien, a veces ni funciona para la VPN que usa uno o puede funcionar a medio gas. A veces la misma implementación le puede funcionar a uno y a otro no, o al revés.
Solución real y a largo plazo, no existe, a menos que tu empresa quiera usar un Túnel que no tenga más de 20 años. Otro Router, le pasará lo mismo, podrá funcionar mejor, peor, igual. No hay garantía, porque repito que a otro puede funcionarle bien en el servidor que el usa, pero a otro le puede ir mal en otro. Y esto no se puede solucionar, no hay un botón mágico universal si se usa NAT.
---
Respecto al segundo problema, es más sencillo de arreglar, por lo general basta con configurar el cliente VPN para usar un MTU inferior, o incluso configurar el MTU del equipo a uno más pequeño.
Saludos.
