Buenas,Estoy intentando montar una VPN y he probado prácticamente de todo. También he consultado con varias personas que controlan bastante del tema para revisar si la configuración que tenía hecha era correcta, y en principio todo apunta a que sí.Por eso he llegado a la conclusión de que el problema podría estar en el router de Movistar. El modelo que tengo es el Mitrastar GPT-3505VW.No me interesa cambiar el router, ya que tengo muchas configuraciones hechas, IPs asignadas manualmente a distintos dispositivos y volver a montar todo sería bastante lío.Quería preguntar si existe la posibilidad de que algún técnico pueda revisar internamente el router o modificar algún parámetro avanzado, porque tengo la sensación de que el propio router está bloqueando algún tipo de tráfico o funcionalidad relacionada con la VPN.Gracias de antemano.Un saludo.

Buenas Butterkast Perdona, entre que se me pasan las notificaciones y el tiempo libre... no vi tu post. Exactamente, para el Router o incluso la misma Movistar, el tráfico que portes en un paquete UDP es totalmente irrelevante. A ver esto es cierto que tiene matices, pero sería liar todo mucho más, y en cualquier caso es lo mismo. No, no es necesario fijarla en el Cudy, simplemente con verificar que, efectivamente en el HGU se le tiene asociada la IP en el DHCP estático y listo, y comprobar que obviamene es la IP que dice tener, sin mas. Parecen tonterías, y no digo que sea tu caso, pero está dentro del "ckcklist" clásico. Sobre la IA... varios consejos... jajajaja:1º. Usa Gemini2º. La IA alucina que da gusto, es extremadamente y políticamente correcta, y experta en que creas todo lo que dice... pero hay que saber "llevarla".Lo que está pasando es mucho más simple que todo eso: El servidor VPN no está levantado o hay un error en él. No tengo el pcap que has generado, pero voy a asumir que es correcto el patrón que pones 1º. El tráfico llega al servidor, este ve tráfico de entrada al puerto 51820, con lo que el Router está haciendo su trabajo, está realizando el mapeo de puertos que tendrá configurados, pasar lo que le llega por X y enviarlo al Y (que puede ser también X) de la IP .52.2º. El Cudy "te está diciendo" claramente cual es el problema, el sistema operativo no encuentra ningún servicio que tenga el socket/puerto 51820 a la escucha, no hay nada en él. Aquí entraríamos ahora en ver por qué esto es así, pero eso es otra cosa, no está dentro del análisis de la captura 3º. La pila de red del Cudy hace lo que tiene que hacer, dado que dicho puerto no está disponible (no hay nada en él), responde con un paquete ICMP de "Port Unreachable". No es el servidor VPN el que responde, es el OS, y obviamente no va a responder por el mismo puerto al que se le está consultando. El OS usa para la respuesta un puerto no privilegiado para ello que tenga libre. Normalmente es un puerto alto aleatorio, pero puede ser perfectamente el 1024 como origen. Es decir... no es que el servidor VPN esté en el 1024, es una respuesta automática del sistema operativo advirtiendo al origen que no hay nada en el 51820, Un escaner de puertos externos interpretaría este resultado como un "Close" en toda regla, en vez de un Open/Filtered, dado que al ser un puerto UDP normalmente son silenciosos y no hay respuesta alguna. En este caso sí que hay respuesta: El servidor no tiene nada en ese puerto (51820) ---------- La cuestión por ende es... por qué no hay nada en ese puerto a la escucha?? Debería de estar a la escucha el propio servidor VPN, como es lógico, pero el sistema operativo del Cudy dice que no. Esto nos deja algunas opciones: 1º. Error de configuración en el servidor WireGuard, hace como que se ejecuta pero por cualquier motivo falla, y el servidor realmente no se levanta.2º. Error de puerto en el servidor WireGuard, hay un error en el puerto especificado... a veces pasa que nos baile un número3º. De nuevo, algún tipo de FW interno que tenga el Cudy que está filtrando el tráfico, pero esto lo dudo más, porque normalmente cuando esto pasa se usa un DROP de paquete, con lo que no veríamos un Port Unrechable, simplemente no habría ningún tipo de respuesta. 4º. Está levantado, pero en una interfaz del Cudy que no es la que le entra el tráfico al Cudy, habitual si por ejemplo el Servidor WireGuard fuese un Docker, o tuviese VLAN internas o cualquier otra cosa. Cuando levantas un servicio, el que sea, puede estar levantado para todo el sistema o sólo escuchando en una teinrfaz concreta. 5º. Un problema ya más generalizado del propio OS del Cudy Lo primero y más simple es revisar la configuración de WIreguard del servidor, y asegurarse que está levantado. Si permite acceso por Shell el Cudy, no sé si tendrá Linux o no, ver con netstat -nap si el puerto configurado está a la escucha, en la interfaz correcta y en el proceso correcto. Si no lo está, ya sabes que es que el servidor WireGuard no está corriendo, con lo que sería mirar los logs de WireGuard y ver que error da y por qué no se levanta. Si está levantado comprobar la IP/Interfaz en la que se está levantando. Saludos.

Hola Butterkast, es un placer, desde el soporte de Movistar no se cuenta con manuales específicos para este tipo de configuraciones avanzadas. No obstante, debes de tener en cuenta que el router Mitrastar GPT-3505VW es bastante restrictivo con el tráfico entrante y el manejo de protocolos de red específicos. Los dispositivos de Movistar están optimizados para garantizar la máxima velocidad, estabilidad y compatibilidad con nuestros servicios y funciones, las cuales pueden verse limitadas, si se procede a la implementación de capas de cifrado global por VPN (a nivel de router). En este caso concreto, el router no está permitiendo un perfil de conexión de terceros y tampoco hay un parámetro avanzado en su interfaz (aparte de los que ya has mencionado) que active dicha funcionalidad. Lamentamos mucho no poderte ayudar más en esta ocasión, dándote las gracias, como siempre, por tus numerosas participaciones en la Comunidad. Dejamos el hilo abierto, por si algún usuario con conocimientos avanzados, puede ayudarte de la mejor manera que sea posible. Cualquier otra consulta o duda futura que te surja, ya sabes que nos tienes a tu disposición, a fin de ayudarte en todo lo que este a nuestro alcance. Reiteradas gracias por la paciencia y la comprensión y un cordial saludo.

No se si mi configuración le podra servir ya que la tengo basada en un minipc con Home Assistant OS pero si lo que quiere es ver sus dispositivos desde el exterior le valdrá aún sin home assistant. Yo uso Tailscale para ver los dispositivos de mi red pero al tenerlo instalado en un servidor de home assistant tambien puedo aplicarle que sea la conexión de mi casa el nodo de salida aplicandole la misma IP externa a mis dispositivos fuera de mi casa, móvil, tablet, PC, etc... que me asigna el router de movistar como cualquier VPN.Es muy facil de configurar y en internet hay cientos de videos explicando cada proceso paso a paso, para mí ha sido lo más facil ya que tengo varias redes en casa con distinto rango de IP y mi router interno y principal de mi red está en DMZ apuntando al Smartwifi 7 como salida a la red externa de internet

Hola,Entonces, ¿cómo hace el resto de usuarios para utilizar este tipo de configuraciones con routers de Movistar? Me parece bastante raro que el propio router pueda llegar a bloquear este tipo de conexiones o configuraciones relacionadas con VPN.En mi caso, el router de Movistar está conectado a un Cudy R700, que es el que actúa como servidor VPN.Tiene que existir alguna solución, porque sinceramente no puedo quedarme de brazos cruzados con este problema. Entiendo que no deis soporte sobre configuraciones avanzadas o dispositivos de terceros, pero necesito poder utilizar una VPN correctamente en mi propia red.De lo contrario, la única alternativa que me quedaría sería plantearme cambiar de compañía por una que no ponga tantas limitaciones o problemas a este tipo de configuraciones.Un saludo.

Hola,Entiendo lo que dices, pero en este caso concreto compré un Cudy R700 precisamente para que actuase como servidor VPN. Donde quiero montarlo no puedo instalar Home Assistant ni soluciones similares; simplemente buscaba algo básico, funcional y fácil de mantener.En mi casa ya tengo otro tipo de configuración montada, con ONT y router neutro propios, sin utilizar equipos de Movistar (siendo de movistar), y ahí tengo VPN y muchos otros servicios funcionando perfectamente y sin ningún tipo de problema.Sin embargo, donde quiero instalar esto, la persona propietaria de la conexión, como es lógico, no quiere sustituir el router de Movistar. Lo único que necesita es algo sencillo y funcional: que la VPN funcione correctamente y poco más.Por eso me extraña tanto que esté encontrando este tipo de problemas con una configuración que, en teoría, debería ser relativamente común.Un saludo.

Problema con router y VPN | Comunidad Movistar

26 Respuestas

Butterkast
Yo probé el VDSL
15-05-2026
Hola,
Correcto, fallo mío, el router es el Askey RTF3505VW.
El servidor que estoy utilizando para intentar montar la VPN es un Cudy R700 y el protocolo que estoy usando es WireGuard.
Después de leer todo lo que me has comentado entiendo bastante mejor cómo funciona todo esto. Aun así, haciendo pruebas y bajando por ejemplo el valor del MTU a 1280 en el servidor Cudy, sigo exactamente igual: el cliente parece conectar, pero no puedo acceder a ningún dispositivo de la red VPN.
Es como si estuviese “a punto” de funcionar, pero no terminase de hacerlo. Básicamente, en los logs veo que intenta realizar el handshake, pero no vuelve respuesta. También aparece que se envían X bytes de información, pero se reciben 0 bytes.
En el Cudy, los valores de MTU que me permite configurar están entre 1280 y 1420.
Entiendo que tocar el MTU del router de Movistar no es buena idea, pero sinceramente, al tratarse de un router ya con bastantes años, tengo la sensación de que está bloqueando de alguna forma ese handshake o algún tipo de tráfico relacionado.
La verdad es que ya no se me ocurren muchas más cosas para probar.
Mi configuración de cliente es esta:
[Interface]
PrivateKey = xxxx
Address = 10.10.10.2/32
DNS = 1.1.1.1,1.0.0.1

[Peer]
PublicKey = xxxx
PresharedKey = xxxx
Endpoint = midominio.org:51820
AllowedIPs = 0.0.0.0/0
Theliel
Yo probé el VDSL
15-05-2026
Buenas Butterkast

En primer lugar, creo que hay de base una pequeña equivocación... no existe el Mitrastar GPT-3505VW. Tenemos el Askey RTF3505VW, que entiendo es al que te refieres. Si no es así, por favor, corrígeme y pones el modelo de Mitrasta correcto que sea.

Dicho esto... ¿tiene Movistar a día de hoy algún problema conocido con servidores/cliente VPN en sus HGU? Ninguno que se conozca, en ningún modelo, y obviamente Movistar no bloquea ningún tipo de tráfico VPN. No obstante, a diferencia de otro tipo de "servicios/servidores" que queremos tener en nuestra red, las VPN entran dentro de un llamemos "exclusivo" grupo de tecnologías/software problemático para cualquier Router y/o dispositivo NAT.

Específicamente para las VPN, hay varias piezas importantes que hay que conocer bien, entender, y actuar en función de ellas. Tenemos dos especialmente, que es donde se acumulan el 99% de todos los problemas con VPN:

1º. El uso de protocolos arcaicos:

Este problema es más habitual en empresas, que siguen usando protocolos VPN de otras eras, donde se daba por sentado que cualquiera que montase una tendría una conexión dedicada y se establecería sin NAT. Hablamos de protocolos VPN como PPTP, L2TP/IPSec fundamentalmente. ¿Por qué? Porque no fueron diseñados para ser usados en entornos con NAT, simplemente. Para que estos protocolos funcionen bien los Router tienen que aplicar "parches" sucios para intentar que funcionen más o menos bien. El problema es que estos "parches" (que a veces se llaman ayudantes, passthrough, alg...) no son universales, pueden funcionar mejor o peor o no funcionar, y tampoco tienen por qué estar presentes en el Router. Es el fabricante quien decide si compensa o no implementar estas "trampas". A veces no se ponen por obsolescencia, otras veces porque como digo no son soluciones reales, pueden o no funcionar dependiendo del escenario del usuario.

2º. Configuración incorrecto -> MTU
Esta es la segunda causa más habitual. Vamos a suponer que usamos una VPN moderna, nos hemos quitado ya por fin la porquería de PPTP y de L2TP/IPSec. Ahora usamos un túnel moderno, por ejemplo OpenVPN, o mejor aun WireGuard. Perfecto, hemos ganado muchos muchos enteros, estos protocolos únicamente requieren por la parte del servidor un solo puerto abierto, que además suele ser UDP por eficiencia y que puede ser arbitrario. Todo son ventajas. Aquí el Router realmente ya no le afecta que sea VPN, para el Router el tráfico VPN es como cualquier otro tráfico, como cualquier aplicación tipo servidor que tengas, un puerto abierto si se usa ahí el servidor VPN y nada mas, y si usas el cliente no requieres de mapeos.

Problema? MTU. Técnicamente un frame Ethernet puede llevar un payload de 1500Bytes (sin contar frames tipo Jumbo). Si se intenta enviar un frame que sea de 1501Byte, la puerta de enlace que sea (Router, Switch, nodos intermedios de red...) simplemente lo descartan. Es indispensable total y absolutamente que origen-destino usen el mismo MTU, con lo que en principio cualquier valor de 1500Bytes o menos podría parecer bueno. Pero no es así. Cuando usas una VPN, estás encapsulando un frame Ethernet dentro de otro frame Ethernet. El frame que ven todos los dispositivos de red intermedios, desde que lo envías hasta que llega al destino es el de fuera, no ven el de dentro, ni les importa. Pero el MTU es importante, repito, no podemos exceder los 1500... pero entonces como se aplica esto al frame interno? El payload del frame interno jamás podrá ser por ende de 1500, es obvio, no?? Si el frame interno el payload fuese de 1500, el payload del frame exterior serían esos 1500 + cabeceras, sobrecargas y otros del frame Ethernet internor, lo que haría que el payload externo se fuese a 1518+.

Peor aun... eso es asumiendo que nuestra conexión permite y usa un MTU de 1500, y esto no tiene que ser así. Siempre jugamos con protocolos dentro de otros dentro de otros, y cada profundidad añade cabeceras y Bytes que nos comemos. En Fibra con Movistar por ejemplo se hace uso de PPPoE, lo que implica un bocadito e 8Bytes. Otros protocolos pueden comer más/menos, o usar 1500.

Un servidor VPN, así como la configuración de los clientes, tiene que estar preparado para lidiar con todo esto, porque el Router/PC que manda el frame no le importa nada que a medida que vaya construyendo protocolos y cabeceras encima exceda los 1500.

Ejemplo simple: Si el MTU del frame de la VPN (interno) es de 1500 y el servidor/cliente VPN lo establece así, construirá su paquete VPN con 1500 en mente... ojo, que no significa uqe todos los paquetes sean de 1500Bytes, la mayoría serán pequeños y no darán problema. Pero si se envía un paquete más "grande", el equipo cuando lo construya y lo envíe el paquete final será de más de 1500+, el Router simplemente lo quitará. Esto se aplica exactamente igual a la inversa. A la red de Movistar no le puede llegar un paquete mayor de 1500, alguien lo habrá descartado antes... pero si puede pasar que llegue un paquete de 1500 al BRAS, porque es legítimo... pero al llegar al BRAS este le añade los 8Bytes por PPPoE... el paquete excede los 1500, es descartado automáticamente.

Existen mecanismos muy eficientes para evitar esto, como el clamping, que es a día de hoy lo que hace cualquier Router moderno, así "engaña y negocia" el MTU entre origen destino. Así si tu conexión solo permite 1492, el Router ya le informa al destino que como mucho 1492. Y funciona perfectamente. El problema es que UDP no tiene este mecanismo, y aun cuando lo tuviese tampoco solventaría el problema del frame interno, el que porta la VPN. Esto hace que sea imperativo configurar de forma aguda e inteligente el MTU del servidor/cliente VPN.

Saludos.
Butterkast
Yo probé el VDSL
15-05-2026
Hola,
Entiendo lo que dices, pero en este caso concreto compré un Cudy R700 precisamente para que actuase como servidor VPN. Donde quiero montarlo no puedo instalar Home Assistant ni soluciones similares; simplemente buscaba algo básico, funcional y fácil de mantener.
En mi casa ya tengo otro tipo de configuración montada, con ONT y router neutro propios, sin utilizar equipos de Movistar (siendo de movistar), y ahí tengo VPN y muchos otros servicios funcionando perfectamente y sin ningún tipo de problema.
Sin embargo, donde quiero instalar esto, la persona propietaria de la conexión, como es lógico, no quiere sustituir el router de Movistar. Lo único que necesita es algo sencillo y funcional: que la VPN funcione correctamente y poco más.
Por eso me extraña tanto que esté encontrando este tipo de problemas con una configuración que, en teoría, debería ser relativamente común.
Un saludo.
Butterkast
Yo probé el VDSL
15-05-2026
Hola,
Entonces, ¿cómo hace el resto de usuarios para utilizar este tipo de configuraciones con routers de Movistar? Me parece bastante raro que el propio router pueda llegar a bloquear este tipo de conexiones o configuraciones relacionadas con VPN.
En mi caso, el router de Movistar está conectado a un Cudy R700, que es el que actúa como servidor VPN.
Tiene que existir alguna solución, porque sinceramente no puedo quedarme de brazos cruzados con este problema. Entiendo que no deis soporte sobre configuraciones avanzadas o dispositivos de terceros, pero necesito poder utilizar una VPN correctamente en mi propia red.
De lo contrario, la única alternativa que me quedaría sería plantearme cambiar de compañía por una que no ponga tantas limitaciones o problemas a este tipo de configuraciones.
Un saludo.
eruizm
Yo probé el VDSL
15-05-2026
No se si mi configuración le podra servir ya que la tengo basada en un minipc con Home Assistant OS pero si lo que quiere es ver sus dispositivos desde el exterior le valdrá aún sin home assistant. Yo uso Tailscale para ver los dispositivos de mi red pero al tenerlo instalado en un servidor de home assistant tambien puedo aplicarle que sea la conexión de mi casa el nodo de salida aplicandole la misma IP externa a mis dispositivos fuera de mi casa, móvil, tablet, PC, etc... que me asigna el router de movistar como cualquier VPN.
Es muy facil de configurar y en internet hay cientos de videos explicando cada proceso paso a paso, para mí ha sido lo más facil ya que tengo varias redes en casa con distinto rango de IP y mi router interno y principal de mi red está en DMZ apuntando al Smartwifi 7 como salida a la red externa de internet
thonio
Experto
14-05-2026
Hola Butterkast, es un placer,

desde el soporte de Movistar no se cuenta con manuales específicos para este tipo de configuraciones avanzadas. No obstante, debes de tener en cuenta que el router Mitrastar GPT-3505VW es bastante restrictivo con el tráfico entrante y el manejo de protocolos de red específicos.

Los dispositivos de Movistar están optimizados para garantizar la máxima velocidad, estabilidad y compatibilidad con nuestros servicios y funciones, las cuales pueden verse limitadas, si se procede a la implementación de capas de cifrado global por VPN (a nivel de router). En este caso concreto, el router no está permitiendo un perfil de conexión de terceros y tampoco hay un parámetro avanzado en su interfaz (aparte de los que ya has mencionado) que active dicha funcionalidad.

Lamentamos mucho no poderte ayudar más en esta ocasión, dándote las gracias, como siempre, por tus numerosas participaciones en la Comunidad. Dejamos el hilo abierto, por si algún usuario con conocimientos avanzados, puede ayudarte de la mejor manera que sea posible.

Cualquier otra consulta o duda futura que te surja, ya sabes que nos tienes a tu disposición, a fin de ayudarte en todo lo que este a nuestro alcance.

Reiteradas gracias por la paciencia y la comprensión y un cordial saludo.

Foro

Problema con router y VPN

26 Respuestas

Contenido relacionado

Problemas router

2 problemas Router Smart WIFI 7

Problemas con router