Problemas Cliente OpenVPN

Correcto Theliel, cliente windows

Hola ansantosci 

Gracias a Theliel por su aporte en esta consulta. 

Ya que nos confirmas que el problema se ha solucionado podrías dar por finalizado este hilo, para cerrarlo, pincha en el botón “Aceptar como solución” del post en el que te hemos asesorado. 

Nos alegramos de que se haya podido solucionar tu solicitud, gracias por confirmárnoslo. No dudes en contactar de nuevo con nosotros si tienes cualquier consulta y/o problema.

¡Gracias por confiar en nosotros y participar en la Comunidad!

Un saludo.

Nicoll. 

Buenas ansantosci 

Pues me alegra saberlo compañero. Por curiosidad he mirado los cambios realizados al cliente VPN 3.6.0 sobre la 3.5.1 que era la anterior, y realmente no veo grandes cambios... doy por sentado que era Windows, verdad?

En cualquier caso si está solucionado... todos contentos 🙂

Saludos.

Hola, ansantosci 

¿Deseas realizar alguna otra consulta?

Si no es así, te agradecemos que marcaras la opción de aceptar como solución en el post o en el mensaje que te haya resuelto la incidencia y/o consulta.

Un saludo, Juan C.

Hola ansantosci 

No hemos recibido más comunicaciones por tu parte, te informamos que si consideras haber recibido la solución a tu consulta, te agradeceríamos si pulsas "aceptar solución" en el post del hilo en el que se ha asesorado o en este mismo. Es útil y sirve de ayuda para otros usuarios del foro.

Un saludo, Marcos.

Hola ansantosci 

Agradecemos por la información aportada de Theliel 

Esperamos que la información compartida anteriormente te haya sido de ayuda con tu consulta sobre el VPN.

En caso de que el problema persista, el hilo se mantendrá abierto para que otros usuarios puedan aportar más soluciones o compartir su experiencia contigo.

Si todo está solucionado, te agradeceríamos que marques el post como resuelto para que otros usuarios también puedan tomarlo como referencia.

Un saludo, Marcos.

Buenas ansantosci 

Puede ser debido a dos motivos que me vengan a la cabeza

1º. El cliente gestiona de forma correcta MTU y no es problema tampoco del servidor, y en este caso el problema sería específico a tu equipo o la configuración de tu cliente VPN. Sería necesario hacer un diagnóstico mucho más específico del asunto y comprobar que está todo correcto en el equipo. Tanto el MTU del equipo, las interfaces de red, software instalado, etc etc etc. Que funcione o no usando el teléfono con datos no excluye muchos problemas con ello.

2º. Problema de llegar al propio servidor. En este caso, por alguna razón tu conexión no llegaría de forma adecuada al servidor. Lo bueno de esto es que es muy sencillo comprobar si se puede alcanzar o no el servidor. Puedes usar cualquier herramienta tipo WinMTR/PingPlotter para ver si tu equipo puede alcanzar el destino. Siempre pudiese pasar de tener una ruta rota o cualquier otra cosilla. Es facil de comprobar. En caso de que no pudiese alcanzarlo, habría que ver ya debido a que.

Lo bueno de usar un tunel VPN de tipo OpenVPN o WireGuard es que no requiere absolutamente nada especial, no requieren ayudantes, no requieren abrir puertos (cuando se usa como cliente) ni otras historias. Por parte del Router o la red únicamente tener cierto cuidado con el MTU, nada más.

Saludos.

Muchas gracias Theliel por tu respuesta. Probaré con lo que dices a ver si desde mi departamento de IT modifican ese valor, y si no, intentaré modificar los valores del regedit.

Pero me surge una duda sobre lo que dices:

Estamos viendo que la mayoría de compañeros que tienen Movistar en casa, tienen el mismo problema que yo, pero sin embargo otros que tienen Internet con otros proveedores, no les pasa lo mismo ¿esto como encaja en lo que me dices?

Un saludo y muchas gracias.

Buenas ansantosci 

Movistar no bloquea el uso de ninguna VPN. No obstante, existen dos problemas básicos y habituales a la hora de conectarse a las VPN, que los administradores de los servidores VPN no tienen nunca en cuenta y son la fuente del 99% de los problemas que hay con estas.

1º. Protocolos: NAT

Actualmente existen diferentes protocolos VPN disponibles. Por desgracia siguen siendo mayoría el uso de PPTP (que además es totalmente inseguro) y L2TP/IPSec. Estos en particular hacen uso de protocolos no amigables con NAT. NAT es lo que permite a tu Router compartir la conexión de Internet con todos tus dispositivos. Esto implica que cuando se hace uso de estos protocolos, el fabricante del Router tiene que implementar trucos sucios para poder hacerlos funcionar correctamente, los llaman por lo general "Ayudantes", y existen tantos "Ayudantes" como protocolos conflictivos con NAT hay. El problema es que estos "ayudantes" ni sin universales, ni funcionan en todos los escenarios ni el fabricante los tiene que implementar. Este problema, en este caso, no es el tuyo, puesto que dices que haces uso de OpenVPN, y OpenVPN no sufre de estos problemas.

2º. Configuración incorrecta del MTU

El segundo problema es que los administradores del servidor VPN no tienen en cuenta el MTU de las conexiones. El MTU es la cantidad máxima de información que puede llevar un paquete. Este número puede ser mayor o menos en función de muchos factores, pero por lo general como mucho puede ser de 1500Bytes en un Frame Ethernet normal.

Cual es el problema? Que, con perdón, quien está al cargo de estos servidores no hacen bien su trabajo. Configuran los servidores/clientes VPN por defecto, que asumen por lo general que el MTU de todas las conexiones es de 1500, y no es así. Las conexiones de Movistar hacen uso de PPPoE, lo que implica que el MTU máximo de sus conexiones es de 1492, 8 Bytes menos. Y esto es crucial, sobre todo en las VPN. Una VPN encapsula un frame Ethernet dentro de un paquete IP. Ese Frame Ethernet encapsulado tendrá su propio MTU, y ahí está el problema, si asumes que el MTU de la conexión es 1500, y haces uso de UDP para OpenVPN, te queda un Payload para el paquete de 1472. A ese valor habría que restarle las cabeceras de OpenVPN. El problema es que cuando configuras el cliente/servidor para ello, no tiene en cuenta una conexión PPPoE. Imagina que tu cliente OpenVPN encapsula un frame Ethernet que con la cabecera incluída de OpenVPN da como resultado un payload de 1472 como digo. El equipo le añade la sobrecarga de UDP (8Bytes) y otros 20Bytes por el protocolo IP, dando resultado de 1500Bytes. Sí, un frame Ethernet puede tener 1500Bytes, hasta aquí perfecto. Pero cuando pase por el Router, este le añadirá 8 Bytes más por PPPoE, superando el máximo permitido y descartando el paquete.

Tu equipo, ya sea Windows/Linux o el sistema operativo que sea, tiene configurado igualmente un MTU concreto para funcionar, y generalmente este MTU es 1500, con lo que la autodetección no funciona correctamente. Las conexiones a Internet normales funcionan porque el Router intercepta el MTU que tus equipos solicitan y fuerzan a que sea 1492, pero en una VPN este truco no funciona.

Así que es normal que falle. Porque tu sistema operativo está configurado en 1500, los cliente/servidor VPN están pensado para 1500 porque quien esté al cargo de ellos no lo ha tenido en cuenta y usan su configuración por defecto por lo general, y tu conexión realmente hace uso de un MTU de 1492.

En este caso la solución es variada:

a) Hablar con el administrador a cargo y que tenga en cuenta esto, reduciendo el MTU del servidor OpenVPN o de la configuración del cliente VPN.

b) Tú de forma particular, configurar tu sistema operativo con un MTU más pequeño para el adaptador de red que use, o incluso configurar el cliente VPN para ello.

Cuando se usa un teléfono por datos no suele existir problema porque el MTU de dichas conexiones suele ser bastante inferior. Por ejemplo, una conexión directa con el movil usando el APN estándar de Movistar es de 1440

Notifícalo a la empresa, o fuerza tu propio equipo a usar un MTU más reducido, en vez de 1500 configura tu equipo a 1400 por ejemplo, o configura el cliente MTU para tener en cuenta esto, y prueba de nuevo.