Problemas Movistar - Cloudflare - Proxy - Dns Over Https

Hola @jbosch 

Agradecemos a @Theliel su aporte.

Desde el soporte de Movistar, no tenemos manuales para este tipo de configuraciones, dejamos el hilo abierto para más usuarios de nuestra comunidad te puedan ayudar con más información.

Un saludo.
John.

Buenos días, he revisado y tanto el pc que hago pruebas como el servidor tiene el MTU en 1492, esto ya configuré el primer día, hoy veo que ha mejorado un poco ya que de momento no pierde imágenes por el camino, los ping y traceroute siguen siendo como antes correctos y de paquetes no pierde ninguno.. 

Ya te digo lo que vi raro es que desde el móvil sin wifi con 5G me salió el error de que no podia navegar y todo por culpa del DOH, lo quité y después si pero se arregló en unos minutos. Ya no se si Cloudflare está modificando algo.

Ayer hice un cambio de cables de Movistar al otro operador y sin tocar nada funcionó todo de maravilla por lo que como digo otra vez, es algo entre Movistar y Cloudflare, ya se que soy muy pesado pero es lo que estoy viendo. Si me pasa solamente a mi no lo se, de hecho no es que tenga mucha suerte en las cosas la verdad.

Buenas jbosch 

No digo que hayas tocado el MTU, digo que lo tengas presente a la hora de colocar cualquier servidor detrás, ya que el MTU de la conexión no es 1500, y dependiendo de la configuración del Router puede o no estar haciéndolo bien.

No tiene mucho sentido que sea un problema de CloudFloare con Movistar o viceversa, y tampoco de DoH.En lo tocante de un problema de redes entre M y C, no te afectaría únicamente a tí, habría muchos con problemas similares para todo tipo de servicios, y eso no pasa. Y con respecto a DoH, de echo el tráfico DoH es totalmente indistinguible del tráfico HTTPS, va encapsulado y cifrado dentro, para Movistar es un paquete HTTPS en esencia. Y como te digo, de cualquier modo, es una configuración que uso a diario y he configurado a muchos otros amigos/familiares en móviles, navegadores... y no he visto problema alguno tampoco.

Pero de cualquier modo como te decía es sencillo de diagnosticar con analizadores de paquetes, es fácil ver el MTU de los paquetes entrantes/salientes, si se pierden cuales son los que se pierden y no llegan, etc etc, sobre todo si te pasa en tu propia red local, donde puedes capturar tráfico tanto en el servidor como en el propio cliente, y se puede observar perfectamente todo.

Es cuanto menos complicado replicar exactamente tu escenario, y no digo que sea imposible que esté fallando algo por parte de Movistar, pero no veo donde podría fallar en ningún momento, no veo punto de fallo en lo que comentas en la red de Movistar.

Saludos.

Buenas Theliel, cuando digo desde fuera quiero decir desde wan, fuera de la red. Sea desde otro operador de fibra o móvil.

Cuando mi servidor lo conecto a otro operador de fibra no falla desde ningún sitio, cuando lo conecto al router de fibra de Movistar como digo parece como pierde paquetes como dices, el que se conecta a él desde fibra o móvil de Movistar no carga páginas o imágenes, la conexión no se ha tocado ni el MTU tampoco. Los dominios que tiene el servidor se enrutan a través de proxy de Cloudflare por seguridad y protección y es cuando todo empieza a fallar, si desactivo  el proxy parece que funciona un poco mejor pero sigue fallando, como te digo desde mi propia red y todo. 

Cambio y paso servidor y ordenadores a otro router de fibra de otro proveedor y no falla nunca, sin tocar nada de Cloudflare. Es un poco complicado de explicar y no se si me explico bien.

Parece como si entre conexiones de Movistar va el tema y con cloudflare por en medio..

Si con el otro proveedor me pasara lo mismo diria que es un problema que tengo yo pero con el otro funciona perfecto.

Buenas jbosch 

Lo que no entiendo bien lo que dices cuando "alguien se conecta de fuera". Te refieres al servidor, tienes levantado en dicho equipo Linux un servidor Web? Lo digo porque en principio es totalmente indiferente que tengas desplegado en tu red DoH/DoT para el tráfico que puedan o no ver los que se conecten de fuera.

Con independencia de eso, que no me quedaba claro, no existe ningún tipo de problema de usar DoH/DoT con la fibra de Movistar, llevo usando DoH/DoT en esencia desde que empezaron las primeras implementaciones, hace más de 5 años, y jamás he tenido un solo problema. Ya sea usando resolvers externos como CloudFlare o Google, o incluso usando un servidor propio para tal efecto. Ahora mismo de echo, desde el equipo que escribo, toda la red está bajo DoT con CloudFlare.

Por otro lado dices algo bastante revelador, dices que incluso dentro de tu misma red te sucede lo mismo... lo que me hace pensar que es un problema o del servidor, o que estés usando un Router/Firewall propio para gestionar la conexión y esté mal configurado.

Es más, voy más allá... lo que estás detallando y los problemas que citas, diría que es un problema de MTU, ya sea mal configurado en el Router que no está haciendo un CLAMP correctamente (o no configurado) o en el servidor. Movistar hace uso de PPPoE, lo que implica un MTU de 1492. Si el Router/servidor no está bien configurado, estos pueden estar de acuerdo en negociar 1500Bytes, y en el momento que el servidor envíe paquetes mayores de 1492, estos van a ser descartados, puesto que al sumarle la cabecera PPPoE excederán los 1500 y listo.

De cualquier modo esto es muy sencillo de diagnosticar, dices que te pasa dentro de tu propia red, con lo que tan solo tienes que capturar tráfico en el lado del servidor, en el lado del equipo propio y listo, ver que pasa con el contenido que no se está enviando/cargando correctamente. Se debería de depurar en cuestión de minutos.

Saludos.