Router Askey RTF8225vw con VPN

Buenas tardes IsraelOrtega,

No hemos recibido más respuesta por tu parte, ¿ha quedado todo solucionado?.

Un saludo 

Victoria

Hola IsraelOrtega 

Vemos que has sido asesorado por Theliel  a quien agradecemos su colaboración. 

¿Has podido contactar con el soporte informático de la VPN para que lo revisen ? 

Un saludo.

Flor

He probado las opciones de ALG Setting en distintos modos y nada... no conecta.

Buenas IsraelOrtega 

Es que ese es el problema, son muchas las variables posibles, y todas dependen de que tipo de túnel se usa en la empresa y que tipo de configuración tienen. Sin eso, ningún técnico va a poder ayudarte, ni nosotros usuarios tampoco.

Si fuese un protocolo citado de los "no amigable", tu única solución es acceder al Router a su interfaz Avanzada y ver si tiene una sección para habilitar o deshabilitar dichos ayudantes. Algunos Router como digo lo tienen, otros no. En el Askey citado no te podría decir, porque ya son muchos HGU y mi memoria no da para tanto, pero puedes mirarlo. Y como digo con independencia de que dichos ajustes estén o no, tampoco es una garantía de que funcione bien, y no por problema del Router, sino por como funcionan estos protocolos... o dicho de otro modo, si no tiene estos ayudantes habilitados internamente o no los puedes habilitar, al 100% no funcionará. Si están presentes y los puedes habilitar o están por defecto habilitados internamente, puedes tener entonces cierta posibilidad de que funcione bien. Es a lo más que se puede aspirar si dichos protocolos se usan, nada más.

Si estamos en el segundo caso, suele ser más sencillo incluso de comprobar, y en esto me temo que tampoco Movistar va a hacer mucho, dado que por su lado tampoco hay problema alguno, sino en como se configura el cliente VPN la empresa. Tendrían que ser ellos en este punto en el que o configurasen mejor el cliente/servidor VPN, o incluso tú en tu propio equipo configurando el propio tunel para tener esto en mente.

--------

En cualquiera de los casos, como te digo, sin tener datos concretos de que tipo de tunel usan, ni siquiera podemos empezar a hablar, porque todo es presuponer.

Edito: He mirado por encima la firmware del RTF8225vw y creo que debería de existir en su interfaz avanzada un menú llamado ALG Setting, donde se podrían habilitar algunos de estos ayudantes para algunos de los protocolos no amigables con NAT, como FTP, PPTP, SIP... de nuevo, sería necesario de todos modos saber que tipo de VPN se está usando 🙂

Y sí, me temo que por desgracia no es habitual que la empresa se tome las cosas en serio, a menos que tengan un problema importante de seguridad o llegue otro encargado en el asunto y quiera meterle mano. Todo esto presuponiendo, repito, que están usando PPTP o L2TP/IPSec.

Mucho más, no se puede hacer.

Saludos.

La explicación es de libro, chapó, ... pero logicamente no me soluciona el problema, de informatica yo poco... lo que se es que con el mitrastar va de lujo y con el Askey nuevo falla... y no se que podria probar de configuracion en este nuevo para que funcionase, lo de que la empresa utilize protocolos mas antiguos... no lo dudo, pero de que puedan cambiarlo seguro que no... a ver si un tecnico de movistar puede intentar hacer algo. de todas maneras infinitas gracias por la explicacion tecnica.

Buenas IsraelOrtega 

Para conectarte a un servidor VPN externo, un Router no debería de requerir ninguna apertura de puerto.En este punto no está el problema.

No obstante si existen un par de peculiaridades esenciales que provocan problemas constantes en los clientes VPN (Servidor VPN es en este caso un cacharro de tu empresa, el cliente VPN es el software que usa tu equipo para conectarse a él), es decir, problemas que tiene un usuario al querer usar un servidor VPN externo.

El primer problema que existe, y es el más habitual, es que muchas empresas/particulares aun usan en sus servidores VPN protocolos totalmente obsoletos, que no se diseñaron para funcionar bien en los entornos actuales. Este es el caso de protocolos VPN (igual te suenan igual no) como IPSec/L2TP o PPTP. El problema de estos protocolos es que son sumamente viejos y no se diseñaron con la idea en mente de que el origen de las conexiones lo harían detrás de un Router. Un Router para poder compartir la conexión con todos tus dispositivos de tu casa tiene que realizar un "mecanismo" llamado NAT, y digamos que estos protocolos odian NAT. Con lo que automáticamente hace un infierno su uso.

Como han sido protocolos muy usados, los fabricantes de Router, han ido con los años añadiendo "parches" sucios y "técnicas" variadas dentro de los mismos Router para intentar paliar esto. Puedes verlo como algo así de "detectores" de este tipo de protocolos dentro del propio Router que cuando identifican este tipo de tráfico "piratean" al propio Router donde están para que puedan funcionar más o menos bien. A esto se les llama Ayudantes, sistemas ALG, passthrough... y el Router debe de implementarlos tantos como protocolos "especiales" de este tipo existen.

El problema es que este tipo de soluciones no son universales, son trampas que se hacen, y por consiguiente pueden funcionar o no. Del mismo modo un fabricante puede implementarlo en un Router, o no. En algunos Router se puede habilitar y deshabilitar, en otros está siempre habilitado sin posibilidad de deshabilitarlo (mala opción), y en otros directamente está siempre deshabilitado... bloqueando toda posibilidad de uso. Pero repito, aun cuando se pueda habilitar o sea soportado, tampoco hay garantía de que funcione correctamente, dependerá de cada cliente VPN, configuración y otros.

Lo bueno de todo esto, es que este problema tan solo se da cuando el servidor VPN al que se requiere conectar usa como digo uno de estos protocolos viejos. Si en tu empresa no se usan este tipo de protocolos, este no será tu caso. En cambio, si en tu empresa hacen uso de este tipo de túneles, tienes menos opciones, en el mejor de los casos podrás acceder al Router y activar dichos "ayudantes" si están deshabilitado, pero que puedas hacerlo o no, o que funcione o no, es otro cantar diferente. En este punto la culpa principal es la empresa a usar túneles VPN viejos y problemáticos, teniendo alternativas a día de hoy increíblemente superiores en rendimiento, seguridad, versatilidad... y por supuesto sin problemas algunos de NAT.

--------------

El segundo problema mayoritario que tenemos con los servidores VPN es la configuración con la que los técnicos o responsables del servidor VPN lo hacen. Este problema afecta a cualquier tipo de VPN que se use. El problema en este caso radica por lo general en que el cliente o servidor VPN se configura para usar un MTU de 1500, sin tener en cuenta otros posibles MTU. Esto suena a chino, pero explicarlo es sencillo, piensa en el MTU como la cantidad máxima de letras que puede tener una frase. Si la frase excede el número de letras, esta se elimina. Piensa ahora que pasaría si intentas mantener una conversación con otra persona, donde uno habla con frases de 1500 letras, y el otro sólo con 1492. El de 1500 siempre te va a entender y no hay problema, pero como te llegue una frase de 1500, esta se elimina y tu no te enteras de nada. Es algo más complejo que todo esto, pero para el ejemplo pues vale.

En muchas ocasiones los que mantienen los servidores VPN no tienen esto en cuenta, y dan por sentado que todos usan un MTU de 1500. Con Movistar tenemos un MTU efectivo de 1492, y tus propios equipos están configurados por defecto con 1500. Esto el 99% de las veces no es un problema, porque cuando tu mandas cualquier cosa, el Router digamos se pone de acuerdo con el otro lado, y le dice oye, que yo solo entiendo 1492, con lo que tranquilo... y todo funciona bien. Pero esto en los túneles VPN tiene un problema importante. Un túnel VPN es como meter una frase dentro de otra frase. Imagina ahora que la primera frase, tiene un tamaño de 1492, pero la segunda frase, que es la que añade el cliente VPN mete un tamaño de 1500... pues esto es un problema, porque da igual lo de acuerdo que pueda ponerse tu Router con el exterior, el cliente VPN acaba de meter a fuerza un tamaño mayor de lo que se puede permitir.

Este problema es como digo un error en los que mantienen el servidor VPN por asumir que siempre se tiene 1500. Si fuese este caso, hubiese sido tan simple como quien te configuró el cliente VPN especificarle que tuviese esto en mente, y a lo mejor en vez de meter una palabra de 1500, metiese una de 1492. Repito que esto que estoy diciendo no es literal, es simplificado para que lo entiendas.

----------------------------------------

Por lo general casi cualquier problema de conexión a VPN cae en una de esas dos opciones. Puedes preguntar o incluso ver que tipo de VPN usan, si es del primer grupo, L2TP/IPSec o PPTP, posiblemente sea un problema de los ayudantes, ya sea que el Router no los tiene habilitado, no los soporta, o los soporta y no funcionan en vuestro caso. Si en cambio se usa algún protocolo VPN más moderno, como OpenVPN, Wireguard... posiblemente el problema sea de MTU.

Saludos.