Un de mes clients vient de remplacer son lien ADSL par "un lien 4G MPLS de
Bouygues" (je ne sais =C3=AAtre plus pr=C3=A9cis pour l'instant).
Chez ce client, j'ai une machine sous Wheezy dot=C3=A9e d'un client OpenVPN=
qui
se connecte =C3=A0 un serveur chez moi.
Pour t=C3=A9l=C3=A9-maintenir la machine, je transite par mon serveur et la=
nce des
sessions SSH.
Ma console est un PC Debian Jessie/Terminal Gnome.
Pendant ces sessions, je lance diff=C3=A9rentes commandes dont des commande=
s vim
et des commandes rasterisk.
Cette derni=C3=A8re, pour ceux qui ne connaissent pas, est une console de
gestion dont les sessions ressemblent =C3=A0 des sessions bash, par exemple=
.
J'utilise ce genre de configuration depuis des ann=C3=A9es et sur de multip=
les
sites mais c'est la premi=C3=A8re fois que le lien est un lien 4G.
Mon probl=C3=A8me est le suivant:
syst=C3=A9matiquement, les sessions vim ou asterisk =C3=A9chouent (100% d'=
=C3=A9chec):
l'=C3=A9cran vim est vide,
quelquefois, j'ai la ligne du bas qui s'affiche,
taper sur le clavier ne change rien
pendant un blocage, je peux ouvrir une nouvelle session OpenVPN,
idem avec nano.
Je ne sais pas trop dans quelle direction chercher.
Que sugg=C3=A9rez-vous ?
J'exclu un filtrage par l'op=C3=A9rateur car je transite par un VPN qui chi=
ffre.
J'ai pens=C3=A9 =C3=A0 pb de MTU, je ne sais pas trop pourquoi, mais comme =
je n'ai
jamais rencontr=C3=A9 ce type de pb, je n'ai pas investigu=C3=A9 dans cette=
direction.
<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div><div>Bonjour,<br><br></div>Un de mes clients vient de remplacer son =
lien ADSL par "un lien 4G MPLS de Bouygues" (je ne sais =C3=AAtre=
plus pr=C3=A9cis pour l'instant).<br><br></div>Chez ce client, j'a=
i une machine sous Wheezy dot=C3=A9e d'un client OpenVPN qui se connect=
e =C3=A0 un serveur chez moi.<br><br></div>Pour t=C3=A9l=C3=A9-maintenir la=
machine, je transite par mon serveur et lance des sessions SSH.<br></div><=
div>Ma console est un PC Debian Jessie/Terminal Gnome.<br></div><div><br></=
div>Pendant ces sessions, je lance diff=C3=A9rentes commandes dont des comm=
andes vim et des commandes rasterisk.<br></div>Cette derni=C3=A8re, pour ce=
ux qui ne connaissent pas, est une console de gestion dont les sessions res=
semblent =C3=A0 des sessions bash, par exemple.<br><br></div>J'utilise =
ce genre de configuration depuis des ann=C3=A9es et sur de multiples sites =
mais c'est la premi=C3=A8re fois=C2=A0 que le lien est un lien 4G.<br><=
br></div>Mon probl=C3=A8me est le suivant:<br></div>syst=C3=A9matiquement, =
les sessions vim ou asterisk =C3=A9chouent (100% d'=C3=A9chec):<br>l=
9;=C3=A9cran vim est vide,<br>quelquefois, j'ai la ligne du bas qui s&#=
39;affiche,<br>taper sur le clavier ne change rien<br></div>pendant un bloc=
age, je peux ouvrir une nouvelle session OpenVPN,<br></div><div>idem avec n=
ano.<br></div><div><br></div>Je ne sais pas trop dans quelle direction cher=
cher.<br></div>Que sugg=C3=A9rez-vous ?<br><br></div>J'exclu un filtrag=
e par l'op=C3=A9rateur car je transite par un VPN qui chiffre.<br></div=
>J'ai pens=C3=A9 =C3=A0 pb de MTU, je ne sais pas trop pourquoi, mais c=
omme je n'ai jamais rencontr=C3=A9 ce type de pb, je n'ai pas inves=
tigu=C3=A9 dans cette direction.<br><br></div>Slts<br><div><div><div><div><=
br><div><div><div><div><div><div><div><div><div><br><br></div></div></div><=
/div></div></div></div></div></div></div></div></div></div></div>
Avec 1272 et en deçà , j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Avec 1272 et en deçà , j'ai:
PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data.
1280 bytes from 194.158.122.10: icmp_req=1 ttl=244 time=55.1 ms
--- 194.158.122.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Avec 1272 et en deçà , j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Avec 1272 et en deçà , j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Avec 1272 et en deçà , j'ai:
PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data.
1280 bytes from 194.158.122.10: icmp_req=1 ttl=244 time=55.1 ms
--- 194.158.122.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Avec 1272 et en deçà , j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
En anticipant que l'origine du blocage serait un MTU incorrect, j'ai cherché à déterminer celui-ci avant la commande ci-après: ping -c1 -M do -s 1272 194.158.122.10 où 194.158.122.10 est l'adresse du serveur DNS de Bouygues.
Au delà de 1272, j'ai: PING 194.158.122.10 (194.158.122.10) 1273(1301) bytes of data.
Avec 1272 et en deçà, j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Que penser de tout ça ?
Le 3 mars 2016 à 16:37, Olivier a écrit :
Lu,
Que c'est très moche de ne pas renvoyer le paquet icmp erreur "fragmentation needed and DF set" ? :-) Pourquoi, je n'en sais rien par contre. Bonne question ? A moins que ça vienne de chez toi/que tu filtres icmp ?
Il faut aller voir du coté des options --mssfix et --fragment d'open-vpn pour l'empêcher de transmettre des paquets qui seraient supérieur au mtu du/des routeurs qui posent soucis (en restant abusivement silencieux, ne lui permettant pas de découvrir le mtu max et d'ajuster ses datagrams udp en fonction de celui ci).
--mssfix devrait être particulièrement utile pour ssh (et tcp en général).
Sinon, éventuellement passer open-vpn sur tcp à la place d'udp.
-- Josh
On 03/03/2016 17:51, Olivier wrote:
En anticipant que l'origine du blocage serait un MTU incorrect, j'ai
cherché à déterminer celui-ci avant la commande ci-après:
ping -c1 -M do -s 1272 194.158.122.10
où 194.158.122.10 est l'adresse du serveur DNS de Bouygues.
Au delà de 1272, j'ai:
PING 194.158.122.10 (194.158.122.10) 1273(1301) bytes of data.
Avec 1272 et en deçà, j'ai:
PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data.
1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Que penser de tout ça ?
Le 3 mars 2016 à 16:37, Olivier <oza.4h07@gmail.com> a écrit :
Lu,
Que c'est très moche de ne pas renvoyer le paquet icmp erreur
"fragmentation needed and DF set" ? :-)
Pourquoi, je n'en sais rien par contre. Bonne question ?
A moins que ça vienne de chez toi/que tu filtres icmp ?
Il faut aller voir du coté des options --mssfix et --fragment d'open-vpn
pour l'empêcher de transmettre des paquets qui seraient supérieur au mtu
du/des routeurs qui posent soucis (en restant abusivement silencieux, ne
lui permettant pas de découvrir le mtu max et d'ajuster ses datagrams
udp en fonction de celui ci).
--mssfix devrait être particulièrement utile pour ssh (et tcp en général).
Sinon, éventuellement passer open-vpn sur tcp à la place d'udp.
En anticipant que l'origine du blocage serait un MTU incorrect, j'ai cherché à déterminer celui-ci avant la commande ci-après: ping -c1 -M do -s 1272 194.158.122.10 où 194.158.122.10 est l'adresse du serveur DNS de Bouygues.
Au delà de 1272, j'ai: PING 194.158.122.10 (194.158.122.10) 1273(1301) bytes of data.
Avec 1272 et en deçà, j'ai: PING 194.158.122.10 (194.158.122.10) 1272(1300) bytes of data. 1280 bytes from 194.158.122.10: icmp_req=1 ttl$4 timeU.1 ms
--- 194.158.122.10 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 55.123/55.123/55.123/0.000 ms
Que penser de tout ça ?
Le 3 mars 2016 à 16:37, Olivier a écrit :
Lu,
Que c'est très moche de ne pas renvoyer le paquet icmp erreur "fragmentation needed and DF set" ? :-) Pourquoi, je n'en sais rien par contre. Bonne question ? A moins que ça vienne de chez toi/que tu filtres icmp ?
Il faut aller voir du coté des options --mssfix et --fragment d'open-vpn pour l'empêcher de transmettre des paquets qui seraient supérieur au mtu du/des routeurs qui posent soucis (en restant abusivement silencieux, ne lui permettant pas de découvrir le mtu max et d'ajuster ses datagrams udp en fonction de celui ci).
--mssfix devrait être particulièrement utile pour ssh (et tcp en général).
Sinon, éventuellement passer open-vpn sur tcp à la place d'udp.