Auteur Sujet: Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)  (Lu 32580 fois)

0 Membres et 1 Invité sur ce sujet

Electrocut

  • Abonné Orange Fibre
  • *
  • Messages: 512
  • Pont-Péan (35)
Port 443 non accessible sur Free FTTH
« Réponse #12 le: 29 février 2016 à 19:03:55 »
Salut,

Pas d'accès à ton site depuis une connexion Bouygues ADSL.

La connexion au port 80, pour recevoir une redirection 301 vers la version HTTPS se déroule sans problème.

Lors de la connexion au port 443, le handshake TCP se déroule (SYN SYN/ACK ACK), le navigateur envoie le Client Hello TLS, le serveur répond par un ACK, puis ensuite un paquet est vraisemblablement perdu, je reçois un paquet de continuation de données sans celui qui aurait dû précéder.

Le comportement paraît stable à travers les différents essais.

=> Une cause possible pourrait être liée aux problèmes relatifs au MTU rencontrés sur la nouvelle architecture Free FTTH ZMD, discutés actuellement sur d'autres sujets.

Bien vu !
Le paquet IP faisant transiter le "TLS Server Hello" envoyé par le serveur semble trop gros pour le MTU du lien.

Test depuis une connexion Orange ADSL.
Par défaut (MTU 1500), j'obtiens le comportement décrit par Marin.
En abaissant le MTU côté client Web, ça passe (grâce au MSS annoncé dans lors du TCP-SYN)

pi@raspberrypi:~ $ curl https://91.160.13.53
curl: (35) Unknown SSL protocol error in connection to 91.160.13.53:443

pi@raspberrypi:~ $ sudo ifconfig wlan0 mtu 576
pi@raspberrypi:~ $ curl https://91.160.13.53
curl: (51) SSL: certificate subject name 'xx.xxxxx.fr' does not match target host name '91.160.13.53'

Darklight

  • Abonné Free adsl
  • *
  • Messages: 648
  • Free non-dégroupé (77)
Port 443 non accessible sur Free FTTH
« Réponse #13 le: 29 février 2016 à 19:11:50 »
Idem sur une connexion Orange ADSL. Après le paquet ssl Client Hello, le serveur répond par un second paquet ACK. En même temps, le navigateur mouline.

J'ai remarqué que FF retente de se connecter sur le port 80 avec un ACK, puis le serveur me retransmet la redirection HTTP 301. S'en suit deux échanges [FIN, ACK] [ACK].

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Port 443 non accessible sur Free FTTH
« Réponse #14 le: 29 février 2016 à 19:13:13 »
Ma connexion n'a pas une MTU à 1500, c'est p'tet pour ça

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Port 443 non accessible sur Free FTTH
« Réponse #15 le: 29 février 2016 à 19:13:45 »
[...]

Quelqu'un pour faire remonter une description claire du problème (avec vecteurs de tests) aux équipes réseau de Free ?

C'est presque étonnant que ça ait passé ce niveau de production.

vivien

  • Administrateur
  • *
  • Messages: 47 083
    • Twitter LaFibre.info
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #16 le: 29 février 2016 à 19:14:49 »
Ils ont testé que en IPv6, IPv4 est passé à la trappe, protocole déprécié sûrement.

Optrolight

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 673
  • Grenoble (38) @Optrolight
    • Optroastro
Port 443 non accessible sur Free FTTH
« Réponse #17 le: 29 février 2016 à 19:18:07 »
Quelqu'un pour faire remonter une description claire du problème (avec vecteurs de tests) aux équipes réseau de Free ?

C'est presque étonnant que ça ait passé ce niveau de production.
Je viens de le faire !!

Darklight

  • Abonné Free adsl
  • *
  • Messages: 648
  • Free non-dégroupé (77)
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #18 le: 29 février 2016 à 19:18:47 »
Voici ma capture Wireshark, sur une connexion Orange ADSL.

Electrocut

  • Abonné Orange Fibre
  • *
  • Messages: 512
  • Pont-Péan (35)
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #19 le: 29 février 2016 à 19:21:51 »
Il est possible que la Freebox abaisse le TCP-MSS pour les connexions TCP sortantes (pour tenir compte du MTU < 1500), mais oublie de le faire pour les connexions TCP entrantes.

La Freebox est-elle en bridge ou en mode routeur ?

Darklight

  • Abonné Free adsl
  • *
  • Messages: 648
  • Free non-dégroupé (77)
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #20 le: 29 février 2016 à 19:35:18 »
En IPv6 ça donne quoi ? Tu pourrais nous donner l'IPv6 de ton serveur qui héberge le site, pour voir si le problème est identique ou non?

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #21 le: 29 février 2016 à 20:24:57 »
Cela montre d'ailleurs que le MTU IPv4 serait de 1473 :

Citer
$ sudo ifconfig eth0 mtu 1474
$ curl https://91.160.13.53
^C (pas de réponse)
$ sudo ifconfig eth0 mtu 1473
$ curl https://91.160.13.53
curl: (51) SSL: certificate subject name 'hue.freeboxos.fr' does not match target host name '91.160.13.53'

ghue

  • Abonné Free fibre
  • *
  • Messages: 16
  • Le Plessis Trévise - 94420
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #22 le: 29 février 2016 à 20:25:32 »
A tous,

Merci de votre aide sur ce sujet !

Il est possible que la Freebox abaisse le TCP-MSS pour les connexions TCP sortantes (pour tenir compte du MTU < 1500), mais oublie de le faire pour les connexions TCP entrantes.

La Freebox est-elle en bridge ou en mode routeur ?
La Freebox est en mode routeur

En IPv6 ça donne quoi ? Tu pourrais nous donner l'IPv6 de ton serveur qui héberge le site, pour voir si le problème est identique ou non?
Mon IP V6 est : 2a01:e0a:3:4d40::1

(paramètres en pièce jointe)

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
Free FTTH ZMD: Port 443 non accessible (cause MTU trop faible)
« Réponse #23 le: 29 février 2016 à 20:33:47 »
En IPv6, c'est OK, je tombe, en utilisant l'adresse plutôt que l'IP, https://hue.freeboxos.fr/login.php, sur ton freeboxOS.

P.S : Le PMTU serait d'ailleurs de 1480 ;)

C:\>netsh interface ipv6 show destinationcache
....
Interface 5 : Connexion au réseau local
...
PMTU Adresse de destination                        Adresse de saut suivant
...
1480 2a01:e0a:3:4d40::1                            fe80::224:d4ff:fea4:7a2a

Rq : normal, je pars en 6rd, donc avec un MTU de 1480.