Auteur Sujet: Dysfonctionnement SSL sur Free Fibre - problème de fragmentation / MTU ? (Lu 2496 fois)

bmordac · « **le:** 04 novembre 2020 à 10:45:59 »

Bonjour,

Je ne sais pas si c'est un effet de bord de l'incident d'hier mais aujourd'hui je constate de nombreux soucis sur l'utilisation de SSL (Sites web, ou VPN SSL Fortinet).

Un peu de contexte :
- PC Linux Ubuntu 20.04 (problème constaté également sur un ancien pc sous Ubuntu 16.04 qui n'a pas eu de mises à jours depuis des mois).
- Free fibre (dans la loire sur réseau THD42).
- j'ai changé pour une ipv4 full stack ce matin en pensant que le soucis pouvait se situé sur le système CGNAT de Free.
- la connexion VPN SSL Forti a été testée sur 2 firewall Forti différents, sur des releases différentes (6.0.9 et 6.2.4), derrière 2 AS différents ... on exclut donc un soucis sur les forti.

Je suis en télétravail depuis plusieurs semaines et ce matin impossible d'établir la connexion VPN SSL avec le Forticlient. Plus exactement la connexion monte, puis environ 30 secondes après, perte de réponse et coupure de l'accès. J'ai également tenté une tunnelisation de la connexion VPN SSL par un tunnel SSH via un serveur OVH. Dès que du trafic charge le tunnel, la connexion SSH par en timeout également. J'ai testé en montant le tunnel en v4 et en v6, même constat.

Dans les problèmes étranges rencontrés, l'accès au portail client Free ne fonctionnait pas non plus.

J'ai réglé mon soucis en baissant la MTU de ma carte réseau a 1300, et tout fonctionne parfaitement. Est-ce que quelqu'un d'autre a constaté ce genre de dysfonctionnement ?

Bonne journée,

bmordac · « **Réponse #1 le:** 04 novembre 2020 à 10:51:41 »

Je rajoute en complément quelques tests pour illustrer le soucis de MTU :

$ tracepath -4 www.lafibre.info
1?: [LOCALHOST] pmtu 1500
1: _gateway 2.564ms
1: _gateway 1.041ms
2: no reply
3: no reply
4: no reply
^C
$

$ ping -4 -c 2 -Mdo -s 1432 www.lafibre.info
PING lafibre.info (80.67.167.77) 1432(1460) bytes of data.
1440 bytes from lafibre.cust.milkywan.net (80.67.167.77): icmp_seq=1 ttl=55 time=20.7 ms
1440 bytes from lafibre.cust.milkywan.net (80.67.167.77): icmp_seq=2 ttl=55 time=20.7 ms

--- lafibre.info ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 20.718/20.728/20.738/0.010 ms
$ ping -4 -c 2 -Mdo -s 1433 www.lafibre.info
PING lafibre.info (80.67.167.77) 1433(1461) bytes of data.

--- lafibre.info ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1028ms

$

underground78 · « **Réponse #2 le:** 05 novembre 2020 à 08:17:50 »

T'es sûr que c'est pas un problème de configuration au niveau du VPN ? Le problème se produit aussi sans le tunnel ?

bmordac · « **Réponse #3 le:** 05 novembre 2020 à 09:16:16 »

Bonjour,

Les tests étaient bien fait "hors VPN" :-) L'instabilité du VPN et les problèmes de connexions a certains sites web n'étaient que des effets visible du soucis de MTU / fragmentation mal gérée.

Tout a été réglé en fin de journée, après une journée assez chaotique (perte de paquets, montée de latence ... ). Au final d'autres collègues de boulot, proches géographiquement avaient des symptômes similaires.

Maintenant les messages ICMP indiquant une nécessité de fragmentation arrivent bien :

Code: [Sélectionner]

$ ping -4 -Mdo -s 1460 www.lafibre.info
PING lafibre.info (80.67.167.77) 1460(1488) bytes of data.
From te1-0.rb4011.col.th2.infra.ip4.milkywan.net (80.67.167.203) icmp_seq=1 Frag needed and DF set (mtu = 1476)
ping: local error: message too long, mtu=1476
^C
--- lafibre.info ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1002ms
$

Et la MTU est de nouveau normale :

Code: [Sélectionner]

$ ping -4 -Mdo -s 1472 www.free.fr
PING www.free.fr (212.27.48.10) 1472(1500) bytes of data.
1480 bytes from www.free.fr (212.27.48.10): icmp_seq=1 ttl=59 time=10.1 ms
1480 bytes from www.free.fr (212.27.48.10): icmp_seq=2 ttl=59 time=10.1 ms
^C
--- www.free.fr ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 10.082/10.087/10.092/0.005 ms
$

Le tracepath fonctionne de nouveau parfaitement :

Code: [Sélectionner]

$ tracepath -4 www.lafibre.info
 1?: [LOCALHOST]                      pmtu 1500
 1:  _gateway                                              0.413ms 
 1:  _gateway                                              0.387ms 
 2:  194.149.164.62                                       10.165ms 
 3:  no reply
 4:  free.th2-1.rt.hopus.net                               9.508ms asymm  3 
 5:  lag-th2-1.dc3-2.rt.hopus.net                          9.699ms 
 6:  appliwave.dc3-2.hopus.net                             9.933ms 
 7:  te4.2985.ccr2004.edge.dc2.infra.ip4.milkywan.net      9.828ms asymm  6 
 8:  100.100.0.181                                        10.252ms asymm  6 
 9:  te1-0.rb4011.col.th2.infra.ip4.milkywan.net          10.054ms asymm  6 
10:  te1-0.rb4011.col.th2.infra.ip4.milkywan.net           9.481ms pmtu 1476
10:  lafibre.cust.milkywan.net                            18.927ms reached
     Resume: pmtu 1476 hops 10 back 8 
$

Bonne journée.

fansat70 · « **Réponse #4 le:** 05 novembre 2020 à 11:28:30 »

Une "ch'tiote" mise à jour d'un équipement qui a eu un hoquet, et a été reprise en fin de journée, suite examen log ou remontées des utilisateurs?
[humour]
Ou une vieille route de secours par deux modem 56k...

[/humour]