Auteur Sujet: Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports  (Lu 302810 fois)

0 Membres et 2 Invités sur ce sujet

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #708 le: 20 février 2016 à 10:39:36 »
Je ne sais pas, mais je me souviens d'un post de Vivien, disant que selon le système utilisé, les ports utilisés pour se connecter n'étaient pas les mêmes. Cela permet d'ailleurs parfois de reconnaitre le système utilisé. Il faudrait que je retrouve son post.
Il a fait observer que le paramétrage de l'intervalle de ports dynamiques est typique de chaque OS.

Chez moi :

>netsh i i sho dyn tcp

Plage de ports dynamique du protocole tcp
-------------------------------------------
Port de démarrage   : 1025
Nombre de ports     : 64510

Bon c'est sur un PC Windows 7 mais il parait que c'est pas la valeur typique alors je sais pas l'expliquer et surtout je m'en fiche.

J'aurais tendance à penser que cela vient de la façon dont le système gère la connexion cryptée quand il ne peut pas utiliser ses ports habituels...
De quelle connexion tu veux parler?

Le système ne gère ni le HTTP ni le HTTPS.

Le système ne sait même pas quel port va être utilisé par la box et s'en moque.

alain_p

  • Client Free fibre
  • *
  • Messages: 11 040
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #709 le: 20 février 2016 à 10:41:59 »
A priori le système continue à faire ce qu'il veut, j'ai du mal à voir pourquoi ça poserait problème dans ce cas. Pour moi la théorie est la suivante : le navigateur utilise un port P1 qui dépend de la configuration de l'OS, s'il est pas dans le bon intervalle, la Freebox va changer le port en P2 (compris entre 32768 à 49151 dans ce cas), le serveur va répondre en utilisant P2 et la Freebox va faire suivre à la machine source vers P1.

Oui, et donc on peut penser que cette translation d'adresse pourrait mal gérer le https ? Simple supposition. Tandis que le win7 n'en n'aurait pas besoin car il serait dans la bonne plage ?

En fait, pour comprendre ce qu'il se passe, là je pense qu'il faudrait les trames de la connexion dans les différents cas, ou peut-être grâce aux outils de développement des navigateurs (Firefox...) et d'affichage des étapes de la connexion ?

alain_p

  • Client Free fibre
  • *
  • Messages: 11 040
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #710 le: 20 février 2016 à 10:46:13 »
De quelle connexion tu veux parler?

Une autre idée, admettons que le serveur (ou le device) demande un autre port dans la connexion cryptée. Le PC voit la demande (car il est au bout du tunnel chiffré), mais pas la box qui ne déchiffre pas le trafic, et donc ne peut pas faire la translation correcte.

C'est vague, mais c'est une idée à creuser.

underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 7 122
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #711 le: 20 février 2016 à 10:49:21 »
Est-ce que c'est vraiment quelque chose qui existe dans le protocole HTTPS ?

alain_p

  • Client Free fibre
  • *
  • Messages: 11 040
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #712 le: 20 février 2016 à 10:53:41 »
HTTPS, c'est une connexion http chiffrée de bout en bout. On peut faire toutes les requêtes que l'on veut dans ce tunnel, et par exemple d'établir une nouvelle connexion sur un autre port.

Ce n'est pas le protocole HTTPS lui même qui serait en cause, simplement le chiffrage qui empêche un tiers de suivre la conversation...

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #713 le: 20 février 2016 à 11:07:41 »
Une autre idée, admettons que le serveur (ou le device) demande un autre port dans la connexion cryptée. Le PC voit la demande (car il est au bout du tunnel chiffré), mais pas la box qui ne déchiffre pas le trafic, et donc ne peut pas faire la translation correcte.

C'est vague, mais c'est une idée à creuser.
Tu es sûr de ne pas confondre HTTPS et FTP? ;)

Un serveur HTTP ne "demande" rien du tout.

underground78

  • Expert
  • Client Free fibre
  • *
  • Messages: 7 122
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #714 le: 20 février 2016 à 11:09:02 »
C'est aussi mon avis, pour moi le protocole HTTP n'inclut pas ce genre de choses.

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #715 le: 20 février 2016 à 11:10:02 »
Pour revenir au sujet, je viens de tomber sur un cas intéressant sur le forum de l'ADUF.

La personne en question vient d'être migrée en FTTH à Saint Ouen l'Aumône et a donc une IPv4 partagée (ports 32768 à 49151). Depuis la migration elle rencontre des problèmes de connexion à certains sites HTTPS (sont cités EDF et Hotmail) mais seulement depuis certains appareils (smartphone, tablette Android et un PC sous Lubuntu) alors que tout fonctionne sur ses machines tournant sous Seven. Le plus bizarre c'est que même sur les appareils problématiques, il arrive visiblement à afficher la page de connexion (déjà en HTTPS) et c'est seulement au moment de s'authentifier qu'il a un message d'erreur.

Des idées ?
L'antipub de Free?

Chris_tou

  • Client Free adsl
  • *
  • Messages: 112
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #716 le: 20 février 2016 à 11:10:11 »
Il a fait observer que le paramétrage de l'intervalle de ports dynamiques est typique de chaque OS.

Chez moi :

>netsh i i sho dyn tcp

Plage de ports dynamique du protocole tcp
-------------------------------------------
Port de démarrage   : 1025
Nombre de ports     : 64510

Bon c'est sur un PC Windows 7 mais il parait que c'est pas la valeur typique alors je sais pas l'expliquer et surtout je m'en fiche.
De quelle connexion tu veux parler?

Le système ne gère ni le HTTP ni le HTTPS.

Le système ne sait même pas quel port va être utilisé par la box et s'en moque.



Tiens, première fois que je regarde, Seven aussi:


Port de démarrage : 49152
Nombre de ports    : 16384



corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #717 le: 20 février 2016 à 11:25:35 »
C'est aussi mon avis, pour moi le protocole HTTP n'inclut pas ce genre de choses.
Quand le HTTP inclut un numéro de port, c'est dans une URL dans du HTML ou bien dans une URL directement dans une redirection HTTP.

Dans les deux cas il s'agit d'un port sur un serveur HTTP (ou HTTPS). Comme c'est un port auquel se connecter il ne sera pas modifié par le NAPT (par hypothèse le client est derrière le NAT ici).

corrector

  • Invité
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #718 le: 20 février 2016 à 11:31:12 »
HTTPS, c'est une connexion http chiffrée de bout en bout. On peut faire toutes les requêtes que l'on veut dans ce tunnel, et par exemple d'établir une nouvelle connexion sur un autre port.
Il n'y a jamais eu de module HTTP écrit pour netfilter, et s'il y en avait un, ce serait pour le serveur derrière le NAT et non devant.

Fais le test avec un client FTP/TLS derrière la box (ou bien une connexion FTP traditionnelle sur un port non standard et non intercepté par la box), tout marche par défaut : le client fais uniquement des ouverture actives de connexions, c'est le mode par défaut dit mode passif.

alain_p

  • Client Free fibre
  • *
  • Messages: 11 040
  • Delta S 10G-EPON sur Les Ulis (91)
Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports
« Réponse #719 le: 20 février 2016 à 11:55:12 »
Je rappelle quand même le message d'erreur que rapporte l'utilisateur sur l'ADUF, quand il rentre ses identifiants sur les sites de l'EDF, et hotmail, avec Linux, smartphone en WiFi, mais pas en 3G/4G, tablette android en WiFi, mais pas windows 7 :

Citer
Secure connexion Failed
The connexion to the server was reset while the page was loading.
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

Cela semble bien pointer vers un problème de 'Secure Connexion'. Maintenant, j'attends vos hypothèses.

P.S : J'ai moi-même un compte EDF. Quand j'aurais le temps, je ferais une petite capture du trafic, pour essayer de suivre ce qu'il se passe pendant la connexion.

 

Mobile View