Auteur Sujet: Manque d'IPv4 chez Free: Une IPv4 est partagée par 4 clients avec 1/4 des ports  (Lu 427910 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Mais l'équipement se retrouve obligé de faire du suivi de connexion (TCP, UDP, et éventuellement des protocoles applicatifs comme FTP, SIP, ...),  sur un grand nombre de Freebox, est-ce que c'est faisable avec des performances correctes ?
Actuellement la Freebox gère des protocoles applicatifs comme FTP, c'est facile à tester.

Tu fais telnet sur n'importe quel serveur sur le port TCP 21 et tu entres juste P, et la connexion casse.

corrector

  • Invité
C'est plus haut qu'a lieu a nouveau une translation de ports mais sans changer d'addresse: les ports sont mappés sur le 1/4 réservé a chaque box. L'equipement qui fait cela connait les 4 addresses MAC des 4 box, sait qu'ils ont la meme IP et suit leurs flux TCP et UDP et adaptent les ports en conséquence. si c'est fait maison ca peut etre tres performant.
Je ne vois pas bien comment tu vas rendre ça plus performant que le NAT dans la Freebox, vu que tu dois faire un NAT complet (à part l'adresse IP qui ne change pas ce qui ne doit quasiment rien changer dans le code).

Modifier une adresse IP dans un paquet, c'est une simple opération arithmétique.

Le SNAT netfilter est très très compliqué. Le NAT 1-1 est très simple. Tu suggères qu'on gagne de la performance à retirer l'équivalent NAT 1-1 au SNAT netfilter. Je dis bullshit.

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Il n'y a pas une fonction "donne moi n'importe quel port"?
Oui, mais pas sûr que beaucoup de logiciels l'utilisent.

http://upnp.org/specs/gw/UPnP-gw-WANIPConnection-v2-Service.pdf
Citer
AddAnyPortMapping()
Like AddPortMapping() action, AddAnyPortMapping() action also creates a port mapping specified with the same arguments. The behaviour differs only on the case where the specified port is not free, because in that case the gateway reserves any free NewExternalPort and NewProtocol pair and returns the NewReservedPort. It is up to the vendors to define an algorithm which finds a free port.
It is encouraged to use this new action instead of the former one AddPortMapping() action, because it is more efficient, and it will be compatible with future potential solutions based on port range NAT solution also called "fractional address" within the IETF. The goal of "fractional address" NAT solution is to cope with the IPv4 public address exhaustion, by providing the same IPv4 public address to several IGDs, where each IGD is allocated with a different port range.

Il y a aussi https://tools.ietf.org/html/rfc6970 qui décrit une implèmentation UPnP-IGD qui transmet les requêtes à un serveur PCP permettant de contrôler le CGNAT.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Il n'y a pas une fonction "donne moi n'importe quel port"?

peut-etre je ne connais pas assez IGD-UPnP pour te répondre en details et en plus y'a 2 versions.

NAT-PMP (et IGD-PCP) sont plus souples:

on peut demander le port X et se voir repondre qu'il faut plutot utiliser le port Z.
on peut demander une plage de N ports contigus sans preciser plus et le routeur donnera une plage de N ports dispo.
etc

apres tout dépend du protocol utilisé par les applications et les consoles et leur "réactions". une application qui demande le port X et se voit proposé le port Z peut tres bien refuser et renvoyer une erreur.






corrector

  • Invité
- Le FreeWifi attribue une IP publique (dynamique) a chaque téléphone qui se connecte dessus
Non :

 1    38 ms    39 ms    37 ms  10.47.255.254
 2    60 ms    61 ms    68 ms  10.255.0.248
 3     *        *        *     Délai d'attente de la demande dépassé.
 4     *        *        *     Délai d'attente de la demande dépassé.
 5     *        *        *     Délai d'attente de la demande dépassé.
 6     *        *        *     Délai d'attente de la demande dépassé.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Je ne vois pas bien comment tu vas rendre ça plus performant que le NAT dans la Freebox, vu que tu dois faire un NAT complet (à part l'adresse IP qui ne change pas ce qui ne doit quasiment rien changer dans le code).

Modifier une adresse IP dans un paquet, c'est une simple opération arithmétique.

Le SNAT netfilter est très très compliqué. Le NAT 1-1 est très simple. Tu suggères qu'on gagne de la performance à retirer l'équivalent NAT 1-1 au SNAT netfilter. Je dis bullshit.

On se comprend plus ,je n'ai pas parlé de "rendre ça plus performant que le NAT dans la Freebox". y'a toujours le NAT dans la Freebox pour passer des IP LAN privés a l'IP public.

je dis juste qu'il y a , peut-etre, un equipement (le routeur dans le NRO ou juste avant ce routeur) qui peut eventuellement faire de la translation de ports (et pas d'adresse) entre les 4 box qui ont la meme IP et le reste du réseau.

Et ne raisonne pas comme si y'avait du Linux partout....y'a pas qu'iptables dans la vie ... ca peut tres bien etre un truc 'en dur' avec un fastpath maison comme Free sait si bien les faire. Apres tout c'est que "changer le port et recalculer la checksum" qu'il faut faire.

corrector

  • Invité
Si j'ai bien compris, tu penses pouvoir battre la performance d'un linux avec une implèmentation spécialisée, alors que tu n'as presque pas réduit la difficulté du problème.

Je ne vois pas comment. Où alors avec du hard très spécialisé (avec de la mémoire associative?) et très limité, qui va être un goulot d'étranglement.

Pour moi ce que tu proposes est cher.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Si j'ai bien compris, tu penses pouvoir battre la performance d'un linux avec une implèmentation spécialisée, alors que tu n'as presque pas réduit la difficulté du problème.

Je ne vois pas comment. Où alors avec du hard très spécialisé (avec de la mémoire associative?) et très limité, qui va être un goulot d'étranglement.

Pour moi ce que tu proposes est cher.

encore 'linux'... mais y'a pas que linux meme en non spécialisé...

est cher par rapport a quoi? a un vrai CGN fourni par Cisco ? tu sais combien ca coute ces trucs pour tenir du 1Gbps par client (ou ne serait-ce que pour tenir X ports de 10Gbps ) ?

bref de toute facon on est dans le spéculatif total la, autant attendre d'en savoir plus sur leur infra.

serge.31

  • Expert (serge.31.free.fr)
  • Abonné Free adsl
  • *
  • Messages: 204
  • Saint-Orens-de-Gameville (31)
Mais la box est bien joignable en IPv6?
en cherchant à visualiser le réseau ... une recherche en ip V6

La bonne nouvelle ... oui, la freebox est joignable (du moins pingable) en ip V6
De Toulouse, j'ai pris une ip en région parisienne (88.190.190.190 simple à retenir) qui se trouve sur vic92-4 ... pourqoi pas ?
Sa conversion en ip V6 chez Free : 2a01:0e35:8beb:ebe0::1

La nouvelle moins bonne est qu'en ip v6, le réseau est masqué :

exemple :

L:\>tracert 88.190.190.190 ... en V4 pour ceux qui suivent ...
Détermination de l'itinéraire vers vic92-4-88-190-190-190.fbxo.proxad.net [88.190.190.190]avec un maximum de 30 sauts :
  1    <1 ms    <1 ms    <1 ms  Freebox_Serge [192.168.0.254]
  2     5 ms     5 ms     5 ms  sto31-1_gw [78.213.148.254]
  3     5 ms     6 ms     6 ms  toulouse-x-routers [213.228.9.254]
  4     9 ms     7 ms     8 ms  toulouse-crs8-2-be1006.intf.routers.proxad.net [194.149.160.69]
  5    21 ms    15 ms    23 ms  bzn-crs16-2-be1119.intf.routers.proxad.net [194.149.163.25]
  6    17 ms    16 ms    16 ms  bzn-9k-5-be1000.intf.routers.proxad.net [194.149.161.114]
  7    16 ms    16 ms    16 ms  bzn-49m2-v1000.intf.routers.proxad.net [194.149.161.182]
  8    19 ms    17 ms    16 ms  vic92-49m-1-v820.intf.nro.proxad.net [78.254.248.26]
  9    19 ms    16 ms    18 ms  78.255.58.4
 10    16 ms    17 ms    16 ms  vic92-4-88-190-190-190.fbxo.proxad.net [88.190.190.190]
Itinéraire déterminé.

L:\>tracert 2a01:0e35:8beb:ebe0::1 ... en V6 ...
Détermination de l'itinéraire vers 2a01:e35:8beb:ebe0::1 avec un maximum de 30 sauts.
  1    <1 ms    <1 ms    <1 ms  Freebox_Serge [2a01:e34:ed59:XXX0::1]
  2    17 ms    24 ms    16 ms  2a01:e35:8beb:ebe0::1
Itinéraire déterminé.


Le freenaute est bien détecté en ip v6, mais on ne sait pas sur quel équipement réseau il est rattaché :-(




« Modifié: 09 décembre 2015 à 09:37:18 par serge.31 »

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
2 freebox font du P2P en IPv6 si une des 2 est en 6rd (ou les 2) donc on ne voit ce qui se passe 'en dessous' du tunnel.

Il faudrait ne pas utiliser une connexion Free pour faire la detection.

serge.31

  • Expert (serge.31.free.fr)
  • Abonné Free adsl
  • *
  • Messages: 204
  • Saint-Orens-de-Gameville (31)
en ip v6 natif, sera-ce plus clair ?

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Même tracertoute, hors du réseau de Free :
$ mtr -rwc100 2a01:0e35:8beb:ebe0::1
Start: Wed Dec  9 09:39:27 2015
HOST: lafibre.info               Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- bgp1.adeli.biz            0.0%   100    0.2   1.5   0.2  41.1   4.6
  2.|-- cr5.rt.ielo.net           0.0%   100    7.7  10.7   7.6  62.2   8.0
  3.|-- frpar01-a9k1.rt.ielo.net  0.0%   100    8.2   8.2   7.8   8.6   0.0
  4.|-- proxad.ebgp.ielo.net      0.0%   100    8.2   8.1   8.0   8.5   0.0
  5.|-- ? ?                      100.0   100
  6.|-- ? ?                      100.0   100
  7.|-- ? ?                      100.0   100
  8.|-- ? ?                      100.0   100
  9.|-- ? ?                      100.0   100
 10.|-- ? ?                      100.0   100
 11.|-- 2a01:e35:8beb:ebe0::1     0.0%   100    8.4   8.4   8.2  10.2   0.2