Bonjour à tous
Je suis passé d'une FreeBox Delta à une FreeBox Pro il y a près d'un mois et je me retrouve avec un soucis dans l'usage de ma connexion Fibre que je n'avais pas avec l'offre Free Grand Public / FreeBox Delta
1/ Le contexte
Je suis connecté via des VPN site à site (en IPSec IKE v1) avec 9 autres sites. Tous ces sites ont des routeurs déployés par mes soins sous pfSense.
Ces sites sont connectés à l'internet via divers opérateurs :
2 x Orange Business avec la Box en mode Bridge (débit 250 Mb/s)
2 x Orange Pro (sans Box en "piquant" le vLan 835 - débit max. 500 Mb/s)
1 x SFR Business Pro Fibre avec le routeur opérateur en mode Bridge (débit 20 Mb/s)
1 x SFR Business Pro SDSL avec le routeur opérateur en mode Bridge (débit 2 Mb/s)
2 x Kosc (sans Box - en ppoe - débit max. 1 Gb/s)
1 x FreePro (avec la FreeBox Pro en forward tous ports / tous protocoles - débit max. 6 Gb/s)
FreePro_Plan_VPN.png
2/ Sur la FreeBox Delta
Je n'avais aucun soucis pour joindre un des périphériques présents sur les LAN de ces sites distants et inversement aucune difficulté pour que ceux-ci atteignent une des ressources mise à leur disposition au sein de mon infrastructure.
Aucun soucis non plus de disponibilité de qualité de service ou de débit (selon les sites)
3/ Depuis la FreeBox Pro
Les VPN montent bien vers ces différents sites (Phases 1 et 2 de l'IPsec sans erreur) mais ils sont très difficilement exploitables :
a/ en HTTP
Si je cherche à faire une connexion en http (ou https) vers un équipement distant (un Nas, une borne Wifi, une imprimante, une VM,...) et que la première réponse est une redirection (code http "move" 301 ou 302), j'ai bien cette réponse qui arrive sur mon navigateur. Ce dernier appelle l'URL de destination et la connexion reste ouverte dans l'attente du code html mais rien n'arrive. En final le navigateur m'affiche le message de Time Out.
Si je fais un 'curl -i' j'ai bien l'entête de la réponse http dans tous les cas mais jamais le code html (connexion en attente, l'invite de commande ne revient pas)
b/ en SSH sous Linux
Je me connecte en SSH sur un équipement distant sans aucun soucis au niveau de l'identification mais :
je demande un 'ls -l' d'un répertoire de moins de 6 lignes environ : aucun soucis, j'ai la liste et récupère l'invite de commande
je demande un 'ls -l' d'un répertoire de plus de 6 lignes environ : j'ai bien le début de la liste puis plus rien avec une connexion en attente (l'invite de commande ne revient pas)
même chose avec les commandes 'more' ou 'cat'... l'éditeur 'pico' est inutilisable.
A chaque fois, je suis obligé de me déconnecter pour refaire une nouvelle connexion.
c/ En Remode Desktop (RDP ou ARD)
Les sites disposent de serveurs RDP et la connexion est possible mais avec l'impression d'une perte très importante de paquets. On a l'impression d'être connecté à travers une ligne totalement saturée ou une mauvaise ADSL (rafraichissement des écrans en basse définition puis montée de la résolution). Cela n'arrivait jamais avec la FreeBox Delta, on avait l'impression d'être en "local" sur les sites distants en fibre.
d/ Connexion hors VPN
Nous utilisons aussi beaucoup AnyDesk pour prendre la main sur des postes distants (ou en replis sur les serveurs) et nous rencontrons là aussi des latences, des délais de rafraichissements excessifs (comme en RDP) et des pertes de connexions qui nous conduisent à devoir quitter le logiciel pour pouvoir reprendre une nouvelle connexion.
e/ Test de débit
Cela n'est peut-être pas lié mais lorsque je faisais un test de débit avec le FreeBox Delta, j'étais entre 4 et 6 Gb/s alors qu'avec la FreeBox Pro je plafonne à 3/3,5 Gb/s
3/ Hypothèses
J'ai vérifié et re-vérifié toutes les règles de filtrage éventuelles au niveau des Firewalls mais je n'ai rien vu. Sur la liaison avec un des sites, j'ai même mis des règles de manière à tout laisser passer dans les deux sens mais cela ne change rien.
Une des hypothèses qui me parait plausible est celle d'une fragmentation excessive des paquets ou d'incompatibilité de MTU. En effet il est clair que la taille des paquets est un facteur déterminant de ce dysfonctionnement.
L'autre hypothèse pourrait être liée au fait que mon accès fibre Free Pro est configuré en IPv4 full stack (comme c'était le cas de la FreeBoc Delta)
Je cherche à revenir à un niveau de qualité de service tel que je l'avais auparavant car la situation actuelle pénalise lourdement mon activité.
J'ai aussi ouvert un ticket chez FreePro / Jaguar Network mais pour l'instant il est toujours ouvert et je cherche à fermer toutes les hypothèses au niveau configuration.
J'ose penser que c'est un soucis de paramétrage et suis près à passer du temps, vous communiquer des captures de trames (fichiers .pcap) et faire des tests pour trouver la solution à ce dysfonctionnement.
Je reste à votre disposition pour toute information complémentaire.
Merci par avance de votre aide et bonne journée
Francis
Free Pro