Auteur Sujet: Problème d'accès à Hetzner depuis Orange  (Lu 1455 fois)

0 Membres et 1 Invité sur ce sujet

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 191
Problème d'accès à Hetzner depuis Orange
« le: 06 septembre 2023 à 17:28:48 »
Bonjour,

j'ai depuis jeudi dernier un problème de connexion L2TP avec Hetzner : plus d'accès depuis un client l2tp derrière une Livebox 5 (abo FTTH) à son serveur LNS, hébergé sur un VPS Hetzner, alors que cela tournait sans soucis depuis 2 ans.

Après analyse, la négociation l2tp plante en plein milieu : l'échange démarre correctement puis la trame ICRQ envoyée par le client au LNS n'arrive jamais au VPS donc c'est cassé ...

Du coup j'ai modifié le port d'écoute du LNS en le passant de 1701 à une autre valeur : et là boum ça remarche. A grands coups de nat, mangle, conn-mark, machine relais etc donc c'est bien crade. (ipv6, GRE et Wireguard ne sont pas des options possibles dans le contexte).

Les diags faits avant ce contournement :

* J'ai monté un autre VPS test sur leur site finlandais : même pbm
* remplacé le client l2tp Mikrotik par un client linux : même pbm
* J'ai fait passer le client l2tp par un accès RED 4G : OK (mais, les chemins étant différents, rien de concluant)
* pour info Wireguard passe.

Le ticket ouvert chez Hetzner a donné "c'est pas nous" ...

Lors des diags, j'ai constaté un chemin un peu étrange de Sosh vers Hetzner, qui n'apparaissait pas qq jours avant : pure hypothèse mais on dirait qu'un tunnel existe après être sorti du réseau d'Orange  (le saut 5 : 81.253.184.182), cachant les routeurs intermédiaires vers le VPS :

                                                                    My traceroute  [v0.95]
[depuis un host derrière la LB] (192.168.1.89) -> 23.88.117.237 (23.88.117.237)                                                    2023-09-06T16:39:29+0200
                                                                                                                      Packets               Pings
 Host                                                                                                               Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    livebox.home                                                                                            0.0%    10    5.4   2.8   1.9   5.9   1.5
 2. AS???    80.10.234.169                                                                                           0.0%    10    3.1   3.2   2.3   4.1   0.5
 3. AS???    ae100-0.ncidf203.rbci.orange.net                                                                        0.0%    10   10.3   4.4   3.2  10.3   2.2
 4. AS???    ae41-0.niidf201.rbci.orange.net                                                                         0.0%     9    4.1   4.4   3.3   8.1   1.5
 5. AS???    81.253.184.182                                                                                          0.0%     9    4.1  14.5   3.3  99.3  31.8
 6. AS24940  static.237.117.88.23.clients.your-server.de                                                             0.0%     9   18.9  18.6  18.1  19.3   0.4


Le chemin retour n'a pas cette particularité :

                                                                    My traceroute  [v0.95]
zbxf (23.88.117.237) -> [mon @ip Sosh]                                                                                 2023-09-06T14:48:19+0000
                                                                                                                      Packets               Pings
 Host                                                                                                               Loss%   Snt   Last   Avg  Best  Wrst StDev
 1. AS???    172.31.1.1                                                                                              0.0%    18    2.2   2.1   1.6   3.0   0.4
 2. AS24940  21626.your-cloud.host                                                                                   0.0%    18    0.2   0.2   0.1   1.5   0.3
 3. (waiting for reply)
 4. AS24940  spine4.cloud2.fsn1.hetzner.com                                                                          0.0%    18    0.9   4.6   0.8  36.8   8.9
 5. AS24940  spine2.cloud2.fsn1.hetzner.com                                                                          0.0%    18    0.8   2.1   0.7  21.0   4.7
 6. AS24940  core24.fsn1.hetzner.com                                                                                 0.0%    18    0.4   6.6   0.4  32.4   9.3
 7. AS24940  core1.fra.hetzner.com                                                                                   0.0%    18    5.0   5.1   4.9   5.9   0.2
 8. AS3257   ae18.cr6-fra2.ip4.gtt.net                                                                               0.0%    18    5.2  12.8   5.2  30.0   7.5
 9. AS5511   193.251.142.17                                                                                          0.0%    18    5.6   5.6   5.4   6.6   0.3
10. (waiting for reply)
11. (waiting for reply)
12. (waiting for reply)
13. (waiting for reply)
14. AS3215   [mon @ip Sosh]                                                                                          0.0%    17   17.5  17.2  16.2  18.1   0.6


Si un expert avait une explication sur ce routage ou connaissance de problèmes/changements en cours chez Orange ou Hetzner, je lui en serai éternellement reconnaissant :)

Ce VPS (de test, OOTB) à Falkenstein est dispo pour des MTR :
23.88.117.237
2a01:4f8:c012:7679::1

« Modifié: 06 septembre 2023 à 21:18:45 par Catalyst »

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 326
  • Alpes Maritimes (06)
Problème d'accès à Hetzner depuis Orange
« Réponse #1 le: 06 septembre 2023 à 20:29:53 »
Si tu n'as aucun routeur intermédiaire entre 81.253.184.182 et ton VPS c'est que si il y a un tunnel ou autre, il se situe chez Hetzner et pas chez Orange ...
Je vois mal Orange "gérer" les routeurs de Hetzner entre le PNI et ton VPS..

voilà ce que j'ai moi depuis une FTTH PRo Orange
4     8 ms     9 ms     8 ms  lag-11.nestn07z.rbci.orange.net [193.253.85.177]
  5     9 ms     9 ms    13 ms  ae81-0.nclyo202.rbci.orange.net [193.253.85.18]
  6    10 ms    10 ms    10 ms  ae41-0.nilyo102.rbci.orange.net [193.252.101.149]
  7     9 ms    10 ms     8 ms  ae40-0.nilyo101.rbci.orange.net [193.252.101.173]
  8    17 ms    17 ms    16 ms  81.253.184.114
  9    16 ms    19 ms    29 ms  ffm-b5-link.ip.twelve99.net [62.115.155.28]
 10    19 ms    17 ms    17 ms  ffm-bb1-link.ip.twelve99.net [62.115.114.88]
 11    56 ms    20 ms    21 ms  nug-b1-link.ip.twelve99.net [62.115.113.147]
 12    20 ms    22 ms    20 ms  hetzner-ic-351603.ip.twelve99-cust.net [62.115.183.233]
 13    22 ms    22 ms    22 ms  core24.fsn1.hetzner.com [213.239.252.250]
 14    96 ms    22 ms    27 ms  spine1.cloud2.fsn1.hetzner.com [213.239.239.134]
 15    23 ms    23 ms    30 ms  spine3.cloud2.fsn1.hetzner.com [213.239.239.146]
 16     *        *        *     Délai d’attente de la demande dépassé.
 17    24 ms    22 ms    22 ms  21626.your-cloud.host [136.243.183.16]
 18    32 ms    22 ms    22 ms  static.237.117.88.23.clients.your-server.de [23.88.117.237]

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 191
Problème d'accès à Hetzner depuis Orange
« Réponse #2 le: 06 septembre 2023 à 20:56:58 »
Edit : c'était pas clair en effet. Rectifié.

Merci pour le traceroute. J'en attends un d'un proche chez Orange GP.
Si quelqu'un peut en faire autant, merci par avance :)


« Modifié: 06 septembre 2023 à 21:17:19 par Catalyst »

jeremyp3

  • Abonné Orange Fibre
  • *
  • Messages: 722
  • Pau (64)
Problème d'accès à Hetzner depuis Orange
« Réponse #3 le: 07 septembre 2023 à 01:30:51 »
Bonjour,

depuis orange GP
Start: Thu Sep  7 01:24:27 2023
HOST: routeurlinux                                                                 Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. AS???    80.10.232.109                                                         0.0%    10    0.7   1.1   0.5   1.5   0.0
  2. AS???    92.184.151.194                                                        0.0%    10    1.4   1.2   0.9   1.4   0.0
  3. AS???    92.184.151.186                                                        0.0%    10    3.6   4.5   2.8  16.1   4.0
  4. AS???    ae44-0.nipoi201.rbci.orange.net (81.253.130.9)                        0.0%    10    7.9   8.5   7.9   8.8   0.0
  5. AS???    ae40-0.nipoi202.rbci.orange.net (193.252.160.46)                      0.0%    10    9.0   8.6   8.1   9.0   0.0
  6. AS???    193.252.137.14                                                        0.0%    10   15.6  15.6  15.0  16.0   0.0
  7. AS???    bundle-ether305.partr2.saint-denis.opentransit.net (193.251.133.23)   0.0%    10   15.3  15.7  15.3  16.2   0.0
  8. AS1299   prs-b1-link.ip.twelve99.net (195.12.254.154)                          0.0%    10   15.9  15.8  15.4  16.2   0.0
  9. AS1299   prs-bb1-link.ip.twelve99.net (62.115.125.170)                        20.0%    10   15.7  16.1  15.7  16.5   0.0
 10. AS1299   ffm-bb1-link.ip.twelve99.net (62.115.123.12)                          0.0%    10   25.4  25.5  25.0  25.9   0.0
 11. AS1299   nug-b1-link.ip.twelve99.net (62.115.113.147)                          0.0%    10   28.4  28.2  27.6  28.5   0.0
 12. AS1299   hetzner-ic-340780.ip.twelve99-cust.net (213.248.70.1)                 0.0%    10   28.1  28.1  27.6  28.4   0.0
 13. AS24940  core23.fsn1.hetzner.com (213.239.252.230)                             0.0%    10   30.9  31.5  30.1  33.6   1.1
 14. AS24940  spine1.cloud2.fsn1.hetzner.com (213.239.239.126)                      0.0%    10   30.6  33.4  30.6  52.6   6.8
 15. AS24940  spine3.cloud2.fsn1.hetzner.com (213.239.239.146)                      0.0%    10   31.3  31.3  30.7  32.7   0.3
 16. AS???    ???                                                                  100.0    10    0.0   0.0   0.0   0.0   0.0
 17. AS24940  21626.your-cloud.host (136.243.183.16)                                0.0%    10   30.2  30.3  29.7  30.7   0.0
 18. AS24940  static.237.117.88.23.clients.your-server.de (23.88.117.237)           0.0%    10   30.7  30.4  29.9  30.8   0.0

peut être tenter un changement d'ip pour avoir une autre route, avec un peu de chance

Jerem

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 191
Problème d'accès à Hetzner depuis Orange
« Réponse #4 le: 07 septembre 2023 à 17:51:49 »
Merci, les autres mtr que j'ai reçu n'ont pas non plus ce chemin bizarre. J'ai changé l'ip Sosh depuis leur site et le problème subsiste.

Mais comme j'ai pu contourner le pbm L2TP, wait and see pour le moment.

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 191
Problème d'accès à Hetzner depuis Orange
« Réponse #5 le: 21 mars 2024 à 09:29:26 »
Pour information, ce problème a disparu depuis quelques semaines, sans raison apparente.