La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => Hetzner => Discussion démarrée par: Catalyst le 06 septembre 2023 à 17:28:48
-
Bonjour,
j'ai depuis jeudi dernier un problème de connexion L2TP avec Hetzner : plus d'accès depuis un client l2tp derrière une Livebox 5 (abo FTTH) à son serveur LNS, hébergé sur un VPS Hetzner, alors que cela tournait sans soucis depuis 2 ans.
Après analyse, la négociation l2tp plante en plein milieu : l'échange démarre correctement puis la trame ICRQ envoyée par le client au LNS n'arrive jamais au VPS donc c'est cassé ...
Du coup j'ai modifié le port d'écoute du LNS en le passant de 1701 à une autre valeur : et là boum ça remarche. A grands coups de nat, mangle, conn-mark, machine relais etc donc c'est bien crade. (ipv6, GRE et Wireguard ne sont pas des options possibles dans le contexte).
Les diags faits avant ce contournement :
* J'ai monté un autre VPS test sur leur site finlandais : même pbm
* remplacé le client l2tp Mikrotik par un client linux : même pbm
* J'ai fait passer le client l2tp par un accès RED 4G : OK (mais, les chemins étant différents, rien de concluant)
* pour info Wireguard passe.
Le ticket ouvert chez Hetzner a donné "c'est pas nous" ...
Lors des diags, j'ai constaté un chemin un peu étrange de Sosh vers Hetzner, qui n'apparaissait pas qq jours avant : pure hypothèse mais on dirait qu'un tunnel existe après être sorti du réseau d'Orange (le saut 5 : 81.253.184.182), cachant les routeurs intermédiaires vers le VPS :
My traceroute [v0.95]
[depuis un host derrière la LB] (192.168.1.89) -> 23.88.117.237 (23.88.117.237) 2023-09-06T16:39:29+0200
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? livebox.home 0.0% 10 5.4 2.8 1.9 5.9 1.5
2. AS??? 80.10.234.169 0.0% 10 3.1 3.2 2.3 4.1 0.5
3. AS??? ae100-0.ncidf203.rbci.orange.net 0.0% 10 10.3 4.4 3.2 10.3 2.2
4. AS??? ae41-0.niidf201.rbci.orange.net 0.0% 9 4.1 4.4 3.3 8.1 1.5
5. AS??? 81.253.184.182 0.0% 9 4.1 14.5 3.3 99.3 31.8
6. AS24940 static.237.117.88.23.clients.your-server.de 0.0% 9 18.9 18.6 18.1 19.3 0.4
Le chemin retour n'a pas cette particularité :
My traceroute [v0.95]
zbxf (23.88.117.237) -> [mon @ip Sosh] 2023-09-06T14:48:19+0000
Packets Pings
Host Loss% Snt Last Avg Best Wrst StDev
1. AS??? 172.31.1.1 0.0% 18 2.2 2.1 1.6 3.0 0.4
2. AS24940 21626.your-cloud.host 0.0% 18 0.2 0.2 0.1 1.5 0.3
3. (waiting for reply)
4. AS24940 spine4.cloud2.fsn1.hetzner.com 0.0% 18 0.9 4.6 0.8 36.8 8.9
5. AS24940 spine2.cloud2.fsn1.hetzner.com 0.0% 18 0.8 2.1 0.7 21.0 4.7
6. AS24940 core24.fsn1.hetzner.com 0.0% 18 0.4 6.6 0.4 32.4 9.3
7. AS24940 core1.fra.hetzner.com 0.0% 18 5.0 5.1 4.9 5.9 0.2
8. AS3257 ae18.cr6-fra2.ip4.gtt.net 0.0% 18 5.2 12.8 5.2 30.0 7.5
9. AS5511 193.251.142.17 0.0% 18 5.6 5.6 5.4 6.6 0.3
10. (waiting for reply)
11. (waiting for reply)
12. (waiting for reply)
13. (waiting for reply)
14. AS3215 [mon @ip Sosh] 0.0% 17 17.5 17.2 16.2 18.1 0.6
Si un expert avait une explication sur ce routage ou connaissance de problèmes/changements en cours chez Orange ou Hetzner, je lui en serai éternellement reconnaissant :)
Ce VPS (de test, OOTB) à Falkenstein est dispo pour des MTR :
23.88.117.237
2a01:4f8:c012:7679::1
-
Si tu n'as aucun routeur intermédiaire entre 81.253.184.182 et ton VPS c'est que si il y a un tunnel ou autre, il se situe chez Hetzner et pas chez Orange ...
Je vois mal Orange "gérer" les routeurs de Hetzner entre le PNI et ton VPS..
voilà ce que j'ai moi depuis une FTTH PRo Orange
4 8 ms 9 ms 8 ms lag-11.nestn07z.rbci.orange.net [193.253.85.177]
5 9 ms 9 ms 13 ms ae81-0.nclyo202.rbci.orange.net [193.253.85.18]
6 10 ms 10 ms 10 ms ae41-0.nilyo102.rbci.orange.net [193.252.101.149]
7 9 ms 10 ms 8 ms ae40-0.nilyo101.rbci.orange.net [193.252.101.173]
8 17 ms 17 ms 16 ms 81.253.184.114
9 16 ms 19 ms 29 ms ffm-b5-link.ip.twelve99.net [62.115.155.28]
10 19 ms 17 ms 17 ms ffm-bb1-link.ip.twelve99.net [62.115.114.88]
11 56 ms 20 ms 21 ms nug-b1-link.ip.twelve99.net [62.115.113.147]
12 20 ms 22 ms 20 ms hetzner-ic-351603.ip.twelve99-cust.net [62.115.183.233]
13 22 ms 22 ms 22 ms core24.fsn1.hetzner.com [213.239.252.250]
14 96 ms 22 ms 27 ms spine1.cloud2.fsn1.hetzner.com [213.239.239.134]
15 23 ms 23 ms 30 ms spine3.cloud2.fsn1.hetzner.com [213.239.239.146]
16 * * * Délai d’attente de la demande dépassé.
17 24 ms 22 ms 22 ms 21626.your-cloud.host [136.243.183.16]
18 32 ms 22 ms 22 ms static.237.117.88.23.clients.your-server.de [23.88.117.237]
-
Edit : c'était pas clair en effet. Rectifié.
Merci pour le traceroute. J'en attends un d'un proche chez Orange GP.
Si quelqu'un peut en faire autant, merci par avance :)
-
Bonjour,
depuis orange GP
Start: Thu Sep 7 01:24:27 2023
HOST: routeurlinux Loss% Snt Last Avg Best Wrst StDev
1. AS??? 80.10.232.109 0.0% 10 0.7 1.1 0.5 1.5 0.0
2. AS??? 92.184.151.194 0.0% 10 1.4 1.2 0.9 1.4 0.0
3. AS??? 92.184.151.186 0.0% 10 3.6 4.5 2.8 16.1 4.0
4. AS??? ae44-0.nipoi201.rbci.orange.net (81.253.130.9) 0.0% 10 7.9 8.5 7.9 8.8 0.0
5. AS??? ae40-0.nipoi202.rbci.orange.net (193.252.160.46) 0.0% 10 9.0 8.6 8.1 9.0 0.0
6. AS??? 193.252.137.14 0.0% 10 15.6 15.6 15.0 16.0 0.0
7. AS??? bundle-ether305.partr2.saint-denis.opentransit.net (193.251.133.23) 0.0% 10 15.3 15.7 15.3 16.2 0.0
8. AS1299 prs-b1-link.ip.twelve99.net (195.12.254.154) 0.0% 10 15.9 15.8 15.4 16.2 0.0
9. AS1299 prs-bb1-link.ip.twelve99.net (62.115.125.170) 20.0% 10 15.7 16.1 15.7 16.5 0.0
10. AS1299 ffm-bb1-link.ip.twelve99.net (62.115.123.12) 0.0% 10 25.4 25.5 25.0 25.9 0.0
11. AS1299 nug-b1-link.ip.twelve99.net (62.115.113.147) 0.0% 10 28.4 28.2 27.6 28.5 0.0
12. AS1299 hetzner-ic-340780.ip.twelve99-cust.net (213.248.70.1) 0.0% 10 28.1 28.1 27.6 28.4 0.0
13. AS24940 core23.fsn1.hetzner.com (213.239.252.230) 0.0% 10 30.9 31.5 30.1 33.6 1.1
14. AS24940 spine1.cloud2.fsn1.hetzner.com (213.239.239.126) 0.0% 10 30.6 33.4 30.6 52.6 6.8
15. AS24940 spine3.cloud2.fsn1.hetzner.com (213.239.239.146) 0.0% 10 31.3 31.3 30.7 32.7 0.3
16. AS??? ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
17. AS24940 21626.your-cloud.host (136.243.183.16) 0.0% 10 30.2 30.3 29.7 30.7 0.0
18. AS24940 static.237.117.88.23.clients.your-server.de (23.88.117.237) 0.0% 10 30.7 30.4 29.9 30.8 0.0
peut être tenter un changement d'ip pour avoir une autre route, avec un peu de chance
Jerem
-
Merci, les autres mtr que j'ai reçu n'ont pas non plus ce chemin bizarre. J'ai changé l'ip Sosh depuis leur site et le problème subsiste.
Mais comme j'ai pu contourner le pbm L2TP, wait and see pour le moment.
-
Pour information, ce problème a disparu depuis quelques semaines, sans raison apparente.