Auteur Sujet: [tunnel GRE] problème (de mon côté) avec certains sites (MSS ?)  (Lu 1969 fois)

0 Membres et 1 Invité sur ce sujet

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
Bonjour,

J'ai un tunnel GRE en place chez MilkyWan  :)

Je rencontre un problème, qui vient de ma configuration quelque part, à priori dans le routage local.

Je suis en FTTH 1 Gbps symétrique. La route vers le tunnel est courte est ne pose aucun problème.
Pour l'instant, je ne fait que du IPv4.
Là dessus, j'utilise un tunnel GRE MW établi depuis le routeur, et de mon routeur, je décide quel appareil sur le LAN passe par le tunnel ou non.

Le routeur est un Netgear R7800 avec le firmware Voxel (offrant un accès complet SSH au linux du routeur).

Le tunnel fonctionne bien (j'écris depuis mon portable via ce dernier), à part certaines destinations spécifiques comme https://serverfault.com (et les sites affiliés comme superuser, stackexchange, stackoverflow…).
Un petit curl me révèle le problème :
~ % curl -sv https://serverfault.com >/dev/null
*   Trying 151.101.65.69:443...
* Connected to serverfault.com (151.101.65.69) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /etc/ssl/cert.pem
*  CApath: none
* (304) (OUT), TLS handshake, Client hello (1):
} [320 bytes data]
* error:02FFF036:system library:func(4095):Connection reset by peer
* Closing connection 0

Les mêmes sites sans le tunnel, ou via un VPN (même VPN dans le tunnel) fonctionnent.
Plus important : si je fais la même chose depuis le routeur en passant par le tunnel, ça fonctionne :
~$ curl -sv --interface mw0 https://serverfault.com >/dev/null
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
} [5 bytes data]
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
} [512 bytes data]
* TLSv1.2 (IN), TLS handshake, Server hello (2):
{ [108 bytes data]
* TLSv1.2 (IN), TLS handshake, Certificate (11):
{ [4536 bytes data]
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
{ [333 bytes data]
* TLSv1.2 (IN), TLS handshake, Server finished (14):
{ [4 bytes data]
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
} [70 bytes data]
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
} [1 bytes data]
* TLSv1.2 (OUT), TLS handshake, Finished (20):
} [16 bytes data]
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
{ [1 bytes data]
* TLSv1.2 (IN), TLS handshake, Finished (20):
{ [16 bytes data]
> GET / HTTP/1.1
> Host: serverfault.com
> User-Agent: curl/7.84.0
> Accept: */*
>
{ [5 bytes data]
< HTTP/1.1 200 OK
< Connection: keep-alive
< cache-control: private
< content-type: text/html; charset=utf-8
< strict-transport-security: max-age=15552000
< x-frame-options: SAMEORIGIN
< x-request-guid: 7f171ec5-0d4e-4951-a0e5-25f912ca4104
< content-security-policy: upgrade-insecure-requests; frame-ancestors 'self' https://stackexchange.com
< Accept-Ranges: bytes
< Date: Mon, 08 Aug 2022 09:44:09 GMT
< Via: 1.1 varnish
< X-Served-By: cache-cdg20747-CDG
< X-Cache: MISS
< X-Cache-Hits: 0
< X-Timer: S1659951850.677056,VS0,VE81
< Vary: Fastly-SSL
< X-DNS-Prefetch-Control: off
< Set-Cookie: prov=bd80801c-deaf-6d8a-203d-6ae832f7b3b4; domain=.serverfault.com; expires=Fri, 01-Jan-2055 00:00:00 GMT; path=/; HttpOnly
< transfer-encoding: chunked
<
{ [5 bytes data]

Le problème semble donc spécifique quand le tunnel est routé vers le LAN, mais la plupart des sites fonctionnent très bien, alors pourquoi ceux-là  ???

On pourrait penser à un problème de MSS (le symptôme y ressemble beaucoup).
Le MTU routeur/WAN est 1 500 ; le MTU routeur/LAN est 1 500. Le MTU routeur/GRE est 1 476

Voici comment j'installe le tunnel (sur le routeur) :
ip t add mw0 mode gre remote IP_WAN_ENDPOINT_MILKY local MON_IP_PUBLIQUE_FAI ttl 255
ip l s mw0 up
ip addr add MON_IP_TUNNEL/30 dev mw0
ip route add default via MW_IP_TUNNEL protocol static dev mw0 table 100
ip rule add preference 200 from 192.168.0.1 table main
ip rule add preference 300 from 192.168.0.1/26 table 100 # <- pour mettre le LAN dans le tunnel

Les règles iptables (sur le routeur) :
iptables -t raw -w -I PREROUTING -i mw0 -m comment --comment milkywan -j ACCEPT

iptables -t mangle -w -I FORWARD -o mw0 -j ACCEPT
iptables -t mangle -w -I FORWARD -o mw0 -p udp -j ACCEPT
iptables -t mangle -w -I FORWARD -o mw0 -p tcp -j ACCEPT
iptables -t mangle -w -I FORWARD -o mw0 -p tcp -m tcpmss --mss 1436 -j ACCEPT
iptables -t mangle -w -I FORWARD -o mw0 -p tcp -m tcpmss --mss 1437:1500 -j ACCEPT
iptables -t mangle -w -I FORWARD -o mw0 -m comment --comment milkywan -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1436

iptables -t mangle -w -I FORWARD -i mw0 -j ACCEPT
iptables -t mangle -w -I FORWARD -i mw0 -p udp -j ACCEPT
iptables -t mangle -w -I FORWARD -i mw0 -p tcp -j ACCEPT
iptables -t mangle -w -I FORWARD -i mw0 -p tcp -m tcpmss --mss 1436 -j ACCEPT
iptables -t mangle -w -I FORWARD -i mw0 -p tcp -m tcpmss --mss 1437:1500 -j ACCEPT
iptables -t mangle -w -I FORWARD -i mw0 -m comment --comment milkywan -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1436

iptables -w -I INPUT -i mw0 -m comment --comment milkywan -j ACCEPT
iptables -w -I FORWARD -o mw0 -m comment --comment milkywan -j ACCEPT
iptables -w -I FORWARD -i mw0 -m comment --comment milkywan -j ACCEPT
iptables -w -I OUTPUT -o mw0 -m comment --comment milkywan -j ACCEPT

iptables -t nat -w -I POSTROUTING -o mw0 -m comment --comment milkywan -j SNAT --to-source MON_IP_PUBLIQUE_MW
iptables -t nat -w -I PREROUTING -i mw0 -m comment --comment milkywan -j ACCEPT

Certaines règles sont inutiles ou peuvent être simplifiés, mais elles sont ainsi pour vérifier que le MSS est bien clampé.

Les sites serverfault.com est Cie sont dans le range 151.101.0.0/16

Si je fais un tcpdump (sur le routeur, et sur l'interface du tunnel mw0), voici ce que j'obtiens quand je charge le site depuis un appareil sur le LAN :
root@HERMES:~$ tcpdump -tnn -i mw0 net 151.101.0.0/16
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on mw0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
IP MON_IP_PUBLIQUE_MW.57321 > 151.101.193.69.443: Flags [S], seq 1016197911, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 1435897636 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [S.], seq 2073372183, ack 1016197912, win 65535, options [mss 1436,sackOK,TS val 671609432 ecr 1435897636,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57321 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 1435897651 ecr 671609432], length 0
IP MON_IP_PUBLIQUE_MW.57321 > 151.101.193.69.443: Flags [P.], seq 1:518, ack 1, win 2069, options [nop,nop,TS val 1435897651 ecr 671609432], length 517
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [.], ack 518, win 285, options [nop,nop,TS val 671609448 ecr 1435897651], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [.], seq 1:1425, ack 518, win 285, options [nop,nop,TS val 671609451 ecr 1435897651], length 1424
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [.], seq 1425:2849, ack 518, win 285, options [nop,nop,TS val 671609451 ecr 1435897651], length 1424
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [P.], seq 2849:4273, ack 518, win 285, options [nop,nop,TS val 671609451 ecr 1435897651], length 1424
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [P.], seq 4273:5487, ack 518, win 285, options [nop,nop,TS val 671609451 ecr 1435897651], length 1214
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [R], seq 2073377670, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [R], seq 2073377670, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [R], seq 2073377670, win 0, length 0
IP MON_IP_PUBLIQUE_MW.57322 > 151.101.193.69.443: Flags [S], seq 250459534, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 264874640 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57322: Flags [S.], seq 1998695891, ack 250459535, win 65535, options [mss 1436,sackOK,TS val 443883638 ecr 264874640,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57322 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 264874653 ecr 443883638], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57321: Flags [P.], seq 4273:5487, ack 518, win 285, options [nop,nop,TS val 671609501 ecr 1435897651], length 1214
IP MON_IP_PUBLIQUE_MW.57321 > 151.101.193.69.443: Flags [R], seq 1016198429, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57322: Flags [R], seq 1998695892, win 0, length 0
IP MON_IP_PUBLIQUE_MW.57323 > 151.101.193.69.443: Flags [S], seq 2696764619, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 291229027 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57323: Flags [S.], seq 3935317826, ack 2696764620, win 65535, options [mss 1436,sackOK,TS val 926841068 ecr 291229027,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57323 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 291229040 ecr 926841068], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57323: Flags [R], seq 3935317827, win 0, length 0
IP MON_IP_PUBLIQUE_MW.57324 > 151.101.193.69.443: Flags [S], seq 3399970170, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 3259210450 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57324: Flags [S.], seq 421652706, ack 3399970171, win 65535, options [mss 1436,sackOK,TS val 443883721 ecr 3259210450,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57324 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 3259210462 ecr 443883721], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57324: Flags [R], seq 421652707, win 0, length 0
IP MON_IP_PUBLIQUE_MW.57325 > 151.101.193.69.443: Flags [S], seq 520414487, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 4096690292 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57325: Flags [S.], seq 1371963069, ack 520414488, win 65535, options [mss 1436,sackOK,TS val 2253923934 ecr 4096690292,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57325 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 4096690304 ecr 2253923934], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57325: Flags [R], seq 1371963070, win 0, length 0
IP MON_IP_PUBLIQUE_MW.57326 > 151.101.193.69.443: Flags [S], seq 3838108390, win 65535, options [mss 1436,nop,wscale 6,nop,nop,TS val 3121968079 ecr 0,sackOK,eol], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [S.], seq 1948995739, ack 3838108391, win 65535, options [mss 1436,sackOK,TS val 1474468012 ecr 3121968079,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57326 > 151.101.193.69.443: Flags [P.], seq 1:155, ack 1, win 2069, options [nop,nop,TS val 3121968092 ecr 1474468012], length 154
IP MON_IP_PUBLIQUE_MW.57326 > 151.101.193.69.443: Flags [.], ack 1, win 2069, options [nop,nop,TS val 3121968092 ecr 1474468012], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [.], ack 155, win 285, options [nop,nop,TS val 1474468024 ecr 3121968092], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [.], ack 155, win 285, options [nop,nop,TS val 1474468024 ecr 3121968092], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [P.], seq 1:8, ack 155, win 285, options [nop,nop,TS val 1474468024 ecr 3121968092], length 7
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [F.], seq 8, ack 155, win 285, options [nop,nop,TS val 1474468024 ecr 3121968092], length 0
IP MON_IP_PUBLIQUE_MW.57326 > 151.101.193.69.443: Flags [F.], seq 155, ack 9, win 2069, options [nop,nop,TS val 3121968104 ecr 1474468024], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [.], ack 156, win 285, options [nop,nop,TS val 1474468038 ecr 3121968104], length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [R], seq 1948995747, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57326: Flags [R], seq 1948995748, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57322: Flags [S.], seq 1998695891, ack 250459535, win 65535, options [mss 1436,sackOK,TS val 443884669 ecr 264874653,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57322 > 151.101.193.69.443: Flags [R], seq 250459535, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57323: Flags [S.], seq 3935317826, ack 2696764620, win 65535, options [mss 1436,sackOK,TS val 926842097 ecr 291229040,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57323 > 151.101.193.69.443: Flags [R], seq 2696764620, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57324: Flags [S.], seq 421652706, ack 3399970171, win 65535, options [mss 1436,sackOK,TS val 443884737 ecr 3259210462,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57324 > 151.101.193.69.443: Flags [R], seq 3399970171, win 0, length 0
IP 151.101.193.69.443 > MON_IP_PUBLIQUE_MW.57325: Flags [S.], seq 1371963069, ack 520414488, win 65535, options [mss 1436,sackOK,TS val 2253924964 ecr 4096690304,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.57325 > 151.101.193.69.443: Flags [R], seq 520414488, win 0, length 0
^C
50 packets captured
50 packets received by filter
0 packets dropped by kernel

root@HERMES:~$ iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 1583K packets, 133M bytes)
(…)           

Chain INPUT (policy ACCEPT 773K packets, 78M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  brwan  *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x20/0x20

Chain FORWARD (policy ACCEPT 772K packets, 54M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 109K 4822K TCPMSS     tcp  --  mw0    *       0.0.0.0/0            0.0.0.0/0            /* milkywan */ tcp flags:0x06/0x02 TCPMSS set 1436
    0     0 ACCEPT     tcp  --  mw0    *       0.0.0.0/0            0.0.0.0/0            tcpmss match 1437:1500
 106K 4692K ACCEPT     tcp  --  mw0    *       0.0.0.0/0            0.0.0.0/0            tcpmss match 1436
 8354 1868K ACCEPT     tcp  --  mw0    *       0.0.0.0/0            0.0.0.0/0           
 3271  408K ACCEPT     udp  --  mw0    *       0.0.0.0/0            0.0.0.0/0           
 1456  116K ACCEPT     all  --  mw0    *       0.0.0.0/0            0.0.0.0/0           
  131  8384 TCPMSS     tcp  --  *      mw0     0.0.0.0/0            0.0.0.0/0            /* milkywan */ tcp flags:0x06/0x02 TCPMSS set 1436
    0     0 ACCEPT     tcp  --  *      mw0     0.0.0.0/0            0.0.0.0/0            tcpmss match 1437:1500
  131  8384 ACCEPT     tcp  --  *      mw0     0.0.0.0/0            0.0.0.0/0            tcpmss match 1436
  383 49563 ACCEPT     tcp  --  *      mw0     0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      mw0     0.0.0.0/0            0.0.0.0/0           
 1251 75060 ACCEPT     all  --  *      mw0     0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 627K packets, 51M bytes)
(…)

Chain POSTROUTING (policy ACCEPT 1517K packets, 112M bytes)
 pkts bytes target     prot opt in     out     source               destination         
J'ai supprimé les règles qui n'ont rien à voir. Les règles pour le tunnel sont les premières dans iptables, pour bypasser les suivantes.

Et le même tcpdump quand je fais le curl qui fonctionne depuis le routeur (et dans le tunnel) :
root@HERMES:~$ tcpdump -tnn -i mw0 net 151.101.0.0/16
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on mw0, link-type LINUX_SLL (Linux cooked v1), snapshot length 262144 bytes
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [S], seq 3467421982, win 14360, options [mss 1436,nop,nop,sackOK,nop,wscale 7], length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [S.], seq 140465639, ack 3467421983, win 65535, options [mss 1436,nop,nop,sackOK,nop,wscale 9], length 0
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 1, win 113, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], ack 518, win 288, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 1:1437, ack 518, win 288, length 1436
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 1437, win 135, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 1437:2873, ack 518, win 288, length 1436
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 2873, win 158, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 2873:4309, ack 518, win 288, length 1436
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 4309, win 180, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [P.], seq 4309:5002, ack 518, win 288, length 693
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 5002, win 202, length 0
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [P.], seq 518:644, ack 5002, win 202, length 126
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], ack 644, win 288, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [P.], seq 5002:5053, ack 644, win 288, length 51
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [P.], seq 644:752, ack 5053, win 202, length 108
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], ack 752, win 288, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 5053:6489, ack 752, win 288, length 1436
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [P.], seq 6489:6921, ack 752, win 288, length 432
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 6921, win 247, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 6921:8357, ack 752, win 288, length 1436
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 8357:9793, ack 752, win 288, length 1436
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 9793, win 275, length 0
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 9793:11229, ack 752, win 288, length 1436
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [.], seq 11229:12665, ack 752, win 288, length 1436
IP 151.101.129.69.443 > MON_IP_PUBLIQUE_MW.56949: Flags [P.], seq 12665:14101, ack 752, win 288, length 1436
IP MON_IP_PUBLIQUE_MW.56949 > 151.101.129.69.443: Flags [.], ack 14101, win 242, length 0
(…)

Quelques infos sur ma config :
root@HERMES:~$ ip route
default via GATEWAY_DE_MON_IP_PUBLIQUE_FAI dev brwan
SUBNET_DE_MON_IP_PUBLIQUE_FAI/22 dev brwan  proto kernel  scope link  src MON_IP_PUBLIQUE_FAI
SUBNET_IP_TUNNEL/30 dev mw0  proto kernel  scope link  src MON_IP_TUNNEL
192.168.0.0/24 dev br0  proto kernel  scope link  src 192.168.0.1

root@HERMES:~$ ip route list table 100
default via IP_TUNNEL_MW dev mw0  proto static

root@HERMES:~$ ip rule
0: from all lookup local 
200: from 192.168.0.1 lookup main
300: from 192.168.0.7 lookup 100
32766: from all lookup main
32767: from all lookup default

Des idées ?
« Modifié: 09 août 2022 à 01:19:36 par bolemo »

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
[tunnel GRE] problème (de mon côté) avec certains sites (MSS ?)
« Réponse #1 le: 11 août 2022 à 10:29:36 »
Bon, ça pourrait être (chose que suspectait Hugues) le offload matériel qui pour une raison obscure ne respecterait pas les règles.

Quoi qu'il en soit, je n'ai plus le temps de chercher la raison, et j'ai donc passé commande de cela : https://www.aliexpress.com/item/1005004302428997.html?spm=a2g0o.order_detail.0.0.51567d56mwYzVb
Le Mikrotik RB5009 étant en rupture de stock partout, j'essaye donc cette solution qui semble plutôt bien tenir : https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg955412/#msg955412

Voilà.

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
[tunnel GRE] problème (de mon côté) avec certains sites (MSS ?)
« Réponse #2 le: 12 août 2022 à 14:49:40 »
Pour ceux qui suivent ou auraient besoin de la réponse à l'avenir, voici mes progrès :

– Quand je désactive l'accélération matérielle du R7800, ça fonctionne (le tunnel se retrouve à 220 Mbps dans les deux sens)
– Avec l'accélération matérielle activée, j'arrive à faire fonctionner en ajoutant mon IP publique chez MilkyWan à l'interface GRE mw0 sur le routeur, mais le débit dans le tunnel (depuis le LAN) est réduit par rapport à sans l'adresse IP publique sur le routeur ou sans l'accélération matérielle.

Je suis sûr qu'il est possible d'optimiser tout cela, mais je m'arrête là pour mes recherches, car je vais donc bientôt passer à un nouveau routeur.

Je vais maintenant bosser sur le tunnel IPv6.

PS : le lien vers mon sujet sur tout cela, beaucoup plus en détail (en anglais) : https://www.snbforums.com/threads/best-tunnel-for-r7800-hw-acceleration-perfs.80067/

cetipabo

  • Invité
[tunnel GRE] problème (de mon côté) avec certains sites (MSS ?)
« Réponse #3 le: 15 août 2022 à 20:07:44 »
@bolemo tu utilises l'openwrt officiel sur ton routeur ? ou le fork Voxel ?

EDIT:
je viens de trouver l'info dans ton 1er post. je comprends maintenant pourquoi tu as du hardware NAT ;D voxel utilise les pilotes propriétaires de Qualcomm.

bolemo

  • AS2027 MilkyWan
  • Professionnel des télécoms
  • *
  • Messages: 1 606
  • Grandcamp Maisy (14)
[tunnel GRE] problème (de mon côté) avec certains sites (MSS ?)
« Réponse #4 le: 16 août 2022 à 01:03:19 »
@bolemo tu utilises l'openwrt officiel sur ton routeur ? ou le fork Voxel ?

EDIT:
je viens de trouver l'info dans ton 1er post. je comprends maintenant pourquoi tu as du hardware NAT ;D voxel utilise les pilotes propriétaires de Qualcomm.

Oui, Voxel, car OpenWrt sur le R7800 ne gère malheureusement pas l’accélération à cause de Qualcomm et Netgear qui ne jouent pas le jeu open source.
Jusqu’à présent, l’accélération matérielle qu’offre son firmware était au top, mais le tunnel GRE vient changer la donne…
Le R7800 me servira d’AP.