Ok, cela expliquerait la limitation avec SSH ou les paquets de données sont tagés en DSCP 0, mais limités à 5 Mb/s.

@kgersen
Tout mes liens wireguard sont IPv6.

Non, c'est pas un bug (au sens mauvais codage)

C'est une question de gestion de la QoS et à une philosophie qui est que sur un flux, il est d'une  COS unique et consistante tout au long de son existence.

Le "je me déguise en VoIP pour le 3 way HandShake puis je repasse en CS0", ben ... dans notre vision c'est pas bon ... et on garde la QoS négociée dans le 3 way HandShake .... donc on hérite de la limitation de débit des classes prioritaires .. limitations établies pour tout un tas de raisons reglementaires (coucou @ARCEP) et sécurité (coucou @ANSSI) ..

ca veut donc dire que ce n'est pas stateless donc, y'a un tracking des connections meme en IPv6 , la décision n'est pas paquet par paquet ? donc une inspection pour savoir si c'est de l'UDP ou du TCP , etc ?

C'est quand même assez moyen ce genre de traitement... Les autres FAI font pareil ?

Concernant le débit, tout ce qui est marqué autre que CS0 est limité à 5 Mb/s ou y'a des exceptions ? Genre en EF par exemple ?

Si c'est sur le même type que cette veille box Sagem, le CPU n'est pas en mesure de faire passer tous les paquets par le NAT/FIREWALL/policies et pour le décharger, on ne passe une seule fois pour chaque flux.

La box FTTH Sagem F@st3190w était saturé avec même pas 20 Mb/s quand on passait tous ses paquets par le CPU (et avec le watchdog elle redémarrait automatiquement).

C'est un sujet que j'ai traité il y a 20 ans, quand les connexions FTTH sont passées de 10 Mb/s à 20 Mb/s 
On pouvait monter à 20 Mb/s, mais pas sur le port 80 à l'époque.

Voici la réponse du chef de projet de CPE FTTH Sagem le 31 juillet 2006 :

Explication des performances non satisfaisantes vues sur un téléchargement HTTP.

Fonctionnement des Accélérateurs:
Lorsque l'utilisateur lance un téléchargement TCP/UDP, les premiers paquets qui sont responsables de l'établissement de la connexion passent par le CPU(chemin classique :NAT/FIREWALL/policies...), une fois le lien est établie tous les prochains paquets passeront par les accélérateurs (chemin rapide). Les accélérateurs n'analyse que l'entête TCP/IP du paquet et pas son contenue.

Cas d'un transfert de texte par MSN MESSENGER:
Lorsque un client utilise MSN MESSENGER pour chatter se dernier se connecte sur le port 1863/TCP à un serveur de chez Microsoft. dans ce cas le Nat est traversé proprement et le message retour est bien identifié par le Firewall du F@st3374.

Cas d'un transfert de vidéo par MSN MESSENGER :
Les problèmes arrivent lorsque le client demande une connexion vocale/video. Dans ce cas, MSN MESSENGER va demander au serveur de choisir un autre port pour faire passer le flux vidéo. Et le problème c'est que ce port est choisie au hasard entre le port TCP/9000 et TCP/65535. Pour que le flux
vidéo provenant du serveur soit identifier par le firewall du F@st3374 et qu'il soit forwardé correctement, tous les paquets msn( TCP et destPort/srcPort = 1863) passeront par une fonction de traitement supplèmentaire qui permet d'analyser les contenues des paquets en plus de leurs entêtes TCP/IP.
Dans ce cas le flux vidéo passera par les accélérateurs(chemin rapide) mais tous les paquets msn(TCP-port =1863) passeront par le CPU(chemin classique).

Cas du port 80:
Si pour une raison ou pour une autre le MSN MESSENGER n'arrive pas à se connecter au serveur Microsoft sur le port 1863 alors il retombe sur le port 80 en faisant du HTTP tunneling. Affin de supporter ce cas bien particulier le F@st3374 fait passer touts les paquets HTTP(port 80) par le même chemin par lequel passe les paquets msn (port 1863).

Solution immédiate :
Ne supporter que le chat en mode texte dans le cas où le client MSN MESSENGER fait du backup sur le port 80. Et si dans ce cas particulier l'utilisateur veut faire du Chat en mode vidéo il doit installer UPNP sur son poste qui va s'en charger  de communiquer avec le Firewall du F@st3374 pour ouvrir les bons ports.

Je reste à votre disposition pour tout éclaircissement supplèmentaire.

Cordialement.

A noter que le même phénomène est utilisé sur le port 21 pour le FTP.

Note : Les box équipées de Watchdog reboot lors d'un transfert HTTP à 20 Mb/s ou plus, le CPU étant utilisé à 100%, le watchdog est là pour rétablir la situation via un reboot

C'est quand même assez moyen ce genre de traitement... Les autres FAI font pareil ?

Ca c'est un choix d'ingénierie de bout en bout.
D'autres FAI considèrent que tout trafic qui vient du client est remarqué en CS0. Donc aucune priorisation TV ou VoIP.
Pour des boxe en mode BRIDGE, on ne sait pas ce qui est fait sur le DSCP coté WAN.
Tout est une question de design de bout en bout. Et là, chaque FAI (petit ou gros) a son propre design, y'a pas de bonnes ou mauvaises règles.

Concernant le débit, tout ce qui est marqué autre que CS0 est limité à 5 Mb/s ou y'a des exceptions ? Genre en EF par exemple ?

Y'a 4 classes je pense sur le réseau orange RBCI, plus la classe est prioritaire, plus le débit est limité à l'accès.
Faudrait que je retrouve les 4 classes et les débits associés, mais je crois que des gens ici l'avaient trouvé par test.

Mais retenir : CS0 PARTOUT et vous aurez accès à 100% du débit (en gestion égalitaire de la congestion avec les autres demandeurs) ...

LeVieux