Auteur Sujet: Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN  (Lu 14706 fois)

Pinkpurple et 5 Invités sur ce sujet

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 286
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #84 le: Aujourd'hui à 10:54:50 »
C'est pour les handshake, les data sont concernées ?
Je suis en train de me fournir la spec des LB.
Je crois que les premiers Pkts fixent la QoS de tout le flux, la LB remarquant le flux à ce qui est négocié dans le handshake

Donc même si WG repasse en DSCP 0 après, tout est remarqué par la LB en DSCP AF41 (CS4 donc) avec la limitation constatée.


vivien

  • Administrateur
  • *
  • Messages: 50 960
    • Bluesky LaFibre.info
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #85 le: Aujourd'hui à 10:59:37 »
Ok, cela expliquerait la limitation avec SSH ou les paquets de données sont tagés en DSCP 0, mais limités à 5 Mb/s.

kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 611
  • Paris (75)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #86 le: Aujourd'hui à 13:41:53 »
Donc même si WG repasse en DSCP 0 après, tout est remarqué par la LB en DSCP AF41 (CS4 donc) avec la limitation constatée.

ca ressemble a une opti faspath du NAT mal codé (il garde la prio du 1er paquet) ? y'a le meme souci en IPv6?

unipo

  • Abonné Orange vdsl
  • *
  • Messages: 24
  • Roquepine 32
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #87 le: Aujourd'hui à 14:17:53 »
@kgersen
Tout mes liens wireguard sont IPv6.

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 286
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #88 le: Aujourd'hui à 14:28:15 »
Non, c'est pas un bug (au sens mauvais codage)

C'est une question de gestion de la QoS et à une philosophie qui est que sur un flux, il est d'une  COS unique et consistante tout au long de son existence.

Le "je me déguise en VoIP pour le 3 way HandShake puis je repasse en CS0", ben ... dans notre vision c'est pas bon ... et on garde la QoS négociée dans le 3 way HandShake .... donc on hérite de la limitation de débit des classes prioritaires .. limitations établies pour tout un tas de raisons reglementaires (coucou @ARCEP) et sécurité (coucou @ANSSI) ..






kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 611
  • Paris (75)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #89 le: Aujourd'hui à 16:26:40 »
Non, c'est pas un bug (au sens mauvais codage)

C'est une question de gestion de la QoS et à une philosophie qui est que sur un flux, il est d'une  COS unique et consistante tout au long de son existence.

Le "je me déguise en VoIP pour le 3 way HandShake puis je repasse en CS0", ben ... dans notre vision c'est pas bon ... et on garde la QoS négociée dans le 3 way HandShake .... donc on hérite de la limitation de débit des classes prioritaires .. limitations établies pour tout un tas de raisons reglementaires (coucou @ARCEP) et sécurité (coucou @ANSSI) ..

ca veut donc dire que ce n'est pas stateless donc, y'a un tracking des connections meme en IPv6 , la décision n'est pas paquet par paquet ? donc une inspection pour savoir si c'est de l'UDP ou du TCP , etc ?


levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 286
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #90 le: Aujourd'hui à 16:38:39 »
ca veut donc dire que ce n'est pas stateless donc, y'a un tracking des connections meme en IPv6 , la décision n'est pas paquet par paquet ? donc une inspection pour savoir si c'est de l'UDP ou du TCP , etc ?

Inspection, le terme est un peu fort :)
Comme, tu as un firewall dans les LB qui est statefull , à l'ouverture du flux la gestion DSCP est mise en place (que ce soit TCP ou UDP, en Ipv4 ou IPv6).

Le reste du flux n'est plus regardé et traité directement par le hard. Et donc sans changement du DSCP.

Et c'est justement le soucis, comme c'est pas traité paquet par paquet mais flux par flux pour atteindre les perfs, les changement de COS sur un flux sont pas vu ..

LeVieux


renaud07

  • Abonné Orange adsl
  • *
  • Messages: 4 426
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #91 le: Aujourd'hui à 16:50:20 »
C'est quand même assez moyen ce genre de traitement... Les autres FAI font pareil ?

Concernant le débit, tout ce qui est marqué autre que CS0 est limité à 5 Mb/s ou y'a des exceptions ? Genre en EF par exemple ?

kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 611
  • Paris (75)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #92 le: Aujourd'hui à 17:02:25 »
Inspection, le terme est un peu fort :)
Comme, tu as un firewall dans les LB qui est statefull , à l'ouverture du flux la gestion DSCP est mise en place (que ce soit TCP ou UDP, en Ipv4 ou IPv6).

Le reste du flux n'est plus regardé et traité directement par le hard. Et donc sans changement du DSCP.

Et c'est justement le soucis, comme c'est pas traité paquet par paquet mais flux par flux pour atteindre les perfs, les changement de COS sur un flux sont pas vu ..


du coup si on désactive le firewall ca regle le souci ?! ;)

vivien

  • Administrateur
  • *
  • Messages: 50 960
    • Bluesky LaFibre.info
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #93 le: Aujourd'hui à 17:23:13 »
Si c'est sur le même type que cette veille box Sagem, le CPU n'est pas en mesure de faire passer tous les paquets par le NAT/FIREWALL/policies et pour le décharger, on ne passe une seule fois pour chaque flux.

La box FTTH Sagem F@st3190w était saturé avec même pas 20 Mb/s quand on passait tous ses paquets par le CPU (et avec le watchdog elle redémarrait automatiquement).

C'est un sujet que j'ai traité il y a 20 ans, quand les connexions FTTH sont passées de 10 Mb/s à 20 Mb/s  ;D
On pouvait monter à 20 Mb/s, mais pas sur le port 80 à l'époque.

Voici la réponse du chef de projet de CPE FTTH Sagem le 31 juillet 2006 :

Explication des performances non satisfaisantes vues sur un téléchargement HTTP.

Fonctionnement des Accélérateurs:
Lorsque l'utilisateur lance un téléchargement TCP/UDP, les premiers paquets qui sont responsables de l'établissement de la connexion passent par le CPU(chemin classique :NAT/FIREWALL/policies...), une fois le lien est établie tous les prochains paquets passeront par les accélérateurs (chemin rapide). Les accélérateurs n'analyse que l'entête TCP/IP du paquet et pas son contenue.

Cas d'un transfert de texte par MSN MESSENGER:
Lorsque un client utilise MSN MESSENGER pour chatter se dernier se connecte sur le port 1863/TCP à un serveur de chez Microsoft. dans ce cas le Nat est traversé proprement et le message retour est bien identifié par le Firewall du F@st3374.

Cas d'un transfert de vidéo par MSN MESSENGER :
Les problèmes arrivent lorsque le client demande une connexion vocale/video. Dans ce cas, MSN MESSENGER va demander au serveur de choisir un autre port pour faire passer le flux vidéo. Et le problème c'est que ce port est choisie au hasard entre le port TCP/9000 et TCP/65535. Pour que le flux
vidéo provenant du serveur soit identifier par le firewall du F@st3374 et qu'il soit forwardé correctement, tous les paquets msn( TCP et destPort/srcPort = 1863) passeront par une fonction de traitement supplèmentaire qui permet d'analyser les contenues des paquets en plus de leurs entêtes TCP/IP.
Dans ce cas le flux vidéo passera par les accélérateurs(chemin rapide) mais tous les paquets msn(TCP-port =1863) passeront par le CPU(chemin classique).

Cas du port 80:
Si pour une raison ou pour une autre le MSN MESSENGER n'arrive pas à se connecter au serveur Microsoft sur le port 1863 alors il retombe sur le port 80 en faisant du HTTP tunneling. Affin de supporter ce cas bien particulier le F@st3374 fait passer touts les paquets HTTP(port 80) par le même chemin par lequel passe les paquets msn (port 1863).

Solution immédiate :
Ne supporter que le chat en mode texte dans le cas où le client MSN MESSENGER fait du backup sur le port 80. Et si dans ce cas particulier l'utilisateur veut faire du Chat en mode vidéo il doit installer UPNP sur son poste qui va s'en charger  de communiquer avec le Firewall du F@st3374 pour ouvrir les bons ports.

Je reste à votre disposition pour tout éclaircissement supplèmentaire.

Cordialement.


A noter que le même phénomène est utilisé sur le port 21 pour le FTP.

Note : Les box équipées de Watchdog reboot lors d'un transfert HTTP à 20 Mb/s ou plus, le CPU étant utilisé à 100%, le watchdog est là pour rétablir la situation via un reboot


levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 286
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #94 le: Aujourd'hui à 17:36:50 »
du coup si on désactive le firewall ca regle le souci ?! ;)

Il n'est JAMAIS désactivé :)
C'est juste que les règles "clientes" passent en open bar quand tu coches la case "désactivé"

Le FW est toujours en place pour protéger la LB en elle même

Et donc qualifier les flux et le DSCP

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 286
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #95 le: Aujourd'hui à 17:44:45 »
C'est quand même assez moyen ce genre de traitement... Les autres FAI font pareil ?
Ca c'est un choix d'ingénierie de bout en bout.
D'autres FAI considèrent que tout trafic qui vient du client est remarqué en CS0. Donc aucune priorisation TV ou VoIP.
Pour des boxe en mode BRIDGE, on ne sait pas ce qui est fait sur le DSCP coté WAN.
Tout est une question de design de bout en bout. Et là, chaque FAI (petit ou gros) a son propre design, y'a pas de bonnes ou mauvaises règles.


Concernant le débit, tout ce qui est marqué autre que CS0 est limité à 5 Mb/s ou y'a des exceptions ? Genre en EF par exemple ?

Y'a 4 classes je pense sur le réseau orange RBCI, plus la classe est prioritaire, plus le débit est limité à l'accès.
Faudrait que je retrouve les 4 classes et les débits associés, mais je crois que des gens ici l'avaient trouvé par test.

Mais retenir : CS0 PARTOUT et vous aurez accès à 100% du débit (en gestion égalitaire de la congestion avec les autres demandeurs) ...

LeVieux