Auteur Sujet: Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN (Lu 16780 fois)

levieuxatorange · « **Réponse #120 le:** 02 octobre 2025 à 15:34:48 »

@kgersen ta question sur le maintient d'un même DSCP tout au long du flux mérite une conversation à part entière et qui n'est pas liée que à Orange.

J'ai ouvert un thread la dessus
https://lafibre.info/tcpip/dscp-de-la-conservation-dun-unique-dscp-sur-la-vie-dun-flux/

Pour échange avec discussion autour des RFC et des pratiques (bonnes ou mauvaises) vue sur le réseau en 2025 et de ce que l'on imagine qui pourrait être une vision pour le futur.

Ce thread visera à être très technique, pour ceux qui se sentent de venir participer.

LeVieux

levieuxatorange · « **Réponse #121 le:** 03 octobre 2025 à 09:55:44 »

Bonjour

L'alerte est remonté et a été reçu a bon niveau.
J'ai eu l'info que le travail commence :
- pour faire une action court terme pour rétablir le rendu correcte du service dans ce cas d'usage
- long terme pour réfléchir à comment offrir le meilleur réseau possible en prenant en compte l'état de l'art DSCP 2025. Celui là va piquer un peu plus je pense vu nos discutions.

LeVieux

fifi200 · « **Réponse #122 le:** **Hier** à 14:17:54 »

Citation de: levieuxatorange le 02 octobre 2025 à 10:31:15

Oui ! effectivement, bien vu !

Le client OpenSSH a un parametre IPQoS qui permet de choisir le DSCP suivant que la connection est interactive ou pas.

Le défaut sur 10.0p1 de debian 13 / proxmox 9 est :

Code: [Sélectionner]

# sshd -T|grep -i qos
ipqos lowdelay throughput

La doc : https://man7.org/linux/man-pages/man5/ssh_config.5.html

Code: [Sélectionner]

IPQoS   Specifies the IPv4 type-of-service or DSCP class for
               connections.  Accepted values are af11, af12, af13, af21,
               af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1,
               cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay,
               throughput, reliability, a numeric value, or none to use
               the operating system default.  This option may take one or
               two arguments, separated by whitespace.  If one argument
               is specified, it is used as the packet class
               unconditionally.  If two values are specified, the first
               is automatically selected for interactive sessions and the
               second for non-interactive sessions.  The default is af21
               (Low-Latency Data) for interactive sessions and cs1 (Lower
               Effort) for non-interactive sessions.

Un point a mentionner aux dev wireguard pour leur demander d'ajouter une option

lpouzenc · « **Réponse #123 le:** **Hier** à 18:42:44 »

Bonjour,
Pour ce qui est de la question de bugreport côté wireguard, je veux bien m'en charger, mais j'ai une première nouvelle : ça se passe via une mailing list, et en consultant son archive, il y a déjà eu plusieurs discussions avec le mot clé DSCP là bas, la recherche gogole suivante les met en évidence :

https://www.google.com/search?q=site:lists.zx2c4.com/pipermail/wireguard DSCP

Et la question est peut être déjà restée indécise entre 2019 et 2021 :
https://lists.zx2c4.com/pipermail/wireguard/2019-March/004046.html
https://lists.zx2c4.com/pipermail/wireguard/2021-July/006853.html

Et côté wireguard linux, on ne peut pas dire qu'ils font rien à propos de DSCP (plusieurs pages de commits rien que sur 2025 et 2024) :
https://git.zx2c4.com/wireguard-linux/log/?qt=grep&q=DSCP

J'hésite à pousser un message dans ma mailing list en candide et en ayant pas encore trop compris quels sont les différents aspect sécurité vs performance qu'ils ont déjà balayé mais je crains que ça soit maladroit. Je vais essayer de lire un peu + chez eux d'abord. Un gars mentionne des "design decisions" de l'équipe de wireguard et je ne sais pas où les lire pour l'instant.

Amicalement,
Ludovic

lpouzenc · « **Réponse #124 le:** **Hier** à 18:48:58 »

Re-bonjour,

Plutôt un message pour @LeVieuxAtOrange :

Est-ce qu'il y a pu y avoir des avancées IPv6 pour :
- les tags DSCP qui ne sont pas forcés à CS0 au niveau des interco autre opérateurs -> Orange
- les tags DSCP apparemment forcés en autre que CS0 au niveau de (certaines?) livebox

Je force mes backups en ssh en IPv4 pour l'instant, pour ne pas tomber dans le cas 5mbit/s max en IPv6, qui se produit même si je met tout bien en CS0 aux deux bouts (client ssh local, avant une livebox 6 et serveur ssh distant).

Merci,
Ludo

kgersen · « **Réponse #125 le:** **Hier** à 19:16:53 »

Citation de: lpouzenc le Hier à 18:42:44

Bonjour,
Pour ce qui est de la question de bugreport côté wireguard,

bugreport de quoi ? y'a pas de bug a mon sens.

et y'a l'autre sujet sujet pour discuter pour savoir si c'est un bug ou pas.

renaud07 · « **Réponse #126 le:** **Hier** à 21:31:42 »

J'ai fait quelques tests de mon côté et il semble que seule la réponse au handshake soit tag AF41, donc une règle côté serveur et c'est terminé, non ?

lpouzenc · « **Réponse #127 le:** **Hier** à 21:47:12 »

Citation de: kgersen le Hier à 19:16:53

bugreport de quoi ? y'a pas de bug a mon sens.

et y'a l'autre sujet sujet pour discuter pour savoir si c'est un bug ou pas.

Je propose ça en réaction à la lecture du message #80 de ce thread, j'ai tenté ma maigre contribution dans l'autre thread plutôt à propos de SSH. BurReport pour au moins voir d'avoir une option - si elle n'existe vraiment pas - pour pouvoir configurer une autre comportement sur le DSCP que celui par défaut dans wireguard.

Idéalement, s'il n'y avait jamais de bwlimit du tout dans le réseau que je serai plus heureux, on est dans la même équipe je pense

Ludo

lpouzenc · « **Réponse #128 le:** **Hier** à 22:27:03 »

Citation de: renaud07 le Hier à 21:31:42

J'ai fait quelques tests de mon côté et il semble que seule la réponse au handshake soit tag AF41, donc une règle côté serveur et c'est terminé, non ?

Merci pour la capture. Pour le cas essayé, une seule règle serveur devrait suffire effectivement. A priori, tous les packets du handshake sont taggé AF41, dans les deux sens par les implémentations de wireguard, j'imagine que tu captures à un endroit à après une première altération qui nous arrange (ptet une livebox en v4 qui a bien remis à 0 des choses ?) mais je n'ai pas tout le contexte.

Dans le cas IPv6 / livebox 6 / Sosh Fibre chez moi, il y a un petit empilement de problèmes actuels qui font que non, même une règle côté serveur, ça ne suffit pas. Comme pour ssh dans mon cas, mettre IPQoS CS0 aux deux bouts ne suffit pas.

En tout cas, en ayant rattrapé 3 semaines de messages de ce thread d'un seul coup, je crois comprendre qu'il faudrait que tous les clients Wireguard aient une option pour CS0 les paquets handshake pour couvrir toutes les combinaisons qui amènent à 5mbit/s en l'état actuel (les cas 5G, les cas box qui reset pas le DSCP, les cas interco inter-opérateur qui reset pas les DSCP...).

En allant dire bonjour sur https://web.libera.chat/#wireguard j'ai un gars qui m'a pointé le paragraphe qui affirme qu'ils mettent AF41 sur tous les packets de handshake et pourquoi : https://www.wireguard.com/protocol/#diffserv-considerations

Et la réaction du gars à propos de "voice" et 5mbit/s est : I'm assuming they classify AF41 as "voice"?

Ce qui en allant brièvement relire sur wikipedia en étant fatigué ce soir, est effectivement un peu fort de café vu d'un dev d'un protocole / outils de VPN probablement :

Application	PHB	DSCP	RFC
Network Control	CS6	48	RFC 2474[3]
VoIP Telephony	EF	46	RFC 3246[4]
Call Signaling	CS5	40	RFC 2474[3]
Multimedia Conferencing	AF41	34	RFC 2597[5]
Real-Time Interactive/TelePresence	CS4	32	RFC 2474[3]
Multimedia Streaming	AF31	26	RFC 2597[5]
Broadcast Video	CS3	24	RFC 2474[3]
Low-Latency/transactional data	AF21	18	RFC 2597[5]
Operations/administrations/management	CS2	16	RFC 2474[3]
High-Troughput/Bulk Data	AF11	10	RFC 2597[5]
Best Effort	DF	0	RFC 2474[3]
Low-Profit/Scavenger Data	CS1	8	RFC 3662[6]

Ludo

renaud07 · « **Réponse #129 le:** **Hier** à 23:53:50 »

J'ai fait ma capture depuis un client windows et derrière ma connexion qui a un openWRT et pas de Livebox (idem côté serveur, pas de LB), donc les paquets ne sont normalement pas modifiés.

Autre capture depuis mon smartphone, là aussi j'ai CS0 puis AF41 en réponse. Serait-ce uniquement le client Linux qui tag tout ? (j'ai pas encore vérifié)

EDIT : C'est effectivement le client Linux qui tag aussi l’initiation.

lpouzenc · « **Réponse #130 le:** **Aujourd'hui** à 07:50:12 »

Merci pour les captures !

Dans le dépôt wireguard-windows, le mot clé DSCP n'apparait apparemment pas. Mais bon comme il y a plusieurs quasi-synonymes (differentiated services, TOS), il faudrait lire +.

Dans le dépot android, il est mentionné 2 cas de figure : l'app Wireguard essaiera d'utiliser l'implémentation kernel de wireguard si elle est dispo, sinon utiliser une implémentation user-space (qui ne modifie pas le DSCP, peut être même parce qu'elle ne le peut pas du tout via l'api fournie). Dans le premier cas, c'est la codebase linux qui est utilisée, donc elle va très probablement forcer AF41 au handshake... mais cette config n'est peut être pas très répandue aujourd'hui, je ne sais pas s'il existe des kernel android officiels qui embarquent wireguard / à partir de quelle version. https://git.zx2c4.com/wireguard-android/tree/README.md#n5
L'intégration est expliquée ici : https://git.zx2c4.com/android_kernel_wireguard/about/

Je pourrai essayer un tel avec GrapheneOS dans quelques temps, j'imagine qu'ils ont wireguard dans le kernel.

Plus j'avance, plus je me dit que même si une option était ajoutée demain pour choisir le DSCP, on l'aurai de dispo sur tous les cas de figure plausiblement impactés dans plusieurs années (rien que par le jet lag entre le moment où du code non-security-patch est poussé dans les nouveaux kernels et leur utilisation dans une partie majoritaire du parc de smartphone ou de distro linux serveurs).