@kgersen ta question sur le maintient d'un même DSCP tout au long du flux mérite une conversation à part entière et qui n'est pas liée que à Orange.

J'ai ouvert un thread la dessus
https://lafibre.info/tcpip/dscp-de-la-conservation-dun-unique-dscp-sur-la-vie-dun-flux/

Pour échange avec discussion autour des RFC et des pratiques (bonnes ou mauvaises) vue sur le réseau en 2025 et de ce que l'on imagine qui pourrait être une vision pour le futur.

Ce thread visera à être très technique, pour ceux qui se sentent de venir participer.

LeVieux

Oui ! effectivement, bien vu !

Le client OpenSSH a un parametre IPQoS qui permet de choisir le DSCP suivant que la connection est interactive ou pas.

Le défaut sur 10.0p1 de debian 13 / proxmox 9 est :

# sshd -T|grep -i qos
ipqos lowdelay throughput
La doc : https://man7.org/linux/man-pages/man5/ssh_config.5.html

IPQoS   Specifies the IPv4 type-of-service or DSCP class for
               connections.  Accepted values are af11, af12, af13, af21,
               af22, af23, af31, af32, af33, af41, af42, af43, cs0, cs1,
               cs2, cs3, cs4, cs5, cs6, cs7, ef, le, lowdelay,
               throughput, reliability, a numeric value, or none to use
               the operating system default.  This option may take one or
               two arguments, separated by whitespace.  If one argument
               is specified, it is used as the packet class
               unconditionally.  If two values are specified, the first
               is automatically selected for interactive sessions and the
               second for non-interactive sessions.  The default is af21
               (Low-Latency Data) for interactive sessions and cs1 (Lower
               Effort) for non-interactive sessions.
Un point a mentionner aux dev wireguard pour leur demander d'ajouter une option

Re-bonjour,

Plutôt un message pour @LeVieuxAtOrange :

Est-ce qu'il y a pu y avoir des avancées IPv6 pour :
- les tags DSCP qui ne sont pas forcés à CS0 au niveau des interco autre opérateurs -> Orange
- les tags DSCP apparemment forcés en autre que CS0 au niveau de (certaines?) livebox

Je force mes backups en ssh en IPv4 pour l'instant, pour ne pas tomber dans le cas 5mbit/s max en IPv6, qui se produit même si je met tout bien en CS0 aux deux bouts (client ssh local, avant une livebox 6 et serveur ssh distant).

Merci,
Ludo

J'ai fait quelques tests de mon côté et il semble que seule la réponse au handshake soit tag AF41, donc une règle côté serveur et c'est terminé, non ?

J'ai fait quelques tests de mon côté et il semble que seule la réponse au handshake soit tag AF41, donc une règle côté serveur et c'est terminé, non ?

Merci pour la capture. Pour le cas essayé, une seule règle serveur devrait suffire effectivement. A priori, tous les packets du handshake sont taggé AF41, dans les deux sens par les implémentations de wireguard, j'imagine que tu captures à un endroit à après une première altération qui nous arrange (ptet une livebox en v4 qui a bien remis à 0 des choses ?) mais je n'ai pas tout le contexte.

Dans le cas IPv6 / livebox 6 / Sosh Fibre chez moi, il y a un petit empilement de problèmes actuels qui font que non, même une règle côté serveur, ça ne suffit pas. Comme pour ssh dans mon cas, mettre IPQoS CS0 aux deux bouts ne suffit pas.

En tout cas, en ayant rattrapé 3 semaines de messages de ce thread d'un seul coup, je crois comprendre qu'il faudrait que tous les clients Wireguard aient une option pour CS0 les paquets handshake pour couvrir toutes les combinaisons qui amènent à 5mbit/s en l'état actuel (les cas 5G, les cas box qui reset pas le DSCP, les cas interco inter-opérateur qui reset pas les DSCP...).

En allant dire bonjour sur https://web.libera.chat/#wireguard j'ai un gars qui m'a pointé le paragraphe qui affirme qu'ils mettent AF41 sur tous les packets de handshake et pourquoi : https://www.wireguard.com/protocol/#diffserv-considerations

Et la réaction du gars à propos de "voice" et 5mbit/s est : I'm assuming they classify AF41 as "voice"?

Ce qui en allant brièvement relire sur wikipedia en étant fatigué ce soir, est effectivement un peu fort de café vu d'un dev d'un protocole / outils de VPN probablement :

Application	PHB	DSCP	RFC
Network Control	CS6	48	RFC 2474[3]
VoIP Telephony	EF	46	RFC 3246[4]
Call Signaling	CS5	40	RFC 2474[3]
Multimedia Conferencing	AF41	34	RFC 2597[5]
Real-Time Interactive/TelePresence	CS4	32	RFC 2474[3]
Multimedia Streaming	AF31	26	RFC 2597[5]
Broadcast Video	CS3	24	RFC 2474[3]
Low-Latency/transactional data	AF21	18	RFC 2597[5]
Operations/administrations/management	CS2	16	RFC 2474[3]
High-Troughput/Bulk Data	AF11	10	RFC 2597[5]
Best Effort	DF	0	RFC 2474[3]
Low-Profit/Scavenger Data	CS1	8	RFC 3662[6]

Ludo

Merci pour les captures !

Dans le dépôt wireguard-windows, le mot clé DSCP n'apparait apparemment pas. Mais bon comme il y a plusieurs quasi-synonymes (differentiated services, TOS), il faudrait lire +.

Dans le dépot android, il est mentionné 2 cas de figure : l'app Wireguard essaiera d'utiliser l'implémentation kernel de wireguard si elle est dispo, sinon utiliser une implémentation user-space (qui ne modifie pas le DSCP, peut être même parce qu'elle ne le peut pas du tout via l'api fournie). Dans le premier cas, c'est la codebase linux qui est utilisée, donc elle va très probablement forcer AF41 au handshake... mais cette config n'est peut être pas très répandue aujourd'hui, je ne sais pas s'il existe des kernel android officiels qui embarquent wireguard / à partir de quelle version. https://git.zx2c4.com/wireguard-android/tree/README.md#n5
L'intégration est expliquée ici : https://git.zx2c4.com/android_kernel_wireguard/about/

Je pourrai essayer un tel avec GrapheneOS dans quelques temps, j'imagine qu'ils ont wireguard dans le kernel.

Plus j'avance, plus je me dit que même si une option était ajoutée demain pour choisir le DSCP, on l'aurai de dispo sur tous les cas de figure plausiblement impactés dans plusieurs années (rien que par le jet lag entre le moment où du code non-security-patch est poussé dans les nouveaux kernels et leur utilisation dans une partie majoritaire du parc de smartphone ou de distro linux serveurs).