Auteur Sujet: Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN  (Lu 17303 fois)

0 Membres et 1 Invité sur ce sujet

lpouzenc

  • Abonné Sosh fibre
  • *
  • Messages: 18
  • Chambéry (73)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #132 le: Aujourd'hui à 08:35:31 »
@lpouzenc
Juste pour info, sur GrapheneOS wireguard ne fonctionne qu'en userspace.

Merci ! Ca fait une branche en moins sur l'arbre des questions. Il n'y aura vraisemblablement pas de pb de DSCP AF41 avec wireguard sur GrapheneOS.

Est-ce qu'il y a des gens ici qui ont eu la limite à 5mbit/s et qui ne sont pas dans le cas où au moins un des peer wireguard concerné est un serveur linux, ou bien avec un serveur linux mais où le DSCP a été forcé avec une commande "tc" ou une règle iptables/nftables ?

Je vais probablement essayer tailscale/headscale et construire une commande pour forcer le DSCP sous linux pour wireguard aujourd'hui.

Ludovic

lpouzenc

  • Abonné Sosh fibre
  • *
  • Messages: 18
  • Chambéry (73)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #133 le: Aujourd'hui à 10:41:22 »
Pour contourner le problème de limitation à 5mbit/s dans le cas d'une connexion wireguard entre un serveur linux et un client qui ne tagge pas les paquets handshake (apparement : clients windows, au moins certains android), si on est admin du serveur linux et qu'il est relativement moderne et configuration de firewall préalable (ne pas mélanger avec du viel iptables).

root@my-linux-server:~# editor /etc/nftables.conf
(personnaliser les lignes define et les commandes mentionnées après selon le nom de l'interface réseau connectée à internet et la valeur ListenPort configurée dans votre config WireGuard).

#!/usr/sbin/nft -f
define if_internet = ens6
define port_wireguard = 5678
flush ruleset
table inet filter {
        chain input { type filter hook input priority filter; policy accept; }
        chain forward { type filter hook forward priority filter; policy accept; }
        chain output {
                type filter hook output priority filter; policy accept;
                oifname $if_internet udp sport $port_wireguard ip dscp set cs0
        }
}

Puis activer une première fois et vérifier avec :

root@my-vps:~# /etc/nftables.conf
root@my-vps:~# nft list ruleset

Cette commande list ruleset devrait montrer les règles présente et actives au niveau du kernel. Elle devrait notamment contenir la ligne qui se termine par ip dscp set cs0.

Pour observer le traffic modifié, éteindre le tunnel depuis le client puis, sur le serveur :

root@my-vps:~# tcpdump -nvc10 -i ens6 udp port 5678
tcpdump: listening on ens6, link-type EN10MB (Ethernet), snapshot length 262144 bytes

# Allumer le client tant que cette commande bloque le terminal

08:27:28.330676 IP (tos 0x0, ttl 44, id 26194, offset 0, flags [none], proto UDP (17), length 176)
    X.Y.Z.W.5678 > A.B.C.D.5678: UDP, length 148
08:27:28.331160 IP (tos 0x0, ttl 64, id 58739, offset 0, flags [none], proto UDP (17), length 120)
    A.B.C.D.5678 > X.Y.Z.W.5678: UDP, length 92
08:27:28.370997 IP (tos 0x0, ttl 44, id 26202, offset 0, flags [none], proto UDP (17), length 60)
    X.Y.Z.W.5678 > A.B.C.D.5678: UDP, length 32
^C

Vérifier que les valeurs "tos" sont bien à 0 sur les 3 premiers paquets (=handshake, normalement tous les suivants étaient déjà à 0). Terminer la capture de paquets par Ctrl-C.

Pour les distributions de type Debian et normalement beaucoup d'autres, ce fichier là sera automatiquement chargé par systemd au démarrage du système si le paquet nftables est installé.

levieuxatorange

  • Expert Orange
  • Expert
  • *
  • Messages: 303
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #134 le: Aujourd'hui à 13:57:40 »
@vivien tu pourrais me préciser exactement l'abonnement que tu as sur ta 5G Home  avec le Flybox 2 ?
C'est du 5G+ Home ou du 5G "normal" HOME ?

C'est pour les Lab chez Orange pour reproduire tous ces cas et choisir la bonne modif à faire au bon endroit (pour le court terme)

Reste la longue discution sur l'autre Thread de " c'est quoi au global la bonne cible"

LeVieux


vivien

  • Administrateur
  • *
  • Messages: 51 027
    • Bluesky LaFibre.info
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #135 le: Aujourd'hui à 14:34:30 »
Matériellement, j'ai une Flybox 2-5G
Modèle : 5G19-01W-A
J'ai laissé la configuration par défaut, sauf pour le SSID WiFi.

L'abonnement, c'est de la 5G "normal" NSA, car j'ai souscrit en juillet 2024 (Le passage en 5G SA nécessite une résiliation et une re-souscription, ce que je n'ai pas fait, concrètement si dans l'interface, je force le mode "5G SA uniquement", je perds le réseau).

La SIM a été changée après un incident en mai 2025 sur mon antenne (déviation en temps de la synchro PTP sur la zone générant un brouillage de l’UL) - quand le support voit un pb, il change la SIM et ensuite, il change la box (moi je n'ai pas été faire le changement des box, mais des voisins si). À aucun moment, ils se disent que plusieurs clients sur la même zone appellent pour le même pb, cela ne doit pas être une SIM défectueuse, mais l'antenne.


kgersen

  • Modérateur
  • Abonné Orange Fibre
  • *
  • Messages: 9 626
  • Paris (75)
Orange: Débit limité à 5 Mb/s avec les flux DSCP 2 ou certains VPN
« Réponse #136 le: Aujourd'hui à 17:04:34 »

Et la réaction du gars à propos de "voice" et 5mbit/s est : I'm assuming they classify AF41 as "voice"?

Ce qui en allant brièvement relire sur wikipedia en étant fatigué ce soir, est effectivement un peu fort de café vu d'un dev d'un protocole / outils de VPN probablement :

Application PHB DSCP RFC
Network Control CS6 48 RFC 2474[3]
VoIP Telephony EF 46 RFC 3246[4]
Call Signaling CS5 40 RFC 2474[3]
Multimedia Conferencing AF41 34 RFC 2597[5]
Real-Time Interactive/TelePresence CS4 32 RFC 2474[3]
Multimedia Streaming AF31 26 RFC 2597[5]
Broadcast Video CS3 24 RFC 2474[3]
Low-Latency/transactional data AF21 18 RFC 2597[5]
Operations/administrations/management CS2 16 RFC 2474[3]
High-Troughput/Bulk Data AF11 10 RFC 2597[5]
Best Effort DF 0 RFC 2474[3]
Low-Profit/Scavenger Data CS1 8 RFC 3662[6]

Ludo

A ma connaissance, AF41 n'est explicitement "normalisé" pour la voix/conf. Cisco et d'autres présentent des tableaux avec ca (que wikipédia a repris) mais dans la RFC rien n'est imposé.
Rien n’empêche de s'en servir pour wireguard. L'avantage d'AF41 "CS4 low drop" donc la plus prio, low drop des 4 classes utilisables pour du trafic applicatif. En gros ce qui a le plus de change de ne pas se perdre sans être 'prio systeme ou vitale".
AF41 a été utilisé pour du gaming aussi (meme si de nos jours ca ne sert plus trop hors LAN/WAN privé).