La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => Opérateurs grand public alternatifs => 
Orne THD => Discussion démarrée par: Nixx le 20 novembre 2023 à 19:12:40
-
Bonjour à tous,
Par avance, désolé si je suis dans la mauvaise section : je suis abonné Omega (à Amnéville) mais je n'ai pas vu de section dédiée, et celle-ci me paraissait la plus pertinente (et j'ai cru voir des threads Omega il y a quelques temps)
Pour le contexte : je suis sur un projet de mapping communautaire et nous souhaitions un serveur de test pour vérifier qu'on ne rencontre pas de problème avec le multijoueur et corriger derrière si besoin. Il y a bien des hébergeurs gratuit, mais aux Etats-unis et les performances sont atroces en plus de la latence très élevé.
Seulement voilà, j'ai fait ma redirection de port dans l'interface du router (box GNX-ED500), bon je n'ai pas accès à toutes les fonctionnalités comme les réglages DHCP, j'aime avoir des ip fixes, surtout pour ce genre de chose. Mais ce n'est pas le problème principal :
Le sujet :
Visiblement, l'ip que le serveur maître a ne correspond pas à l'ip avec lequel le serveur est accessible, comme si j'étais derrière un VLAN ou DMZ.
Je me suis rendu compte que lorsque j'active le DMZ, une ip publique m'est fourni, et c'est celle-ci qui est accessible, DMZ activé, ou non (à condition que le NAT Loopback est activé dans la redirection de port).
Vu qu'une image vaut 1000 mots, je vais vous montrer un screen du client qui fait office de navigateur de serveur, avant ça, je vous explique ce qu'on y voit :
- Le serveur en highlight orange, c'est une adresse que j'ai rentrée manuellement en "épinglé" : de base, elle n'apparaît pas, et l'ip est celle que je retrouve dans le DMZ (désactivé je le rappelle). Si je retire le NAT Loopback du port forwarding, il n'apparaît plus.
- Le serveur en highlight bleu, son adresse correspond à ma véritable ip publique (oui il y a écrit le cgnat-pool, mais en passant la souris dessus, l'ip apparaît), et ça, ça montre la requête initiale au serveur maître, donc il voit qu'il y a quelque chose, mais il n'arrive pas à communiquer avec lui.
Evidemment, mon pare-feu est configuré : pour être sûr j'ai même essayé en retirant l'intégralité des sécurités Windows (pare-feu, antivirus, contrôle d'appli,...) => même constat.
Peut-être que je me trompe dans mes hypothèses (en particulier sur le NAT Loopback et le DMZ), dans ce cas merci de me recadrer.
Je vous remercie d'avance, bonne soirée
EDIT : J'ai vu la section Omega, si un modérateur veut bien simplement déplacer le thread dans la bonne section, merci et désolé ;D
-
Salut
Il faut que tu demandes une IP publique au support, et on te fera ça ;)
-
Ah !
Merci pour ta réponse rapide.
Du coup, c'est quoi l'explication technique derrière tout ça ? On passe par un VLAN ? J'ai fait du réseau (ou du moins passé une certif CCNA), mais plutôt local, réseau entreprise, dès qu'on touche au WAN je suis perdu ;D... Et le symptôme me fait penser à ça.
-
C'est du CGNAT.
Toi, comme d'autres abonnés, avez une IP WAN en 100.xxx.yyy.zzz qui n'existe pas sur Internet.
Une fois arrivé à moi, j'efface ton IP source de tes paquets, et je la remplace par une IP publique, qui existe, elle (pour recevoir les réponses). J'enregistre cette manip en RAM, et j'envoie.
Une fois la réponse reçue, je consulte en RAM qui a fait la demande. Ah c'est toi ? Hop, j'efface mon IP publique et je remets ta 100.xxx.yyy.zzz, et zou. Ni vu ni connu :)
En revanche, l'inverse n'est pas vrai : si tu tapes une IP CGNATtée... bah ok, mais le paquet je le file à qui derrière ? Pierre, Paul ou Jacques ? Voilà pourquoi les connexions entrantes ne fonctionnent pas :)
Sinon, autre solution : faire écouter ton serveur en IPV6 :)
-
C'est très clair merci !
C'est malin : une bonne solution pour sécuriser le réseau des abonnées. Quand j'étais chez Fibra je n'avais pas ça.
J'ai voulu me connecter à "mon compte" pour récupérer le mail du support (ou de quoi les contacter) mais visiblement l'interface a changé et mes identifiants ne fonctionne plus. J'ai fait une réinscription et je vais envoyer un mail pour l'activer.
Bref, sujet résolu
Merci encore :D
-
C'est malin : une bonne solution pour sécuriser le réseau des abonnées.
Rien a voir avec la sécurité, le NAT ne sécurise rien du tout.
-
Rien a voir avec la sécurité, le NAT ne sécurise rien du tout.
Effectivement, l'explication d'Optix m'a laissé penser le contraire, et j'ai lu un article après coup.
-
Bonjour,
nouvel abonné ..malgré moi avec orneTHD... Vu qu'il n'y a pas de concurrence... (ça doit être un sujet piquant, je paris:P
Je suppose donc avoir le même problème, un équipement se bloque vers une 1XX.1XX.X.XX et il m'est impossible d'y régler un accès à distance donc d'être sur un VLAN avec une IP en 213.XXX.XXX.XXX
Sans mentionner des dysfonctionnements de services réglés comme des horloges qui déconnectent toutes les "2:00"
- Connexion ssh avec wireguard instable
- connexion sur un client ZNC instable :
"
[30/11-01:04:39:1139] * Disconnected
[30/11-03:10:35:1135] * Disconnected
[30/11-05:16:34:1134] * Disconnected
[30/11-07:22:39:1139] * Disconnected
[30/11-09:28:51:1151] * Disconnected
[30/11-11:30:50:1150] * Disconnected
[30/11-13:50:18:1118] * Disconnected
[30/11-15:56:26:1126] * Disconnected
[30/11-18:02:30:1130] * Disconnected
[30/11-20:07:46:1146] * Disconnected
[30/11-22:20:27:1127] * Disconnected
"
Réglé comme du papier millimétré
Bien Cordialement.
-
Salut et bienvenue :)
Il faut que tu demandes une IP fixe au support, ça se fait très facilement :)
Donc droppe un mail et lundi tu auras ça !
-
Bonjour,
nouvel abonné ..malgré moi avec orneTHD... Vu qu'il n'y a pas de concurrence... (ça doit être un sujet piquant, je paris:P
Bonjour,
Bizarre, une adresse au hasard sur Rombas pourtant :
-
ornemonopol devait parler de concurrence à débit correct...
Voilà ce qui se passe sans aucune concurrence, même pas celle de l'ADSL ou des box 4G :
Orange ne propose que du satellite
(https://lafibre.info/images/dsp/202408_fibre_optique_cesson_sur_dsp_ftth_ex_covage_eligibilite_orange.webp)
Bouygues Telecom ne propose rien
(https://lafibre.info/images/dsp/202408_fibre_optique_cesson_sur_dsp_ftth_ex_covage_eligibilite_bouygues.webp)
SFR n'a pas d'offre à cette adresse
(https://lafibre.info/images/dsp/202408_fibre_optique_cesson_sur_dsp_ftth_ex_covage_eligibilite_sfr.webp)
-
Pas d’adsl ?
-
L'ADSL n'est plus proposé par Orange, Bouygues et Free quand le débit est inférieur à environ 2 Mb/s.
Ça fait drôle de voir Free être le seul opérateur à proposer de l'ADSL.
-
Sans mentionner des dysfonctionnements de services réglés comme des horloges qui déconnectent toutes les "2:00"
C'est l'effet CGNAT.
Il n'aime pas les sessions longues.
-
C'est l'effet CGNAT.
Il n'aime pas les sessions longues.
C'est un peu le genre de service de basse qualité qui démontre pourquoi Orange, Free, SFR, RED, Bouygues ne peuvent et ne veulent PAS utiliser (louer) le réseau d'orne pour desservir leurs clients.
C'est inacceptable pour ma part ce genre de déconnections, on n'est pas chez AOL en 56k illimités des années 90.
Salut et bienvenue :)
Il faut que tu demandes une IP fixe au support, ça se fait très facilement :)
Donc drop un mail et lundi, tu auras ça !
- J'ai demandé la fameuse "IP FIXE", je ne sais pas ce qu'ils ont sorti du chapeau, mais ça ne ressemble pas à une IP FIXE. Je suis passé d'une IP wan 100.100.x.13 à 100.100.X.24 sinon rien n'a changé, je suis tjrs sur la même IP mutualisée avec quelques milliers d'autres personnes en 213.x.x.x et un Hostname: cgnat-.xxxxxx qui ne me permet pas mes redirections de ports.
Cordialement.
-
- J'ai demandé la fameuse "IP FIXE", je ne sais pas ce qu'ils ont sorti du chapeau, mais ça ne ressemble pas à une IP FIXE. Je suis passé d'une IP wan 100.100.x.13 à 100.100.X.24 sinon rien n'a changé, je suis tjrs sur la même IP mutualisée avec quelques milliers d'autres personnes en 213.x.x.x et un Hostname: cgnat-.xxxxxx qui ne me permet pas mes redirections de ports.
Bouge pas :)
edit: par contre non, pas "qq milliers de personnes", t'es fou. Qq dizaines, sinon tes sessions ne tiendraient pas 2h, mais bcp moins ;D
-
C'est un peu le genre de service de basse qualité qui démontre pourquoi Orange, Free, SFR, RED, Bouygues ne peuvent et ne veulent PAS utiliser (louer) le réseau d'orne pour desservir leurs clients.
C'est inacceptable pour ma part ce genre de déconnections, on n'est pas chez AOL en 56k illimités des années 90.
Ah oui ce même service de "basse qualité" qu'Orange, Free, SFR, Bouygues utilisent en majorité ::)
Le CG-NAT peut convenir à beaucoup de monde qui ont simplement besoin d'une connexion qui leur permet de naviguer sur internet, regarder des vidéos etc... (En soit tout sauf héberger des outils chez soi, en IPv4)
- J'ai demandé la fameuse "IP FIXE", je ne sais pas ce qu'ils ont sorti du chapeau, mais ça ne ressemble pas à une IP FIXE. Je suis passé d'une IP wan 100.100.x.13 à 100.100.X.24 sinon rien n'a changé, je suis tjrs sur la même IP mutualisée avec quelques milliers d'autres personnes en 213.x.x.x et un Hostname: cgnat-.xxxxxx qui ne me permet pas mes redirections de ports.
Cordialement.
Optix va te régler ça aux petits oignons !
(Sinon, l'IPv6 c'est cool, profites-en, on t'en donne une automatiquement chez nous ;) )
-
Et voilà, l'IP est mise :)
-
Et voilà, l'IP est mise :)
Je confirme, ça marche à présent :)
Merci
-
C'est l'effet CGNAT.
Il n'aime pas les sessions longues.
Un CG-Nat coupe des connexions inactives après xxx secondes (aucun paquet échangé).
Si la connexion est active, il ne devrait pas couper la connexion.
Personnellement, je suis sur une box Orange (5G fixe) avec Carrier-grade NAT, mes connexions TCP IPv4 tiennent plusieurs jours, que ce soit du SSH, du SFTP. Idem pour mon VPN Pro qui ne se déconnecte jamais et qui est en IPv4. Je précise IPv4 car en IPv6 je suis en direct (et cela tient aussi plusieurs jours).
Je n'ai jamais rencontré de pb lié au Carrier-grade NAT en 5 mois d'utilisation intensive.
Pourtant, Orange met beaucoup, beaucoup de monde sur une même IPv4 (j'ai eu l'info, mais je ne suis pas sur que je puisse donner l'info publiquement). Il me semble avoir compris qu'il est en mesure de réutiliser les ports source par IP destination : Il n'est pas limité à 60 000 connexions par IPv4, mais est capable de réutiliser les ports source pour chaque IP destination.
-
Un CG-Nat coupe des connexions inactives après xxx secondes (aucun paquet échangé).
Si la connexion est active, il ne devrait pas couper la connexion.
Sauf s'il reboot, s'il flush sa table d'état suite à un changement de config, si le traffic issu de ta connexion change de CGNAT suite à un refactoring réseau, et j'en passe. Il y a de nombreuses raisons pour que ca se passe.
Personnellement, je suis sur une box Orange (5G fixe) avec Carrier-grade NAT, mes connexions TCP IPv4 tiennent plusieurs jours, que ce soit du SSH, du SFTP. Idem pour mon VPN Pro qui ne se déconnecte jamais et qui est en IPv4. Je précise IPv4 car en IPv6 je suis en direct (et cela tient aussi plusieurs jours).
Je n'ai jamais rencontré de pb lié au Carrier-grade NAT en 5 mois d'utilisation intensive.
Celui de Bouygues sur une connexion mobile est bien plus problématique :-)
Il n'est pas limité à 60 000 connexions par IPv4, mais est capable de réutiliser les ports source pour chaque IP destination.
Tous les NATs sont capables de faire ca, non ? La limite de 65k connexions TCP par IP destination est liée à la facon dont les connexions sont identifiées (tuple {IP source, IP destination, port source, port destination, protocole}).
Si on considère qu'UDP représente une part croissante du traffic (Quic/HTTP3), on a 130k connexions possibles par adresse IP destination pour chaque IP du pool CGNAT (65k ports pour TCP, 65k ports pour UDP).
Maintenant, le souci des CGNAT, c'est de persister ces états en mémoire sur la durée. Peut-être qu'Orange réplique et synchronise les états entre plusieurs CGNAT physiques et que ca lui permet d'intervenir sur un CGNAT sans perdre les sessions.
-
Je précise IPv4 car en IPv6 je suis en direct (et cela tient aussi plusieurs jours).
C'est une tangeante au sujet, mais le réseau mobile permet-il du traffic entrant non sollicité en IPv6 sur ces offres ? Je suppose que le préfixe change à chaque reboot ou reconnexion ?
-
Celui de Bouygues sur une connexion mobile est bien plus problématique :-)
Oui, à l'époque une connexion SSH sans activité après 5 seconde était coupée
=> Tutoriel pour ne plus être déconnecté en SSH derrière un Carrier-grade NAT (https://lafibre.info/tcpip/ssh-cg-nat/)
C'est une tangeante au sujet, mais le réseau mobile permet-il du traffic entrant non sollicité en IPv6 sur ces offres ? Je suppose que le préfixe change à chaque reboot ou reconnexion ?
C'est selon les opérateurs.
SFR permet d'ouvrir les flux en IPv6 et en IPv4 (une IPv4 dédiée par client box 4G/5G).
Bouygues devrait permettre d'ouvrir les flux entrant en IPv6 c'est prévu.
Orange et Free ne permettent pas les connexions entrantes quel que soit le protocole.
Toutes les données sont dans le baromètre IPv6 Arcep :
Activation d’IPv6 et Pare-feu IPv6
(https://lafibre.info/images/ipv6/202407_arcep_barometre_ipv6_2024_28_activation_ipv6.webp)
Partage d’IPv4, adresses IP fixes ou dynamiques
(https://lafibre.info/images/ipv6/202407_arcep_barometre_ipv6_2024_27_partage_ipv4.webp)
-
Hello,
quoi qui l'en soit, l'IP fixe ne règle que le problème des redirections de ports, le service ornethd en CG-NAT reste un problème avec "des déconnexions programmé toutes les 2 heures".
Ce qui ne me convient pas.
Même s'il y a des options pour ne pas être déconnecté en SSH derrière un Carrier-grade NAT
https://lafibre.info/tcpip/ssh-cg-nat/
Mais il n'y a pas que SSH qui est impacté
autre exemple pour n'en citer qu'un: Je ne peux même pas avoir une conversation sur Mirc sans perdre la moitier de la discution sur le chan toutes les 2 heures.
ce qui commence à me souler.
PS: Je n'ai jamais vu/eu ce problème avec des opérateurs tels qu'Orange, Free
-
As-tu l'option de te connecter à ton serveur IRC en IPv6 ? Pareil pour SSH, si les serveurs sont accessibles en v6 ? Ca réduirait l'impact, bien sûr sans résoudre le souci du CG-NAT.
-
Hello,
quoi qui l'en soit, l'IP fixe ne règle que le problème des redirections de ports, le service ornethd en CG-NAT reste un problème avec "des déconnexions programmé toutes les 2 heures".
Ce qui ne me convient pas.
Même s'il y a des options pour ne pas être déconnecté en SSH derrière un Carrier-grade NAT
https://lafibre.info/tcpip/ssh-cg-nat/?action=post;quote=451790;last_msg=464150 (https://lafibre.info/tcpip/ssh-cg-nat/?action=post;quote=451790;last_msg=464150)
Mais il n'y a pas que SSH qui est impacté
autre exemple pour n'en citer qu'un: Je ne peux même pas avoir une conversation sur Mirc sans perdre la moitier de la discution sur le chan toutes les 2 heures.
ce qui commence à me souler.
PS: Je n'ai jamais vu/eu ce problème avec des opérateurs tels qu'Orange, Free
Même en IP fixe/dédiée tu as ce soucis ?
Si c'est le cas c'est étrange, je n'ai pas ce soucis de mon côté.
-
As-tu l'option de te connecter à ton serveur IRC en IPv6 ? Pareil pour SSH, si les serveurs sont accessibles en v6 ? Ca réduirait l'impact, bien sûr sans résoudre le souci du CG-NAT.
Je passe par un client znc
Même en IP fixe/dédiée tu as ce soucis ?
Si c'est le cas c'est étrange, je n'ai pas ce soucis de mon côté.
A première vu oui, de ce que je peux voir à distance
Il y a eu des déconnexions à
1:06
3:17
5:16
7:21
9:27
11:33
13:39
15:45
-
Je passe par un client znc
A première vu oui, de ce que je peux voir à distance
Il y a eu des déconnexions à
1:06
3:17
5:16
7:21
9:27
11:33
13:39
15:45
C'est bien la première fois qu'on entend parler de ce soucis, essaie de contacter le SAV pour le coup. On va pouvoir investiguer si un ticket est créé, comme le forum n'a pas la vocation à devenir un canal de SAV, on peut pas mobiliser des équipes sans signalement.
Essaie de donner le plus d'info (destination, port, éventuellement un pingplotter peut-être), le mieux par mail.
-
C'est bien la première fois qu'on entend parler de ce soucis, essaie de contacter le SAV pour le coup. On va pouvoir investiguer si un ticket est créé, comme le forum n'a pas la vocation à devenir un canal de SAV, on peut pas mobiliser des équipes sans signalement.
Essaie de donner le plus d'info (destination, port, éventuellement un pingplotter peut-être), le mieux par mail.
j'ai bien des déconnexions "par ports" à échéance de 2 heures, en exemple principal , ZNC1, ZNC2, SSH ne sont jamais déconnectés au même moment.
il faut que je regarde l'utilisation de pingplotter, il est lancé depuis hier mais je ne connais pas le prog, je regarde en fin de journée.
-
Hello
J'étais de passage et j'ai vu que mon thread a continué d'être actif depuis
Bref, pour le fin mot de l'histoire de mon côté, j'ai simplement demandé (par mail de mémoire) de passer hors CG-NAT, ça a été vite traité et j'ai pu faire des hébergements de serveurs quand j'avais besoin
Mais depuis ce moment-là, ou peut-être peu de temps après, mon débit ne correspondait plus à mon forfait (500 Mb/s down, 300 Mb/s up), sur les speed test je frôle le Gb/s.
Je travail de chez moi et le téléchargement de fichier volumineux pour le boulot est fréquent, donc je ne vais pas m'en plaindre 😄
Impossible de savoir si ça monte réellement plus haut, mon pc desktop est en interface 1Gb, tout comme la box Genexis, qui en plus est en Wifi 5
Peut-être que j'envisagerai de prendre ma propre box lorsque je changerais de carte mère d'ici 2 ans, les interfaces 2.5GbE sont devenu la norme
Si vous recommandez des marques je suis preneur. Je connais que CISCO car j'avais été formé dessus mais clairement pas adapté aux particuliers