Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1540068 fois)

zoc · « **Réponse #3792 le:** 30 août 2018 à 14:16:22 »

Un serveur VPN situé sur une machine derrière le routeur ne désactive évidemment pas l'offload du routeur...

Si même dans ces cas là il y a des problèmes de perf, alors le routeur n'est pas en cause (perso je regarderais du coté de la MTU et m'assurerais que la machine serveur VPN clampe bien le MSS des sessions TCP montées à travers le tunnel, afin d'éviter la fragmentation).

computman · « **Réponse #3793 le:** 30 août 2018 à 14:27:44 »

Citation de: zoc le 30 août 2018 à 14:16:22

Un serveur VPN situé sur une machine derrière le routeur ne désactive évidemment pas l'offload du routeur...

Si même dans ces cas là il y a des problèmes de perf, alors le routeur n'est pas en cause (perso je regarderais du coté de la MTU et m'assurerais que la machine serveur VPN clampe bien le MSS des sessions TCP montées à travers le tunnel, afin d'éviter la fragmentation).

J'irais trifouiller le serveur et le client pour ajuster

Des valeurs de MSS et de MTU à me conseiller ?

zoc · « **Réponse #3794 le:** 30 août 2018 à 14:41:40 »

MTU = 1500 - l'overhead dû à OpenVPN (que je ne connais pas). Ensuite enlever encore 40 octets pour obtenir le MSS...

computman · « **Réponse #3795 le:** 30 août 2018 à 14:45:55 »

Citation de: zoc le 30 août 2018 à 14:41:40

MTU = 1500 - l'overhead dû à OpenVPN (que je ne connais pas). Ensuite enlever encore 40 octets pour obtenir le MSS...

Merci

J'ai trouve ça sur l'overhead pour commencer de quelquechose

Code: [Sélectionner]

It varies depending on options.  With a TUN-style tunnel over UDP using 
the default TLS options, the per-packet overhead is:

41 bytes security layer overhead (includes packet tag (1), HMAC-SHA1
signature (20), initialization vector (16), sequence number (4))

28 bytes tunneling overhead (includes IP + UDP header)

Total: 69 bytes per packet

If your data stream is compressible, you can potentially gain back all of 
this overhead.

Je vais tâtonner pour trouver les bonnes valeurs chez moi

Merci

sbo · « **Réponse #3796 le:** 30 août 2018 à 16:25:17 »

Bon mon soucis que je pensais résolut de nat 443 est revenu et impossible de revenir sur une version fonctionnelle.

Le downgrade de firmware est t'il possible sur les EdgeRouter par exemple 1.10.5 > v1.9.7+hotfix.3

Je vois qu'une version 1.10.6 est déjà disponible. Mais comme elle touche au dns, il faudra probablement patienter.

sbo · « **Réponse #3797 le:** 30 août 2018 à 16:59:13 »

Il y a t'il des gourou de tcpdump ?

Voila la trace quand je nat 443 > 443 (ne fonctionne pas)

Code: [Sélectionner]

16:54:10.027969 IP 192.168.0.254.58733 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 64766, win 4096, options [nop,nop,TS val 725341875 ecr 1393096858], length 677
16:54:10.032307 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [S], seq 3876331547, win 29200, options [mss 1460,sackOK,TS val 19856685 ecr 0,nop,wscale 7], length 0
16:54:10.033057 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [.], ack 1903322113, win 229, options [nop,nop,TS val 19856685 ecr 1393102380], length 0
16:54:10.037817 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [S], seq 3989155136, win 29200, options [mss 1460,sackOK,TS val 19856686 ecr 0,nop,wscale 7], length 0
16:54:10.038466 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [.], ack 3761573308, win 229, options [nop,nop,TS val 19856687 ecr 1393102385], length 0
16:54:10.038635 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 1378:2067, ack 44223, win 4096, options [nop,nop,TS val 725341883 ecr 1393096738], length 689
16:54:10.058550 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [S], seq 3462102175, win 29200, options [mss 1460,sackOK,TS val 19856692 ecr 0,nop,wscale 7], length 0
16:54:10.059540 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [.], ack 3148213592, win 229, options [nop,nop,TS val 19856692 ecr 1393102406], length 0
16:54:10.208501 IP 192.168.0.254.51412 > 192.168.0.202.443: Flags [F.], seq 843, ack 52363, win 1046, options [nop,nop,TS val 19856729 ecr 1393102555], length 0
16:54:10.211359 IP 192.168.0.254.51410 > 192.168.0.202.443: Flags [F.], seq 844, ack 25812, win 631, options [nop,nop,TS val 19856730 ecr 1393102558], length 0
16:54:10.220329 IP 192.168.0.254.51418 > 192.168.0.202.443: Flags [F.], seq 843, ack 53341, win 1086, options [nop,nop,TS val 19856732 ecr 1393102567], length 0
16:54:14.327090 IP 192.168.0.254.59141 > 192.168.0.202.443: Flags [P.], seq 4545:5379, ack 53663, win 4096, options [nop,nop,TS val 725346113 ecr 1393105543], length 834
16:54:15.242221 IP 192.168.0.254.59140 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 63867, win 4096, options [nop,nop,TS val 725347017 ecr 1393102574], length 677
16:54:15.248892 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [S], seq 3745140838, win 29200, options [mss 1460,sackOK,TS val 19857989 ecr 0,nop,wscale 7], length 0
16:54:15.249704 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [.], ack 2159159020, win 229, options [nop,nop,TS val 19857989 ecr 1393107597], length 0
16:54:15.259969 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [S], seq 2451841094, win 29200, options [mss 1460,sackOK,TS val 19857992 ecr 0,nop,wscale 7], length 0
16:54:15.260734 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [.], ack 211031295, win 229, options [nop,nop,TS val 19857992 ecr 1393107608], length 0
16:54:15.272242 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [S], seq 2435131780, win 29200, options [mss 1460,sackOK,TS val 19857995 ecr 0,nop,wscale 7], length 0
16:54:15.273028 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [.], ack 2347949326, win 229, options [nop,nop,TS val 19857995 ecr 1393107620], length 0
16:54:15.353604 IP 192.168.0.254.51486 > 192.168.0.202.443: Flags [F.], seq 844, ack 25831, win 635, options [nop,nop,TS val 19858015 ecr 1393107700], length 0
16:54:15.363901 IP 192.168.0.254.51484 > 192.168.0.202.443: Flags [F.], seq 843, ack 52340, win 1067, options [nop,nop,TS val 19858018 ecr 1393107711], length 0
16:54:15.433131 IP 192.168.0.254.51490 > 192.168.0.202.443: Flags [F.], seq 843, ack 53140, win 1058, options [nop,nop,TS val 19858035 ecr 1393107780], length 0
16:54:21.314665 IP 192.168.0.254.59010 > 192.168.0.202.443: Flags [P.], seq 7047:7724, ack 62938, win 4096, options [nop,nop,TS val 725353029 ecr 1393107718], length 677
16:54:21.317202 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [S], seq 448661599, win 29200, options [mss 1460,sackOK,TS val 19859506 ecr 0,nop,wscale 7], length 0
16:54:21.317815 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [.], ack 3841255966, win 229, options [nop,nop,TS val 19859506 ecr 1393113665], length 0
16:54:21.318590 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [S], seq 390463237, win 29200, options [mss 1460,sackOK,TS val 19859507 ecr 0,nop,wscale 7], length 0
16:54:21.319303 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [.], ack 2421987237, win 229, options [nop,nop,TS val 19859507 ecr 1393113666], length 0
16:54:21.328264 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [S], seq 76474675, win 29200, options [mss 1460,sackOK,TS val 19859509 ecr 0,nop,wscale 7], length 0
16:54:21.329129 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [.], ack 84588985, win 229, options [nop,nop,TS val 19859509 ecr 1393113676], length 0
16:54:21.451863 IP 192.168.0.254.51568 > 192.168.0.202.443: Flags [F.], seq 844, ack 25886, win 632, options [nop,nop,TS val 19859540 ecr 1393113798], length 0
16:54:21.471575 IP 192.168.0.254.51576 > 192.168.0.202.443: Flags [F.], seq 843, ack 52954, win 1072, options [nop,nop,TS val 19859545 ecr 1393113818], length 0
16:54:21.487378 IP 192.168.0.254.51570 > 192.168.0.202.443: Flags [F.], seq 843, ack 52225, win 1045, options [nop,nop,TS val 19859549 ecr 1393113834], length 0
16:54:27.235951 IP 192.168.0.254.51642 > 192.168.0.202.443: Flags [S], seq 3954848893, win 29200, options [mss 1460,sackOK,TS val 19860986 ecr 0,nop,wscale 7], length 0
16:54:27.236628 IP 192.168.0.254.51642 > 192.168.0.202.443: Flags [.], ack 1729033459, win 229, options [nop,nop,TS val 19860986 ecr 1393119583], length 0
16:54:27.237837 IP 192.168.0.254.58733 > 192.168.0.202.443: Flags [P.], seq 14094:14771, ack 121105, win 4096, options [nop,nop,TS val 725358883 ecr 1393113824], length 677
16:54:27.242354 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 3445:4134, ack 91552, win 4096, options [nop,nop,TS val 725358886 ecr 1393113706], length 689
16:54:27.244434 IP 192.168.0.254.58787 > 192.168.0.202.443: Flags [P.], seq 2024676476:2024677165, ack 4164201617, win 4096, options [nop,nop,TS val 725358888 ecr 1393074445], length 689
16:54:27.254915 IP 192.168.0.254.51648 > 192.168.0.202.443: Flags [S], seq 2196123898, win 29200, options [mss 1460,sackOK,TS val 19860991 ecr 0,nop,wscale 7], length 0
16:54:27.255534 IP 192.168.0.254.51650 > 192.168.0.202.443: Flags [S], seq 2089012412, win 29200, options [mss 1460,sackOK,TS val 19860991 ecr 0,nop,wscale 7], length 0
16:54:27.255739 IP 192.168.0.254.51648 > 192.168.0.202.443: Flags [.], ack 653830817, win 229, options [nop,nop,TS val 19860991 ecr 1393119602], length 0

Et la même trace 8443 > 443 (là cela fonctionne)

Code: [Sélectionner]

16:57:01.202563 IP 192.168.0.254.59588 > 192.168.0.202.443: Flags [.], ack 121202, win 4075, options [nop,nop,TS val 725511087 ecr 1393273548], length 0
16:57:05.029200 IP 77.136.86.99.56582 > 192.168.0.202.443: Flags [S], seq 3736710439, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362219003 ecr 0,sackOK,eol], length 0
16:57:05.088101 IP 77.136.86.99.56582 > 192.168.0.202.443: Flags [.], ack 2157186025, win 2053, options [nop,nop,TS val 362219065 ecr 1393277377], length 0
16:57:05.480723 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [S], seq 1617449656, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220723 ecr 0,sackOK,eol], length 0
16:57:05.540853 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [.], ack 619757697, win 2053, options [nop,nop,TS val 362220797 ecr 1393277828], length 0
16:57:06.000626 IP 77.136.86.99.56585 > 192.168.0.202.443: Flags [S], seq 4260832080, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362219947 ecr 0,sackOK,eol], length 0
16:57:06.029060 IP 192.168.0.254.59532 > 192.168.0.202.443: Flags [P.], seq 17261:17938, ack 181818, win 4096, options [nop,nop,TS val 725515854 ecr 1393257550], length 677
16:57:06.063872 IP 77.136.86.99.56585 > 192.168.0.202.443: Flags [.], ack 31711620, win 2053, options [nop,nop,TS val 362220021 ecr 1393278348], length 0
16:57:06.164891 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [S], seq 1601314686, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220111 ecr 0,sackOK,eol], length 0
16:57:06.210696 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [.], ack 2995356320, win 2053, options [nop,nop,TS val 362220179 ecr 1393278512], length 0
16:57:06.368482 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [S], seq 1529170312, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362220302 ecr 0,sackOK,eol], length 0
16:57:06.428263 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [.], ack 2570950360, win 2053, options [nop,nop,TS val 362220372 ecr 1393278716], length 0
16:57:08.336770 IP 192.168.0.254.59020 > 192.168.0.202.443: Flags [P.], seq 59930:60764, ack 600396, win 4096, options [nop,nop,TS val 725518139 ecr 1393279655], length 834
16:57:09.662417 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [F.], seq 2801, ack 3182, win 2048, options [nop,nop,TS val 362223591 ecr 1393280491], length 0
16:57:09.796964 IP 77.136.86.99.56587 > 192.168.0.202.443: Flags [F.], seq 2801, ack 3183, win 2048, options [nop,nop,TS val 362223646 ecr 1393282010], length 0
16:57:12.947719 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [F.], seq 1979, ack 2392, win 2048, options [nop,nop,TS val 362226868 ecr 1393284040], length 0
16:57:13.007453 IP 77.136.86.99.56586 > 192.168.0.202.443: Flags [F.], seq 1979, ack 2393, win 2048, options [nop,nop,TS val 362226908 ecr 1393285288], length 0
16:57:16.189458 IP 192.168.0.254.59588 > 192.168.0.202.443: Flags [P.], seq 14650:15484, ack 177510, win 4096, options [nop,nop,TS val 725525898 ecr 1393287564], length 834
16:57:17.828569 IP 77.136.86.99.56583 > 192.168.0.202.443: Flags [.], ack 226169, win 2048, options [nop,nop,TS val 362233033 ecr 1393289968,nop,nop,sack 2 {230363:233159}{227567:228965}], length 0
16:57:17.911860 IP 77.136.86.99.56589 > 192.168.0.202.443: Flags [S], seq 2685903738, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362231750 ecr 0,sackOK,eol], length 0
16:57:17.912504 IP 77.136.86.99.56588 > 192.168.0.202.443: Flags [S], seq 3641653844, win 65535, options [mss 1410,nop,wscale 6,nop,nop,TS val 362231750 ecr 0,sackOK,eol], length 0
16:57:17.957249 IP 77.136.86.99.56588 > 192.168.0.202.443: Flags [.], ack 2217011095, win 2053, options [nop,nop,TS val 362231821 ecr 1393290260], length 0
16:57:17.964891 IP 77.136.86.99.56589 > 192.168.0.202.443: Flags [.], ack 3916583817, win 2053, options [nop,nop,TS val 362231821 ecr 1393290259], length 0
16:57:20.071704 IP 192.168.0.254.59532 > 192.168.0.202.443: Flags [.], ack 232301, win 4005, options [nop,nop,TS val 725529724 ecr 1393292417], length 0

Franchement c'est du chinois

DMetre · « **Réponse #3798 le:** 30 août 2018 à 20:32:58 »

Bonjour,

Pour information, je viens de faire la mise à jour en 1.10.6 (Fibre Orange).
Après avoir installé les patch habituels et réinstaller VPN IKEv2 et DNS Adblocking : tout fonctionne

kjbstar · « **Réponse #3799 le:** 01 septembre 2018 à 11:07:43 »

Hello,

Je suis pas certain que l'ERL soit en cause, mais au cas où : alors que tout fonctionnait au poil depuis des semaines, soudainement depuis hier la TV ne fonctionne plus.

Sur le dashboard d'EdgeOS, je n'ai plus de débit du tout sur la ligne dédiée à la TV (le décodeur TV est branché directement sur le 3ème port), alors qu'avant j'avais constamment un flux d'une 30aine de Mb qui passaient. J'ai rebooté 3 fois l'ERL, mais ça n'a rien changé.
Aucune modif, màj, marabout, danse chamanique, ni quoique ce soit : c'est juste arrivé du jour au lendemain.

Donc l'ERL perd la tête, ou je devrais plus tabler sur un souci d'Orange tout court selon vous ?

lildadou · « **Réponse #3800 le:** 01 septembre 2018 à 22:09:29 »

Citation de: sbo le 30 août 2018 à 16:25:17

Bon mon soucis que je pensais résolut de nat 443 est revenu et impossible de revenir sur une version fonctionnelle.

Le downgrade de firmware est t'il possible sur les EdgeRouter par exemple 1.10.5 > v1.9.7+hotfix.3

Je vois qu'une version 1.10.6 est déjà disponible. Mais comme elle touche au dns, il faudra probablement patienter.

~~Peut-être que c'est l'interface web du routeur qui occupe le 443 de ton IP public ou dis autrement : est-ce que tu as rendu l'interface web du routeur accessible depuis internet?~~
Edit: a lu les messages précédent.

Edit2: je sais pas lire le tcpdump mais ce que je vois c'est que quand ça marche pas ton IP de départ est 192.168.0.254 mais que quand ça fonctionne ton IP de départ est 77.136.86.99 et de mon expérience, attaquer un NAT depuis une IP LAN... c'est un cas compliqué que je résous à coup de résolveur DNS menteur ^^

sbo · « **Réponse #3801 le:** 02 septembre 2018 à 09:28:00 »

Citation de: lildadou le 01 septembre 2018 à 22:09:29

~~Peut-être que c'est l'interface web du routeur qui occupe le 443 de ton IP public ou dis autrement : est-ce que tu as rendu l'interface web du routeur accessible depuis internet?~~
Edit: a lu les messages précédent.

Edit2: je sais pas lire le tcpdump mais ce que je vois c'est que quand ça marche pas ton IP de départ est 192.168.0.254 mais que quand ça fonctionne ton IP de départ est 77.136.86.99 et de mon expérience, attaquer un NAT depuis une IP LAN... c'est un cas compliqué que je résous à coup de résolveur DNS menteur ^^

Merci pour ton retour.

J'ai enfin trouvé la cause du problème avec l'aide de Dmetre.
Nous avons constaté que certains périphériques généraient des règles upnp sur les ports 80 et 443 (caméra Dlink) :
I think I found the source of the problem.
I found that some devices generated upnp rules on ports 80 and 443:

Code: [Sélectionner]

  138 6080 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.121 tcp dpt: 80
   56 3052 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.122 tcp dpt: 80
    5 244 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.121 tcp dpt: 443
    0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.122 tcp dpt: 443
    0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.200 tcp dpt: 8096
    0 0 ACCEPT tcp - * * 0.0.0.0/0 192.168.0.200 tcp dpt: 8920

En désactivant l'upnp le nat forwarding sur les ports http et https refonctionne.

Tous serveurs web ssh hébergés fonctionnent très bien.
J'ai encore le problème avec les services web http que mon reverse proxy translate en https. Mais j'ai pas encore investigué.

Pour ceux qui auraient des problèmes similaires, utiliser la commande "show upnp2 rules" et analyser si certains devices ne nat pas sur des ports que vous désirez utiliser dans le nat forwarding.

zoc · « **Réponse #3802 le:** 02 septembre 2018 à 15:08:06 »

Ah, UPnP... Je n'y aurais pas pensé. Chez moi j'ai des règles qui empêchent l'assignation de tous les ports < 1024 et IPSEC NAT-T (et ainsi que quelques autres, supprimées de la config ci-dessous, pour des ports non privilégiés bien particuliers).

Code: [Sélectionner]

    upnp2 {
        acl {
            rule 103 {
                action deny
                description IPSEC-NAT-T
                external-port 4500
                local-port 0-65535
                subnet 0.0.0.0/0
            }
            rule 200 {
                action allow
                description Allow
                external-port 1024-65535
                local-port 0-65535
                subnet 0.0.0.0/0
            }
            rule 9000 {
                action deny
                description DENY
                external-port 0-65535
                local-port 0-65535
                subnet 0.0.0.0/0
            }
        }
        listen-on eth3.66
        nat-pmp enable
        secure-mode enable
        wan eth1.832
    }

lildadou · « **Réponse #3803 le:** 03 septembre 2018 à 00:25:09 »

Citation de: zoc le 02 septembre 2018 à 15:08:06

Ah, UPnP... Je n'y aurais pas pensé. Chez moi j'ai des règles qui empêchent l'assignation de tous les ports < 1024 et IPSEC NAT-T (et ainsi que quelques autres, supprimées de la config ci-dessous, pour des ports non privilégiés bien particuliers).

Code: [Sélectionner]
upnp2 { acl { rule 103 { action deny description IPSEC-NAT-T external-port 4500 local-port 0-65535 subnet 0.0.0.0/0 } rule 200 { action allow description Allow external-port 1024-65535 local-port 0-65535 subnet 0.0.0.0/0 } rule 9000 { action deny description DENY external-port 0-65535 local-port 0-65535 subnet 0.0.0.0/0 } } listen-on eth3.66 nat-pmp enable secure-mode enable wan eth1.832 }

Ces règles ne semblent pas superflues pour la config de base de ton tutoriel.