Bonjour à tous,

Je voudrais savoir si vous avez déjà rencontré ce genre de problème.

Ma config : fibre orange 2Gb/s > ONU FS.com > CRS 305 > CCR 2116 > Intel x550 (server Archlinux)

Tout fonctionne parfaitement depuis quelques temps, aussi bien en sortie (server > internet), qu’en entrée (internet > server).

J’héberge qques services sur mon serveur comme des serveurs web (nginx), du WebDAV (rclone), vpn (ovpn et wg), reverse proxy (nginx), domotique (jeedom/ipx800), etc…

Cette je suis parti en vacances qques jours et j’ai remarqué un pb assez curieux,. Mes téléphones (moi, épouse et enfants) sont chez Bouygues Telecom, et lorsque de mon téléphone je voulais joindre l’un de mes services auto-hébergé c’était super lent ou même impossible par moment (14s pour un POST json en HTTPS).

Dans un premier temps, j’ai mis cela sur la mauvaise qualité du réseau 5G / 4G local. Mais même lorsque je captais bien, même problème. Je me suis alors connecté à un wifi, plus de problème tout redevient normal et répond parfaitement. Bien sûr lorsque je suis par chez moi, dans ma région, en 4G ou 5G pas de problème.
Les autres sites web (Google, etc…) fonctionnent parfaitement lorsque je suis en 5G/4G sur mon lieu de vacances. Seuls mes services auto-hébergés ont un problème.

Symptôme révélateur, lorsque je mon monte mon tunnel vpn WireGuard (UDP) hébergé sur Mikrotik CCR2116, plus de problème, tous les services répondent bien. Lorsque je monte mon tunnel WireGuard (UDP aussi) sur mon server (Archlinux), le tunnel monte mais les services fonctionnent très mal ou pas du tout (comme hors tunnel).

J’ai réfléchi un peu (ça m’arrive), et je pense avoir un problème de MTU / MSS.
A partir de mon téléphone (pas facile), j’ai réussi à faire un tcpdump sur le serveur. J’ai pris 2 traces, la premières lorsque mon tel est en wifi (et que tout fonctionne), et une seconde trace lorsque je suis en 5G (fonctionne mal/pas).
J’ai essayé de faire un petit grep de mtu|mss sur les traces (mais sur l’écran de téléphone dans un terminal ssh, pas simple), j’ai vu un mss de 1460 en wifi et 1390 en 5G. Une piste ?

La carte reseau de mon server Archlinux est une Intel x550 en 10Gb sur mon CCR 2116, avec les paramètres MTU par défaut.

Sur CCR 2116 MTU 1500 ; L2 MTU 1584 ; Max L2 MTU 9570
Sur le server : MTU 1500 (ip addr show dev)

Je fais peut être fausse route… Le plus curieux dans tout cela est que lorsque je suis dans ma région en 4G/5G pas de problème. Je ne vois pas pourquoi le même opérateur (Bouygues) aurait des MTU / MSS différents.

Merci pour votre aide…

Bonjour

Je ne connais pas bien la mécanique de raoming (si tu es à l'étranger) et donc de la MTU max dont tu disposes.

Tu peux aussi avoir une liaison en PPP et donc perdre une partie de tes 1500 octets.

Préco :
- adresse de service "externe" : réduire la MTU
- adresse de service "interne" rester à 1500

It is generally recommended that the MTU for a WAN interface connected to a PPPoE DSL network be 1492. In fact, with auto MTU discovery, 1492 is discovered to be the maximum allowed MTU. However, having an MTU of 1452 is most optimal.

PS : passer en IPv6 c'est géré par le protocole

LeVieux

Hello,

est-ce-que ICMP est filtré sur ton réseau ? C'est nécessaire pour PMTUd, mécanisme je pense important pour les liaisons non standard 1500. Après aucune idée de comment ça se transpose sur un téléphone mobile.

Personnellement sur les liaisons S2S itinérantes que je monte sur des 4G, je dois mettre une MSS calculée à partir de la MTU pour pouvoir faire passer le trafic TCP correctement, en UDP je dois régler la MTU de l'interface physique (avec la technique du ping comme tu expliques)

Alors, fait très interessant, lorsque je passe par l’ipv6 de mon serveur (enfin l’ipv6 externe que je présente sur mon routeur Mikrotik), tout marche correctement.
Mon téléphone est en 5G chez Bouygues et donc en natif ipv6.
Donc quand je suis en ipv6 de bout en bout pas de problème.

Si c’est le PMTUd, que dois-je ouvrir comme flux (ICMP ?) et surtout jusqu’où ? Routeur ou serveur ?

ÉDIT : J’ai vérifié l’icmpv4 (tous types) est bien ouvert jusqu’au serveur (input et forward), sur le routeur Mikrotik et sur le serveur (nftables). Et bien sûr je n’ai pas de drop dans les logs sur ICMP.

Donc il y a problème lorsque le client (iPhone) a besoin d’encaps ipv4 dans ipv6.

Donc il y a problème lorsque le client (iPhone) a besoin d’encaps ipv4 dans ipv6.

Sur le mobile, Bouygues fait de l'IPv6-only + NAT64. Le traffic IPv6 est direct, le traffic v4 doit passer par le NAT64.

J'ai déjà constaté des soucis transitoires avec ces NAT64 (sessions qui disparaissent, traceroutes qui ne passent pas, etc.), mais n'ai aucune idée de si cela dépend de la zone géographique ou non. Ce qui est sûr, c'est que Bouygues régionalise son coeur de réseau, donc les équipements et/ou leur configuration n'est pas forcément la même en fonction d'où tu es.

Utiliser IPv6 pour ton tunnel wireguard est clairement la bonne option, peu importe qu'il transporte v6 ou v4 ou les deux.

Le MSS clamp peut aider si tu le mets en place sur l'interface wireguard : il forcera TCP à utiliser un MSS (et donc un MTU) plus faible peu importe les conditions réseau.

Ceci dit:
- ca n'améliorera pas tes perfs lorsque ton tunnel est monté en v6 (en fait, ca va un peu les diminuer, car tes machines vont utiliser des paquets plus petits que nécessaires)
- on est pas vraiment sûr que le souci de perf constaté provienne d'un mauvais MTU... c'est peut-être le CLAT sur le mobile ou le NAT64 dans le réseau de l'opérateur qui diminue les perfs, ou encore autre chose.

Mon conseil : ne modifier les paquets sur le chemin réseau que lorsque c'est strictement nécessaire.