Auteur Sujet: Bizarrerie MTU -Tunnels IpSec  (Lu 1240 fois)

0 Membres et 1 Invité sur ce sujet

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« le: 30 juin 2022 à 18:10:30 »
Bonsoir,

Je viens exposer ici une bizarrerie que nous avons constaté, mais tout d'abord le contexte :

Entreprise répartie en une dixaine d'agence sur la france.
Tunnels IpSec site-to-site pour interconnecter toutes ces agences, tous les tunnels arrivent à l'agence principale.
Jusqu'à présent, nous étions en Fibre / SDSL Nérim selon les agences. Tout allait bien dans le meilleur des mondes, les tunnels ne nous ont jamais fait défaut.
Nous sommes en cours de migration chez Keyyo, une bonne partie a déjà été migré. C'est la que les problèmes commence :

Nous perdons des sessions SSH des qu'on demande un "cat" sur un fichier de config ou que le terminal a beaucoup de trucs à nous afficher.
Les pages web sur nos services internes ne s'affichent pas entièrement / ne charge pas complètement.
Les serveurs de fichiers sont inaccessible.

- Ce problème ne se produit que lorsque les flux passent par un de nos tunnels IpSec entre une fibre Keyyo et une fibre Nerim
- Aucun problème sur nos tunnels Keyyo/Keyyo
- Aucun problème si ça passe par internet sans tunnels ( Nerim ou Keyyo )
- Aucun problème avec du openVPN Keyyo/Nerim

Nous avons remarqué qu'en baissant le MTU à 1400 sur les machines problématiques le phénomène disparait ( Il est à 1500 par défaut sur nos machines linux ). On ne perd plus nos sessions SSH quoi qu'on fasse et ce en modifiant le MTU coté client ou coté serveur.

Je crois avoir déjà lu des bizarrerie de ce type mais je me souviens plus bien. On ne s'est jamais posé la question puisque quand nous étions en full Nérim tout allait bien.

Mais voila, la y'a bien une couille dans le potage comme dirait l'autre et on ne sait plus trop ou chercher ... ça semble être coté FAI et on va biensur les contacter pour leur exposer la situation, mais la on arrive à la limite de nos compétences en réseau et j'ai comme la sensation qu'on va devoir se battre pour se faire entendre.

Auriez vous des idées ?

Merci

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Bizarrerie MTU -Tunnels IpSec
« Réponse #1 le: 30 juin 2022 à 18:23:13 »
Il faut set la MSS dans le tunnel IPSEC et ça ira mieux

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« Réponse #2 le: 30 juin 2022 à 18:27:04 »
Il faut set la MSS dans le tunnel IPSEC et ça ira mieux

Pourquoi on doit subitement changer ce paramètre ? Jusqu'à maintenant tout roulait plutot bien. Désolé si la question parait con, mais je cherche à comprendre le fond du problème.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Bizarrerie MTU -Tunnels IpSec
« Réponse #3 le: 30 juin 2022 à 18:47:22 »
Parce que tous les accès internet n'ont pas forcément la même MTU

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« Réponse #4 le: 30 juin 2022 à 18:57:36 »
Ok, je ne pensais pas qu'il existait encore des différences sur des connexions internet en Fibre Optique. Tu conseil quoi du coup comme valeur pour le MSS qu'on soit sûr d'être tranquils ?

Merci Hugues.

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Bizarrerie MTU -Tunnels IpSec
« Réponse #5 le: 30 juin 2022 à 19:43:56 »
apprendre à la calculer :)

Ping avec le flag DF est ton ami, en dehors du tunnel, puis dans le tunnel, puis -40 par rapport à la MTU

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« Réponse #6 le: 30 juin 2022 à 20:00:41 »
Ok merci je vais regarder ça ce soir.

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« Réponse #7 le: 30 juin 2022 à 20:20:14 »
Merci t'es un boss, il y'a effectivement une différence entre le MTU max de mes tunnels Keyyo/keyyo et Keyyo/nerim.

Valeur max Keyyo/keyyo tunnel IpSec :

ping -M do -s 1472 192.168.11.1
PING 192.168.11.1 (192.168.11.1) 1472(1500) bytes of data.
1480 bytes from 192.168.11.1: icmp_seq=1 ttl=63 time=38.5 ms

Le max Keyyo/Nerim toujours dans le tunnel :

ping -M do -s 1394 192.168.7.1
PING 192.168.7.1 (192.168.7.1) 1394(1422) bytes of data.
1402 bytes from 192.168.7.1: icmp_seq=1 ttl=63 time=33.5 ms

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 423
  • Lyon (69) / St-Bernard (01)
    • Twitter
Bizarrerie MTU -Tunnels IpSec
« Réponse #8 le: 30 juin 2022 à 21:15:24 »
à mon avis, keyyo monte déjà un tunnel sur un lien tiers

noks

  • Abonné Free fibre
  • *
  • Messages: 401
  • Limoges 87
Bizarrerie MTU -Tunnels IpSec
« Réponse #9 le: 30 juin 2022 à 22:27:38 »
à mon avis, keyyo monte déjà un tunnel sur un lien tiers

C'est ce que je me dis depuis le départ, quand je vois que notre premier hope sort à Paris -> 30 ms depuis Limoges.

Pour info le trafic semble être collecté par Axione, je ne sais pas si ça a un rapport.

PS : Confirmé, on a set le MSS selon tes conseils, et ça roule de nouveau, merci encore Hugues.