Auteur Sujet: OpenVPN inutilisable avec l'APN IPv6 4G Bouygues  (Lu 7375 fois)

0 Membres et 1 Invité sur ce sujet

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 235
    • Ukrainian Resilient Data Network
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #12 le: 26 juillet 2018 à 23:50:21 »
Est-ce que tu peux tcpdump sur le serveur ?

oliviertoto92350

  • Client Bbox fibre "câble"
  • Modérateur
  • *
  • Messages: 1 575
  • Bbox Sensation FTTH
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #13 le: 27 juillet 2018 à 00:25:40 »
la je suis largué, ça dépasse mes compétences ...

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 235
    • Ukrainian Resilient Data Network
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #14 le: 27 juillet 2018 à 01:06:24 »
la je suis largué, ça dépasse mes compétences ...

Est-ce que tu as un Android avec les droits root ?

oliviertoto92350

  • Client Bbox fibre "câble"
  • Modérateur
  • *
  • Messages: 1 575
  • Bbox Sensation FTTH
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #15 le: 27 juillet 2018 à 06:48:05 »
Oui je suis sous Android.
Non je n'ai pas les droits.
Il faudrait que j'installe Open Vpn directement sur un pc portable.
Quelle commande dois-je faire après ?

xade

  • Client Orange Fibre
  • *
  • Messages: 9
  • Saclay 91
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #16 le: 27 juillet 2018 à 09:01:48 »
Bonjour

je vois ceci dans le log qui m'intrigue

21:28:51.724 -- Tunnel Options:V4,dev-type tun,link-mtu 1570,tun-mtu 1500,proto UDPv4,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-client

en IPv4 la fragmentation est autorisée et faite par les équipements réseaux
en IPv6 la fragmentation n'est pas autorisée et le paquet est droppé... (avec un ICMPv6 paquet too big en retour pas toujours bien géré)

as tu le moyen d'essayer en passant la MTU d'openVPN à 1400? (coté serveur ou client ?)

Xade



Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 8 370
  • Paris (19ème)
    • Twitter
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #17 le: 27 juillet 2018 à 09:32:26 »
en IPv6 la fragmentation n'est pas autorisée et le paquet est droppé...
Pas avec OpenVPN, c’est la fragmentation par des routeurs qui est interdite.

as tu le moyen d'essayer en passant la MTU d'openVPN à 1400? (coté serveur ou client ?)

Il va juste gagner des soucis de MSS comme ça. Mauvaise idée, mieux vaut laisser OpenVPN fragmenter et reconstituer à l’autre bout.

vivien

  • Administrateur
  • *
  • Messages: 36 225
    • Twitter LaFibre.info
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #18 le: 27 juillet 2018 à 10:41:33 »
Les paquets IPv4 étant encapsulés par le mobile en IPv6 (mécanisme du 464XLAT)

Donc baisser la MTU des paquets UDP envoyés à 1300 pour tester ce que cela fait me semble une bonne idée.

Sinon, un tcpdump sur le serveur, c'est juste un wireshark sur ton Raspberry Pi. Si tu n'a pas d'interface graphique pour faire fonctionner Wireshark, il y a tcpdump en ligne de commande. Cf Mode d'emploi TcpDump ou Réaliser une capture Wireshark pas à pas


xade

  • Client Orange Fibre
  • *
  • Messages: 9
  • Saclay 91
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #19 le: 27 juillet 2018 à 11:37:32 »
je parle bien de l'IPv6 qui transporte le VPN. car le VPN et d'un coté en IPv4 (serveur) et en IPv6 coté client (voir IPv4=>IPv6 aussi s'il passe par Xlat)
de base le transport d'OpenVPN est en UDP donc le Mss n'est pas corrigé par le réseau...

la conf à modifier est celle d'Openvpn (server.conf/client.conf):
de mémoire (car cela fait longtemps que je n'ai plus fais de conf OpenVPN) la commande est de mettre "tun-mtu 1400" ou 1300 dans la conf des 2 cotés.  l'idée est de valider que c'est bien ça (ou pas) le problème. (si c'est confirmé tu pourras chercher la bonne valeur voir mettre)

ensuite il y a un autre test à faire : mettre "proto tcp" au lieu de "proto udp" dans la conf OpenVPN pour faire passer le transport d'UDP a TCP ce qui peut être plus efficace dans ce contexte de NAT64.

Xade

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 8 370
  • Paris (19ème)
    • Twitter
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #20 le: 27 juillet 2018 à 11:56:50 »
Oh bah oui, passer juste le client et pas le serveur, quelle brillante idée...  ::)

oliviertoto92350

  • Client Bbox fibre "câble"
  • Modérateur
  • *
  • Messages: 1 575
  • Bbox Sensation FTTH
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #21 le: 27 juillet 2018 à 13:43:21 »
Merci pour votre support.
Côté Rpi3 oui je peux y accéder en remote avec RealVnc ou Putty.
Je  vais lire et tester durant les prochains jours.

oliviertoto92350

  • Client Bbox fibre "câble"
  • Modérateur
  • *
  • Messages: 1 575
  • Bbox Sensation FTTH
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #22 le: 06 août 2018 à 19:11:11 »
Bonsoir à tous
j'ai identifié le fichier à modifier sur le serveur pour ajouter une ligne "tun-mtu 1400"
Je vais tester :)
Ensuite un autre test en changeant le protocole UDP vers TCP
Merci à tous pour vos pistes

vivien

  • Administrateur
  • *
  • Messages: 36 225
    • Twitter LaFibre.info
OpenVPN inutilisable avec l'APN IPv6 4G Bouygues
« Réponse #23 le: 30 janvier 2019 à 15:30:37 »
Bonjour,

Quel est le retour de tes tests avec un MTU plus faible ?

 

Mobile View