Auteur Sujet: Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?  (Lu 3375 fois)

0 Membres et 1 Invité sur ce sujet

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 303
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #36 le: 18 août 2020 à 17:13:02 »
Le port 1723, c'est pour monter des VPN PPTP, d'où sa présence dans la section VPN.
J'ai le sentiment que ça se fourvoie depuis le début dans ce thread.

Le PPTP se compose:
1) d'un canal de contrôle sur une session TCP port 1723
2) d'un canal de donnée dans des paquets GRE à header modifié

Par ailleurs le PPTP c'est toujours un pot de pus à NATer: une session TCP d'un coté, des paquets GRE difficiles à associer à une session de l'autre s'il y a plusieurs IPs privées derrière le NAT, etc. Donc, le TCP port 1723 peut devoir passer via un ALG plutôt qu'en direct, sur du CGNAT. Ça pourrait expliquer des choses (pas un problème de neutralité mais de techno). Chercher à nf_conntrack_pptp pour quelques éléments sur des choses purement software (ce qui n'est pas le cas des devices à CGNAT).

Edit: devices à CGNAT, ou tout bêtement une box avec NAT offloadé/accéléré sur le SoC.
« Modifié: 18 août 2020 à 19:17:44 par Symbol »

Steph

  • Client K-Net
  • *
  • Messages: 4 075
  • La Balme de Sillingy 74
    • Uptime K-net
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #37 le: 18 août 2020 à 17:18:31 »
Mais pour toi ce n'était pas déjà ok sur la box K-Net ?

Je veut bien le test sur la box pour montrer que le débit est réduit sur le port 1723

(désolé, mais c'est une preuve importante pour prouver que le pb n'est pas coté opérateur, mais coté box)
Non, en 1G, la box bride en gros d'1/3 le port 1723.
https://lafibre.info/1gb-free/free-limitation-debit-https/msg784689/#msg784689


vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #38 le: 18 août 2020 à 17:29:42 »
Merci Steph, j'avais surtout été attiré par le débit de ton port 80 (sans aucun).

Merci Symbol pour les détails qui expliquent bien les choses (et pour info le débit n'est pas limité sur le port TCP 1723 sur les tests que j'ai en vacance sur le réseau WiFirst - Wifirst dans les hotels Novotel / Accor: excellent)

Steph

  • Client K-Net
  • *
  • Messages: 4 075
  • La Balme de Sillingy 74
    • Uptime K-net
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #39 le: 18 août 2020 à 17:35:50 »
Merci Steph, j'avais surtout été attiré par le débit de ton port 80 (sans aucun).
De rien.
Vincent O à répondu sur CAPS : Le PPTP ALG est activé sur les KBox, donc le traffic passe par le CPU.
https://forum.caps.services/index.php/topic,7996.msg101857.html#msg101857

https://en.wikipedia.org/wiki/Application-level_gateway

vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #40 le: 18 août 2020 à 18:08:32 »
Possible de tester L2TP aussi ? J'ai un doute depuis quelques années...

Je me demande si la L2TP ALG ne risque pas d’obliger le trafic a passer par le CPU sur le port 1701, comme c'est le cas pour PPTP ALG sur le port 1723.

J'ai testé sur une box où le débit était limité sur le 1723 et ce n'est pas limité sur le 1701, mais c'est peut être différent sur d'autres box.

Steph

  • Client K-Net
  • *
  • Messages: 4 075
  • La Balme de Sillingy 74
    • Uptime K-net
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #41 le: 18 août 2020 à 18:28:40 »
Le port 1701 est à 8Mo/s, mais je ne sais pas si c'est la K-box ou les protections de mon PC pro...

(Et Vincent m'a désactivé provisoirement PPTP ALG et du coup, je vais plus vite sur 1723 que sur 443
https://forum.caps.services/index.php/topic,7996.msg101860.html#msg101860)

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 303
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #42 le: 18 août 2020 à 19:37:48 »
Je me demande si la L2TP ALG ne risque pas d’obliger le trafic a passer par le CPU sur le port 1701, comme c'est le cas pour PPTP ALG sur le port 1723.
Pas besoin d'ALG pour ne nater qu'une simple session TCP: ici en PPTP, l'ALG est nécessaire pour associer intelligemment les paquets GRE à la session, afin de permettre à chaque client naté de monter un tunnel PPTP.

Le L2TPv2 (dans lequel passe du PPP) c'est de l'UDP ; le port source du LAC est généralement 1701 en pratique mais il peut être quelconque (donc il peut être PATé). Si en théorie le port source choisi par le LNS peut ne pas être 1701, la RFC raconte cependant que:
Citer
«It has been suggested that having the recipient choose an arbitrary source port (as opposed to using the destination port in the packet initiating the tunnel, i.e., 1701) may make it more difficult for L2TP to traverse some NAT devices. Implementors should consider the potential implication of this before before choosing an arbitrary source port.»
donc des ALG L2TP, ce n'est pas indispensable...

Le L2TPv3 (qui est très rare, et qui fait passer du L2 brut) peut passer sur de l'UDP (pareil que L2TPv2) ou directement sur protocole IP (protocol 115 - et là c'est un problème pour le NAT). Mais pour UDP sa RFC ajoute du reste que:
Citer
A NAT device that can pass TFTP traffic with variant UDP ports should be able to pass L2TP UDP traffic since both protocols employ similar policies with regard to UDP port selection.

Bref, pas besoin d'ALG L2TP en pratique.

Free_me

  • Client Free fibre
  • *
  • Messages: 2 088
  • Marseille
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #43 le: 18 août 2020 à 19:40:13 »
Bref, pas besoin d'ALG L2TP en pratique.

moi j'aurai plutot dis : Bref, c'est un beau merdier.... ;)

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 7 966
  • Paris (75)
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #44 le: 18 août 2020 à 19:45:47 »
Sur les box/routeur Linux , Netfilter a des modules spéciaux optionnels pour gérer les protocoles qui passent mal le NAT comme FTP, PPTP, GRE, etc.
pour ftp par exemple il y a:
nf_conntrack_ftp
nf_nat_ftp

Le 1er sert pour le suivi des connections et l'autre pour le NAT.

Ces modules s’appellent des "helpers". Si un module n'est pas installé ou activé dans l'OS ,le protocole en question ne subit de traitement particulier donc ne sera pas ralenti.

Les helpers les plus utilisés:

FTP (TCP 21)
H323 (UDP 1719, TCP 1720)
IRC (TCP 6667)
Netbios-NS (UDP 137)
PPTP (TCP 1723)
SIP (UDP 5060)
SNMP (UDP 161)
TFTP (UDP 69)

voila les ports limités derrière une BBox Wifi 6:

INFO[0004] #1 speed = 224.6 Mbps time = 3921 ms (3.92178237 s) size = 110.1 MB (105.0 MiB) url  = https://ipv4.bouygues.testdebit.info:21/1G.iso
INFO[0004] #1 speed = 223.7 Mbps time = 3900 ms (3.9008171640000002 s) size = 109.1 MB (104.0 MiB) url  = https://ipv4.bouygues.testdebit.info:1720/1G.iso
INFO[0004] #1 speed = 225.9 Mbps time = 3862 ms (3.862240007 s) size = 109.1 MB (104.0 MiB) url  = https://ipv4.bouygues.testdebit.info:6667/1G.iso
INFO[0004] #1 speed = 226.3 Mbps time = 3929 ms (3.929008529 s) size = 111.1 MB (106.0 MiB) url  = https://ipv4.bouygues.testdebit.info:1723/1G.iso
INFO[0004] #1 speed = 196.1 Mbps time = 3867 ms (3.8674794500000003 s) size = 94.8 MB (90.4 MiB) url  = https://ipv4.bouygues.testdebit.info:5060/1G.iso

il y a  donc: 21 (FTP), 1720 (H323), 1723 (PPTP), 6667(IRC), 5060(SIP)

la commande pour tester auto:
for p in 21 1719 1720 6667 137 1723 5060 161 69; do ./nspeed_linux_amd64 -timeout 4 https://ipv4.bouygues.testdebit.info:$p/1G.iso ; done
« Modifié: 18 août 2020 à 20:07:57 par kgersen »

kgersen

  • Modérateur
  • Client Free Pro
  • *
  • Messages: 7 966
  • Paris (75)
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #45 le: 18 août 2020 à 19:53:00 »
Derriere une Livebox 4 Pro:

INFO[0004] #1 speed = 63.6 Mbps time = 3908 ms (3.908326233 s) size = 31.0 MB (29.6 MiB) url  = https://ipv4.bouygues.testdebit.info:21/1G.iso
INFO[0004] #1 speed = 62.4 Mbps time = 3956 ms (3.956543051 s) size = 30.9 MB (29.5 MiB) url  = https://ipv4.bouygues.testdebit.info:1720/1G.iso
INFO[0004] #1 speed = 63.3 Mbps time = 3919 ms (3.919173499 s) size = 31.0 MB (29.6 MiB) url  = https://ipv4.bouygues.testdebit.info:6667/1G.iso
INFO[0004] #1 speed = 63.9 Mbps time = 3947 ms (3.947535557 s) size = 31.5 MB (30.1 MiB) url  = https://ipv4.bouygues.testdebit.info:1723/1G.iso

il y a  donc : 21 (FTP), 1720 (H323), 1723 (PPTP), 6667(IRC)

Il y a en peut-être d'autres, je n'ai pas tester tous les ports possibles.

vivien

  • Administrateur
  • *
  • Messages: 38 436
    • Twitter LaFibre.info
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #46 le: 18 août 2020 à 20:23:42 »
Le L2TPv2 (dans lequel passe du PPP) c'est de l'UDP ; le port source du LAC est généralement 1701 en pratique
Speedguide note du TCP 1701 : https://www.speedguide.net/port.php?port=1701
C'est une erreur ?

SIP (UDP 5060)
Il y a SIPS aussi.

Exemple avec une box câble SFR :

Référence sur le port 443 :
./nspeed_linux_amd64 -timeout 10 https://bouygues.testdebit.info/1G.iso
1 speed = 96.1 Mbps time = 9.928339644s size = 119291904 119.3 MB url  https://bouygues.testdebit.info/1G.iso
summary: speed = 96.1 Mbps time = 9.928339644s size = 119291904 119.3 MB

Port SIP 5060 :
./nspeed_linux_amd64 -timeout 10 https://bouygues.testdebit.info:5060/1G.iso
1 speed = 122.8 kbps time = 8.538668044s size = 131072 131.1 kB url  https://bouygues.testdebit.info:5060/1G.iso
summary: speed = 122.8 kbps time = 8.538668044s size = 131072 131.1 kB

Port SIP 5061 :
./nspeed_linux_amd64 -timeout 10 https://bouygues.testdebit.info:5061/1G.iso
1 speed = 122.8 kbps time = 8.53877267s size = 131072 131.1 kB url  https://bouygues.testdebit.info:5061/1G.iso
summary: speed = 122.8 kbps time = 8.53877267s size = 131072 131.1 kB

Deux connexions simultanées sur le port 5060 :
./nspeed_linux_amd64 -timeout 10 https://bouygues.testdebit.info:5060/1G.iso https://bouygues.testdebit.info:5060/1G.iso
1 speed = 47.4 kbps time = 8.288688043s size = 49152 49.2 kB url  https://bouygues.testdebit.info:5060/1G.iso
2 speed = 66.0 kbps time = 7.942146965s size = 65536 65.5 kB url  https://bouygues.testdebit.info:5060/1G.iso
summary: speed = 110.7 kbps time = 8.288688043s size = 114688 114.7 kB

Port 5060 et 5061 simultanément :
./nspeed_linux_amd64 -timeout 10 https://bouygues.testdebit.info:5060/1G.iso https://bouygues.testdebit.info:5061/1G.iso
1 speed = 57.3 kbps time = 6.864785511s size = 49152 49.2 kB url  https://bouygues.testdebit.info:5060/1G.iso
2 speed = 33.0 kbps time = 7.940527067s size = 32768 32.8 kB url  https://bouygues.testdebit.info:5061/1G.iso
summary: speed = 82.5 kbps time = 7.940527067s size = 81920 81.9 kB

2 connexions 5060 et deux connexions 5061 :
1 speed = 37.8 kbps time = 6.94288849s size = 32768 32.8 kB url  https://bouygues.testdebit.info:5060/1G.iso
2 speed = 21.1 kbps time = 6.218949448s size = 16384 16.4 kB url  https://bouygues.testdebit.info:5060/1G.iso
3 speed = 31.5 kbps time = 4.159375999s size = 16384 16.4 kB url  https://bouygues.testdebit.info:5061/1G.iso
4 speed = (too fast) time = 0s size = 0 0 B url  https://bouygues.testdebit.info:5061/1G.iso
summary: speed = 75.5 kbps time = 6.94288849s size = 65536 65.5 kB

nSpeed est très pratique pour ces tests....

Symbol

  • AS52075 Wifirst
  • Expert
  • *
  • Messages: 303
Limitation débit sur le port TCP 1723 (PPTP) chez certains FAI ?
« Réponse #47 le: 19 août 2020 à 00:24:59 »
Le L2TPv2 (dans lequel passe du PPP) c'est de l'UDP ; le port source du LAC est généralement 1701 en pratique mais il peut être quelconque (donc il peut être PATé).
Speedguide note du TCP 1701 : https://www.speedguide.net/port.php?port=1701
C'est une erreur ?
C'est une erreur, L2TP n'est pas transporté sur TCP.