Auteur Sujet: Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?  (Lu 4321 fois)

0 Membres et 1 Invité sur ce sujet

JrNV

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Paris (75)
Bonjour à tous,

Je m’occupe du réseau dans une PME d’une 40aine de personne, et là je butte sur un problème que je n’arrive pas à résoudre, même après de nombreuses recherches, donc je cherche de l’aide sur ce forum qui a l’air de compter pas mal d’experts !

Voici la configuration actuelle :
Le réseau local est géré par un routeur Linksys LRT224 qui fait DHCP, firewall et VPN. Il est connecté en dual WAN sur une Livebox fibre Orange Pro d’un coté et sur une vieille box Numéricable en fail-over de l’autre. Il y a donc le vrai réseau local (en 10.10.10.*) et deux mini-réseaux à deux machines entre chaque ports WAN et chaque box (192.168.10.* et 192.168.11.*). Sur le routeur Linksys LRT224 un VPN IPSec est défini (avec l’option NAT Traversal) et les utilisateurs se connectent dessus via le client VPN de Shrew. Ils peuvent alors accéder aux ressources locales, en particulier un serveur samba. Jusqu’ici tout fonctionne bien, mais depuis le Covid, au lieu d’avoir quelques utilisateurs de temps en temps sur le VPN on est passé à des dizaines d’utilisateurs simultanés tous les jours. Et là quelque chose ne tient pas la charge, les connexions au VPN sont instables, elles n’aboutissent pas ou time-out.

Le Linksys LRT224 est-il sous-dimensionné pour cette charge ? Est-ce le double NAT qui détériore le service ? Sachant qu’on n’utilise ni la TV ni le téléphone Orange et qu’un boitier ONT est installé, virer la Livebox est aussi une option que j’envisage. Mais est-ce que ça changera quelque chose ? Ou si vous avez une autre idée…

Dites moi s’il manque des infos. Merci d’avance pour vos idées de solution !

Steph

  • Abonné K-Net
  • *
  • Messages: 7 552
  • La Balme de Sillingy 74
    • Uptime K-net
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #1 le: 03 septembre 2020 à 16:02:35 »
Le LRT224 est donné pour 5O tunnels IPsec et 5 tunnels OpenVPN.
https://downloads.linksys.com/downloads/datasheet/fr_eu/LRT214_LRT224_Francais.pdf

Si les dizaines d'utilisateur fleurtent avec 50...

Que disent les logs du routeur?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #2 le: 03 septembre 2020 à 16:52:13 »
https://www.linksys.com/us/support-article?articleNum=291979

Citer
IPsec - DES, 3DES, AES Encryption, MD5, SHA2 Authentication (SHA2 supports the SSL / TLS protocol on LRT routers.  Currently IPsec Gateway-to-Gateway does not support SHA2 in the Linksys LRT214 and LRT224.)
50 IPsec site-to-site tunnels
VPN backup for site-to-site tunnels
5 SSL tunnels (supports OpenVPN)
5 PPTP tunnels
110 Mbps IPsec throughput
12 Mbps SSL throughput

si ca timeout/coupe: c'est la limite du nombre de tunnels.
si ca connecte mais c'est lent: c'est le débit chiffré cumulé qui est atteint

JrNV

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #3 le: 03 septembre 2020 à 17:18:19 »
Merci pour vos réponses.

Là par exemple j'ai demandé à quelques utilisateurs de se connecter en même temps, ça donne ça les logs du VPN :

Sep 3 16:03:10 2020   VPN Log   (grpips1)[21] 10.10.10.0/24=== ...78.219.24.18===10.121.19.1/32 #425: [Tunnel Established] IPsec SA established {ESP=>0x98523e4a < 0x66946a80 NATOA=0.0.0.0}    
Sep 3 16:03:10 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===? #426: [Tunnel Established] ISAKMP SA established    
Sep 3 16:03:10 2020   VPN Log   (c2gips2)[1] 81.66.198.101 #427: [Tunnel Established] ISAKMP SA established    
Sep 3 16:03:10 2020   VPN Log   (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:10 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:10 2020   VPN Log   (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:10 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:10 2020   VPN Log   (c2gips2)[1] 81.66.198.101:4500 #429: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:11 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #431: [Tunnel Negotiation Fail] discarding duplicate packet; already STATE_QUICK_R1    
Sep 3 16:03:12 2020   VPN Log   (grpips1)[21] 10.10.10.0/24=== ...78.219.24.18===10.121.19.1/32: [Tunnel Disconnected] instance with peer 78.219.24.18 {isakmp=#0/ipsec=#0}    
Sep 3 16:03:13 2020   VPN Log   (c2gips1)[9] 82.123.96.50:39752: [Tunnel Disconnected] instance with peer 82.123.96.50 {isakmp=#0/ipsec=#0}    
Sep 3 16:03:13 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #469: [Tunnel Established] ISAKMP SA established    
Sep 3 16:03:13 2020   VPN Log   (c2gips1)[11] 82.123.96.50:1024 #471: [Tunnel Established] ISAKMP SA established    
Sep 3 16:03:14 2020   VPN Log   (c2gips1)[11] 82.123.96.50:4500 #475: [Tunnel Established] IPsec SA established {ESP=>0x34ebd8a0 < 0xb9be2153 NATOA=0.0.0.0}    
Sep 3 16:03:18 2020   VPN Log   (grpips1)[22] 10.10.10.0/24=== ...109.0.230.236===10.121.16.1/32 #477: [Tunnel Established] IPsec SA established {ESP=>0x324c907c < 0xac9ac2d0 NATOA=0.0.0.0}    

Et coté utilisateurs que des "negociation time out". Il y a du avoir une dizaine d'utilisateurs max à essayer de se connecter.

https://www.linksys.com/us/support-article?articleNum=291979

si ca timeout/coupe: c'est la limite du nombre de tunnels.
si ca connecte mais c'est lent: c'est le débit chiffré cumulé qui est atteint

Pas de problème de lenteur, juste des déconnexion / timeout. On est loin des 50 utilisateurs, c'est sûr. Les connexions VPN IPSec Client-to-gateway sont inclus dans les IPsec site-to-site tunnels ? Parce que je ne vois pas de limite indiqué sur ceux là.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #4 le: 03 septembre 2020 à 17:36:21 »

Les connexions VPN IPSec Client-to-gateway sont inclus dans les IPsec site-to-site tunnels ? Parce que je ne vois pas de limite indiqué sur ceux là.

oui c'est 50 connexions IPSec (client-to-gateway ou site-to-site) et 5 en OpenVPN. ce n'est pas la meme chose.

tes clients vpn tu les vois ici:  http://ui.linksys.com/LRT224/v1.0.2.06/openvpn_summary.htm
ou la : http://ui.linksys.com/LRT224/v1.0.2.06/vpn_summary.htm


JrNV

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #5 le: 03 septembre 2020 à 17:41:32 »
Ils sont dans les connexion IPSec (vpn_summary)

J'ai par ailleurs configuré des connexions Open VPN, qui elles fonctionnent bien, mais comme il ne peut en avoir que 5 tunnels OpenVPN en même temps, ça ne suffit pas.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #6 le: 03 septembre 2020 à 17:49:28 »
les lifetime ipsec sont réglés a combien ?

reboot/mise a jour déja fait j'imagine ?

sinon bug alors.

apres 40 personnes sur un LRT224 c'est juste quand meme.

JrNV

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #7 le: 03 septembre 2020 à 18:09:15 »
Phase 1 SA Life Time : 28800
Phase 2 SA Life Time : 3600
et
Dead Peer Detection Intervalseconds : 20s (mais cela ne semble pas faire de différence).

Oui le routeur est à jour et rebooté de temps en temps.

Auriez-vous une recommandation de routeur dual Wan + VPN assez costaud pour assurer une 50aine de connexions VPN simultanées ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #8 le: 03 septembre 2020 à 19:00:42 »
Auriez-vous une recommandation de routeur dual Wan + VPN assez costaud pour assurer une 50aine de connexions VPN simultanées ?

pas vraiment car je sépare toujours le vpn du routage.

Si y'a un serveur allumé 24/7 c'est plus simple souvent d'assurer le vpn sur lui. D'autant plus si c'est du Windows partout on peut utiliser l'AD pour régler les droits d’accès au VPN.

En solution 'VPN hardware appliance' y'a souvent 'une grosse marge' pour pas grand chose donc les équipements (type fortigate)  coûtent chers.

Cela dit apres une PME de 40 personnes doit pouvoir se payer un fortinet, un cisco ou autre (mais ce monde est plein de revendeurs gourmands qui abusent des PME ignorantes, donc attention :) )

Ca c'est l'ancien monde.

De nos jours je recommanderai plutôt un truc comme https://tailscale.com/ par exemple. c'est ultra simple, ultra rapide à mettre en oeuvre (installer un binaire et se connecter avec un compte email). Si on est bon admin, on peut installer et configurer wireguard soit même (tailscale.com est un couche au dessus de wireguard pour gerer les clés avec partir de comptes emails).
Dans ton cas il faut installer le client sur un serveur ou un pc  allumé 24/7 sur site.

Sinon on peut juste donner l'accès a des applications/services (typiquement un site web intranet par exemple) via Cloudflare Teams, c'est gratuit pour jusqu’à 50 users: https://www.cloudflare.com/teams-pricing/

JrNV

  • Abonné Orange Fibre
  • *
  • Messages: 6
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #9 le: 04 septembre 2020 à 10:04:34 »
Merci pour la recommandation !

Il y a des serveurs sous Debian derrière, donc je vais me pencher sur Wireguard qui a l'air assez simple à mettre en place. Le double NAT m'inquiète un peu pour les performances, mais on verra bien. J'avais mis en place un setup similaire avec OpenVPN il y a genre 10 ans et les performances étaient vraiment horribles, du coup je m'étais dit que je partirais sur une solution hardware la prochaine fois. Mais c'était il y a bien longtemps, avec de l'ADSL, etc.

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #10 le: 04 septembre 2020 à 13:19:45 »
Wireguard peut tirer parti des accélérations matérielles ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Surcharge sur un VPN sur un Linksys LRT224 derrière une Livebox ?
« Réponse #11 le: 04 septembre 2020 à 14:17:14 »
Wireguard peut tirer parti des accélérations matérielles ?

non pas celles d'AES-NI.

Wireguard utilse ChaCha20 car ca marche partout rapidement , surtout sur mobile.

Mais sur les CPU récents qui ont AVX ca l'utilise.

du coup cela bat AES meme sur les cpu qui l'ont: https://www.wireguard.com/performance/

un test sur 10Gbps: https://www.reddit.com/r/WireGuard/comments/gulp9i/wireguard_over_10gbit_link/