routeur transparent ou NAT <=> débit

[manu59]

Bonjour à tous,
j'aimerais avoir votre retour d'expérience sur la différence d'accès à internet en fonction d'un routeur NAT et un routeur Transparent :

Auparavant nous avions un routeur qui faisait du NAT, derrière j'avais mon IPcop et tout marchait bien, sauf que nous n'avions qu'un accès internet de 512K

Depuis quelques jours, nous avons un accès "BIO 2M" en accès internet et le routeur est en mode transparent. J'ai remarqué que pour l'accès à certaines pages le chargement est plus long (voire impossible). En mode console sur mon IPcop je regarde les services qui sont très sollicités : squid et dnsmasq et j'atteins parfois les 90% CPU (et même plus).

La question que je me pose : est-ce que les sollicitations du serveur IPcop sont plus importantes avec un routeur en mode transparent ?
Auquel cas je changerais peut-être ma config IPcop pour une plus puissante...
Merci

[jdh]

Les termes choisis sont un peu ambigus :
La config est passée d'un IPCOP à un IPCOP avec la fonction "proxy en mode transparent".

L'impact réside dans le flux http (le seul concerné par le proxy transparent) d'une part, et une performance générale d'autre part !

Quand le flux http qui traverse le firewall, est dérouté vers le proxy Squid avec le mode transparent, c'est que Squid va tourner.
Or les besoins de Squid sont d'abord des ressources mémoires puis des ressources disques.

Il en résulte que, puisqu'il y a moins de mémoire à disposition, pour faire fonctionner le firewall (gestion des états de sessions pour l'essentiel), il est possible que le traitement "de base" des paquets soit moins efficace ! (Ca parait logique).
D'où le deuxième impact.

Tout est donc une question de dosage : type de proc, taille de mémoire, type et perf du disque.

...

[ccnet]

Pour les raisons expliquées ci dessus, il est évident que la présence du proxy sur le firewall change complètement les données de base en matière de dimensionnement de la machine compte tenu des ressources consommés par squid. Je crois donc que vous faites fausse route en posant le problème dans les termes du titre de votre message.

[manu59]

Le routeur SDSL orange est configuré par orange en mode transparent (rien à voir avec mon proxy). De ce fait, mon IPcop fait totalement office de pare-feu puisque la carte RED est en IP publique.
Merci

[ccnet]

je regarde les services qui sont très sollicités : squid et dnsmasq et j'atteins parfois les 90% CPU (et même plus).

Je crois qu'il y a là quand même un goulot d'étranglement lié au proxy.

[jdh]

Effectivement, il faut lire attentivement la config.

- rtr (donc NAT) sur ADSL 512k versus BIO 2M

Ce serait pas plutôt "BIV 2M" ? (Ligne fournie par Orange avec fourniture voix basé sur une SDSL).

Une ligne SDSL 2M n'a rien à voir avec une ligne ADSL 512k !
La vitesse n'est pas la même, la latence n'est pas la même, le temps minimal ou moyen n'est pas le même.
Et le mode de connexion n'est pas le même : NAT versus Bridge.

Il ne me choque pas que, le débit ayant augmenté, la performance générale augmente, donc la sollicitation du proxy transparent augmente et créé une latence supplémentaire.
Il me semble logique que, puisque le débit a augmenté, le cache se remplit mieux et plus vite, il se présente alors comme un peu plus lent au lancement (plus de choses à balayer).


Concernant la différence NAT et BRIDGE, cela porte sur Red qui a ou non une adresse ip publique.
Mais cela ne change pas tant que ça puisque tout le trafic Green vers Red sera obligatoirement NATé.
il faut comprendre que la pile tcp/ip via netfilter doit quand, quand on NATe, changer l'ip source (tout paquet sortant doit avoir l'adresse Red).
Or le travail nécessite déjà de changer l'adresse MAC !
Donc changer, en plus, dans le paquet, l'ip source ne doit pas beaucoup ralentir le job tant qu'on en est à modifier certains champs du paquet !

Ce qui change c'est que le boulot est fait une fois dans Ipcop puis une autre dans le routeur NAT, contre une fois seulement pour un bridge.

L'impact du proxy est bien plus important que tout cela !

NB : Attention la nouvelle ligne vient avec de nouveaux serveurs dns : il faut mettre à jour chaque serveur en ayant besoin (Ipcop et le serveur Windows interne généralement) !

[manu59]

Merci jdh pour tes réponses.
Non, il s'agit bien d'un BIO 2M (à la lecture du contrat). Quant aux serveurs DNS, pas besoin de les changer : c'est la première chose que j'ai demandée au technicien, il m'a dit que je devais les conserver ... Moi aussi ça me paraît bizarre..

Bref, à la lecture de vos conseils éclairés je vais faire évoluer la config (je tourne pour l'instant avec un P IV et 512 Mo)

Merci à tous

[manu59]

Bonjour, je reviens sur mon problème. Actuellement certains sites sont indisponibles; il s'agit de sites non blacklistés, des sites pédagogiques du rectorat. J'ai fait des tentatives en désactivant le proxy (celui-ci m'annonçait 110 timed out) et le résultat est le même.
J'ai bien une résolution de nom : si je fait un ping sur ac-lille.fr j'obtiens l'IP --- Considérons que la réponse au ping a été désactivée. En faisant un tracert sur cette adresse, le premier saut échoue .... Pourquoi ?

[manu59]

J'ai l'impression que le problème vient d'orange
Qu'en pensez-vous ?

[ccnet]

Sur http://www.ac-lille.fr/ j'ai une réponse immédiate mais mon opérateur n'est pas Orange. Au vu des résultats de tests on peut soupçonner Orange en effet.

[manu59]

Je les appelle cet après-midi parce que les réclamations deviennent légion...
Merci

[manu59]

Le problème venait de chez ORANGE :
Attribution d'une IP qui appartenait auparavant à un autre client....et les restrictions qui allaient avec.
Merci à tous