[RESOLU] Pbs de VPN je suppose

par **calamarz** » 21 Avr 2004 15:16

Bonjour a tous,

Alors voila je comprends pas ce qui ce passe j'ai 7 Ipcop en 1.3 Fix 9 ils fonctionnent bien en VPN mais depuis peu j'ai un soucis (fix 9 peut etre ???) je n'arrive plus a charge sur les sites distants la totalite de l'intranet en effet sur ce site intranet j'ai des image de 50 Ko qui ne se chargent plus mais sur d'autres réseaux cela fonctionne j'ai regarde les parametres du proxy ils sont bons mon proxy est activé cela me fais la meme chose pour la messagerie en effet sur les sites distants des qu'il y a une piece jointe trop grosse 100 K l'outlook plante car la pice ne passe pas par le VPN mais cela fonctionne sur certains sites (5/7) alors j'ai l'impression que sur 2 ipcops ils refusent de faire passer par le VPN des fichiers d'une certaines tailles c'est curieux non ???

par **mordenkainen** » 21 Avr 2004 16:04

Le problème pour moi là c'est la ponctuation.. :wink:

Reformules stp, j'ai strictement rien compris (et je dois pas être le seul)....

BZH $\:D/$

par **calamarz** » 21 Avr 2004 16:17

Bonjour a tous,

J'ai 7 Ipcop en 1.3 Fix 9 ils fonctionnent bien en VPN mais depuis peu j'ai un soucis:

-Depuis 2 sites distants je n'arrive pas a charger des pages web hebergées sur le site principale (ex: interface web de serveur d'impression). Et par la même occasion dès que je lance mon client de messagerie j'arrive a lire tous les messages ne contenant pas de pieces jointes mais ceux en contenant plantent systematiquement mon client de messagerie.
Precisions: Mon intranet est sur le site principal, ainsi que le serveur de messagerie.

-Sur mes 4 autres sites cela fonctionne bien.

Je pense donc que le probleme vient du passage de fichiers "trop lourds ??" dans le tunnel VPN car depuis un site distant ne fonctionnant pas je peux récuperer sur mon site INTERNET des pdf de 3 Mo mais pas les mêmes pdf sur mon serveur INTRANET.

Voila j'espere que cette fois ci c'est un peu plus clair

Merci

par **mordenkainen** » 21 Avr 2004 16:43

Il me semble (si quelqu'un pouvait confirmer) que l'option 'compression vpn' foutait un gros coup de lag voire la déconnexion pure et simple suivant le type de fichier.
Je crois qu'il y avait eu un post avec ce genre de problème et les fichiers excel....

Remarque, si celà fonctionnait avant, pourquoi ca ne fonctionne plus maintenant... :?:

Puis le fait que ca fonctionne sur d'autres invalide surement le problème de compression...

Moyen de faire un test en réécrivant la configuration vpn et d'en faire un autre 'sans compression' ?

par **calamarz** » 21 Avr 2004 16:52

Oui et en plus le probleme c'est que tous mes IPCOP sont similaires !!!! (meme hardware) et en plus même FIX car generalement j'attends 15 jours pour voir si il n'y a pas de mauvais retour sur un FIX avant de l'installer sur mes Ipcops en production, et maintenant j'ai la certitude que cela vient bien du passage de fichier via le VPN en plus le probleme n'apparait que dans un sens je m'explique:

Depuis le site distant je ne peux acceder a l'interface Web d'un serveur d'impression (la page se charge en partie sauf les logos et menus trop "lourds") situe sur le site principal en revanche alors que si j'effectue le même test en sens inverse cela fonctionne !!!!

c'est tres bizarre comme probleme quand même !!!

par **mordenkainen** » 21 Avr 2004 17:00

Un 'ghost' de la config qui marche sur celle qui marche plus...Changements de quelques réglages...et paf ca repart ?

Je suis dehors....

Enfin en prod c'est sur que c'est la misère là...
En tout cas soutien moral... la solution m'interesse beaucoup

par **calamarz** » 21 Avr 2004 17:04

Oui mais refaire la machine c'est bien mais je voudrais savoir pourquoi cela bloque en plus j'ai compare une qui fonctionne et une qui bloque et c'est la même chose

par **guiguid** » 21 Avr 2004 18:45

c'est pas plutot un problème de MTU ?
essaye ping avec le flag 'ne pas fragmenter' et impose une taille de packets de : 64, 128, 256, 512,1024 et 1500, et cherche (dans les 2 sens) la plus grande taille possible, par exemple 1492, et met la en dur pour chaque interface ipsec0, ppp0, eth0 .....

ton problème pourrait arrivé si tu as changer recement de modem ADSL, ou pppoe pppoa .....

Voila.

Guillaume

par **calamarz** » 21 Avr 2004 22:10

oui en effet j'ai refait mon ipcop sur le site principal car il est maintenant en SDSL derriere un routeur Netopia alors qu'avant j'étais en pppoe (ADSL 512/128) pour je vais faire ce test demain mais je ne saisi pas pourquoi cela fonctionne avec d'autres sites merci

par **calamarz** » 22 Avr 2004 11:06

Bon voila la config des 3 ipcops le principal, un site distant qui fonctionne et un autre qui ne fonctionne pas.

SITE PRINCIPAL:
--------------------

eth0 Link encap:Ethernet HWaddr 00:30:F1:58:29:20
inet addr:148.148.xx.xx Bcast:148.148.xx.xx Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:959328 errors:0 dropped:0 overruns:0 frame:0
TX packets:1003614 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:254184231 (242.4 Mb) TX bytes:408566323 (389.6 Mb)
Interrupt:9 Base address:0x6e00

eth1 Link encap:Ethernet HWaddr 00:50:FC:26:3E:33
inet addr:82.xx.xx.xx Bcast:82.xx.xx.xx Mask:255.255.255.252
UP BROADCAST RUNNING MTU:1500 Metric:1
RX packets:990437 errors:0 dropped:0 overruns:0 frame:0
TX packets:879469 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:393296302 (375.0 Mb) TX bytes:221059203 (210.8 Mb)
Interrupt:11 Base address:0x8f00

ipsec0 Link encap:Ethernet HWaddr 00:50:FC:26:3E:33
inet addr:82.xx.xx.xx Mask:255.255.255.252
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:734457 errors:1 dropped:239 overruns:0 frame:0
TX packets:625107 errors:0 dropped:19959 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:149959572 (143.0 Mb) TX bytes:182812890 (174.3 Mb)

// Sur L'ipsec0 il y a beaucoup de dropped cela vient peut etre de la non ??

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:9025 errors:0 dropped:0 overruns:0 frame:0
TX packets:9025 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:929451 (907.6 Kb) TX bytes:929451 (907.6 Kb)

SITE DISTANT QUI FONCTIONNE:
---------------------------------------

eth0 Link encap:Ethernet HWaddr 00:30:F1:68:31:C4
inet addr:148.148.xx.xx Bcast:148.148.xx.xx Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:121717 errors:0 dropped:0 overruns:0 frame:0
TX packets:112008 errors:0 dropped:0 overruns:0 carrier:0
collisions:45 txqueuelen:1000
RX bytes:12687492 (12.0 Mb) TX bytes:82624660 (78.7 Mb)
Interrupt:9 Base address:0x6e00

eth1 Link encap:Ethernet HWaddr 00:48:54:82:E5:B9
inet addr:1.1.1.1 Bcast:1.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:171131 errors:0 dropped:0 overruns:0 frame:0
TX packets:176634 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:79044399 (75.3 Mb) TX bytes:21064134 (20.0 Mb)
Interrupt:11 Base address:0x8f00

ipsec0 Link encap:Point-to-Point Protocol
inet addr:213.xx.xx.xx Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:3653 errors:0 dropped:0 overruns:0 frame:0
TX packets:5343 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:1106791 (1.0 Mb) TX bytes:603192 (589.0 Kb)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:262 errors:0 dropped:0 overruns:0 frame:0
TX packets:262 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:46068 (44.9 Kb) TX bytes:46068 (44.9 Kb)

ppp0 Link encap:Point-to-Point Protocol
inet addr:213.xx.xx.xx P-t-P:62.xx.xx.xx Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1492 Metric:1
RX packets:3904 errors:0 dropped:0 overruns:0 frame:0
TX packets:5404 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:743276 (725.8 Kb) TX bytes:612276 (597.9 Kb)

SITE DISTANT NE FONCTIONNANT PAS:
----------------------------------------------

eth0 Link encap:Ethernet HWaddr 00:30:F1:58:22:1A
inet addr:148.148.xx.xx Bcast:148.148.xx.xx Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2640 errors:0 dropped:0 overruns:0 frame:0
TX packets:1933 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:696967 (680.6 Kb) TX bytes:174296 (170.2 Kb)
Interrupt:9 Base address:0x6e00

eth1 Link encap:Ethernet HWaddr 00:E0:7D:E4:12:D9
inet addr:1.1.1.1 Bcast:1.1.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6419 errors:0 dropped:0 overruns:0 frame:0
TX packets:6746 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:514949 (502.8 Kb) TX bytes:923966 (902.3 Kb)
Interrupt:11 Base address:0x8f00

ipsec0 Link encap:Point-to-Point Protocol
inet addr:213.xx.xx.xx Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:1427 errors:0 dropped:0 overruns:0 frame:0
TX packets:1630 errors:5 dropped:24 overruns:0 carrier:5
collisions:0 txqueuelen:10
RX bytes:80336 (78.4 Kb) TX bytes:480360 (469.1 Kb)

// Ici aussi en ipsec0 j'ai des dropped

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:17 errors:0 dropped:0 overruns:0 frame:0
TX packets:17 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2442 (2.3 Kb) TX bytes:2442 (2.3 Kb)

ppp0 Link encap:Point-to-Point Protocol
inet addr:213.xx.xx.xx P-t-P:62.xx.xx.xx Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1492 Metric:1
RX packets:1639 errors:0 dropped:0 overruns:0 frame:0
TX packets:1722 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:169529 (165.5 Kb) TX bytes:482683 (471.3 Kb)

Hier soir j'ai casse le tunnel sur le site distant et je l'ai refais pour voir ce matin mais j'ai toujours le même probleme !! je vais le recaaser ce soir mais cette fois des deux cotés

Merci

par **guiguid** » 22 Avr 2004 11:44

ipsec0 Link encap:Ethernet HWaddr 00:50:FC:26:3E:33
inet addr:82.xx.xx.xx Mask:255.255.255.252
UP RUNNING NOARP MTU:16260 Metric:1

alors que :
ppp0 Link encap:Point-to-Point Protocol
inet addr:213.xx.xx.xx P-t-P:62.xx.xx.xx Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MTU:1492 Metric:1

donc tes packets ipsec sont fragmentés !

essaye une MTU pour ipsec de 1492 - taille su Header IPSEC,
et je pense que tes problèmes s'evanouirront ....
(pour tester essaye une MTU de 1300 pour ipsec0 et vois ce que ca donne)

voila .

par **calamarz** » 22 Avr 2004 12:55

Oui merci du conseil mais juste un detail euhhh comment on fait :oops:

oui car pour modifier la MTU ??? et ce que je ne m'explique pas c'est pourquoi cela fonctionne t-il sur plusieurs sites avec la même MTU ??? merci....

par **guiguid** » 22 Avr 2004 20:24

a peu de chose pres :

ifconfig ipsec0 mtu 1300 ?

Voila.

par **calamarz** » 23 Avr 2004 10:31

MERCI je viens de saisir la ligne de commande et la magie ca a fonctionne :biz:

par **vaneay** » 23 Avr 2004 18:13

et de maniere définitive dans /etc/ipsec.conf on peut mettre
overridemtu=1300
et ça reprendra la valeur 1300 sur ipsec0 a chaque remontage du tunnel.

Ces problemes de MTU sont assez bizares ... en fait on sait pas trop comment ils aparaissent.
et sur les listes de discutions de frees/wan y a pas vraiement d'explication.
ça dépends de plein de facteurs ( FAI, équipements actifs, routeurs, modems, cartes réseau ) bref tout y passe.

personellement je conseille apres avoir mis en place un lien VPN de tester différents applicatifs qui sont sensibles à çes problemes de MTU :

- vnc : probleme souvent reporté on arrive a se loguer mais la console reste noire ( pas de transfert de l'image de l'écran distant ) ou on se fait jetter par le serveur sans raison en pleine session.
- Pc Anywhere : probleme pour se connecter idem
- Chargement d'une page web contenant des images de différentes tailles sur un serveur distant via le VPN, symptome constaté les petites images ( 1 à 5 Ko) se chargent alors que les grosses images ( 9 Ko et +) ne passent pas du tout.

le truc royal sinon c'est hping et tcpdump.
si vous avez 1 becane sous linux à chaque bout du tunnel

sur la premiere vous lancez un hping en mode listen ( il répondra aux requettes icmp ) et un tcpdump qui monitore le traffic provenant de la machine distante.
sur la machine distante vous lancez hping en envoyant des paquets icmp en augmentant de façon graduelle la taille des données.

vous notez a partir de quelle taille de données le paquet et fragmenté et a partir de quelle taille les fragments ne passent plus dans le VPN.

voila vous avez vos limites sur la taille des paquets avant que ipsec se mette à les fragmenter et que ça ne passe plus.

[RESOLU] Pbs de VPN je suppose

[RESOLU] Pbs de VPN je suppose

Qui est en ligne ?