Taille de paquets MTU

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Taille de paquets MTU

Messagepar eden91 » 27 Juil 2004 18:18

Bonjour,
j'ai monté un VPN avec la MNF entre 2 réseaux distants et ça marche très bien.
Voici ma config

Réseau1 - MNF1 - Routeur Zywall10 - modem1 - Internet - modem2 - Routeur Zywall10 - MNF2 - Réseau2

J'ai acheté aujourd'hui à Surcouf un Zywall 10W pour remplacer un des 2 routeurs et là surprise tout marche bien sauf le VPN !
Je vais regarder dans les journaux de mes MNF et je vois que le VPN monte bien et que le tunnel est établi entre les 2 MNF mais pas moyen de pinger ou de faire autre chose entre les 2 réseaux distants.

J'ai appelé le support de Zywel qui m'a dit que le problème pouvait venir de la taille des paquets MTU.
C'est à dire que mon ancien routeur absorbait bien la taille des paquets MTU envoyés par la MNF mais que le nouveau avait des nouvelles normes et donc qu'il rejetait les paquets trop grands ...

Est ce que quelqu'un pourrait m'aider ? comment change t'on la taille des paquets MTU sur la MNF ?

Merci d'avance à tous les pros.
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Taille de paquets MTU

Messagepar louis » 09 Août 2004 14:12

Bonjour Eden91,

Pour changer le mtu d'une carte :

ifconfig <carte> mtu <taille>


où <carte> = et0, et1, ... ou ppp0
<taille> = en nombre d'octets
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar netspirit » 20 Août 2004 15:11

Salut,

Moi j'aimerai bien savoir si le fait de régler la taille du MTU, en le baissant par exemple à 1492 au lieu de 1500 sur tes deux MNF a réglé le problème de VPN qui ne fonctionnait plus ?
@+
Nous ne savons pas le vrai si nous ne savons la cause - PLATON
www.om-conseil.fr
Avatar de l’utilisateur
netspirit
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 13 Oct 2003 00:00

Messagepar Jacques- » 20 Août 2004 22:10

Je ne sais pas si cela a réglé le problème, mais mettre un MTU à 1492 sur une connexion en PPPOE est indispensable.
Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Methos_Hi » 20 Août 2004 22:12

[Mode blague]
C'est à cause de Christophe Colomb !!!! :D
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar netspirit » 21 Août 2004 00:33

Jacques, quand tu dis c'est indispensable, tu parles de la MNF ? Normalement le MTU a été implémenté dans les équipements réseau pour être capable de s'auto adjuster selon la plus petite taille possible rencontrée en cours de route, donc normalement on ne doit pas avoir à régler ce MTU puisque un simple routeur doit être capable d'annoncer qu'il découpe les paquets dès lors qu'ils font plus de 1492 octets, l'émetteur devant alors envoyer de nouveau son paquet en le découpant (c'est basé sur le protocole ICMP comme ping ou traceroute) et ça fonctionne d'ailleurs dans 98% des cas. Problème avec les réseaux d'aujourd'hui (en 2004 ) : on filtre tellement l'ICMP partout que le MTU ne fonctionne plus tout seul sur certains équipements et j'ai l'impression que la MNF fait parti des équipements qui filtre en ayant oublié le rôle très important du MTU...
Enfin entre temps j'ai trouvé réponse à mon problème et en effet les VPN Mandrake MNF peuvent être énormément ralenti voir ne pas fonctionner du tout sur des lignes connectées via ADSL si le MTU par défaut (1500 octets) est conservé.
La commande ifconfig eth... mtu 1492 solutionne le problème (avec eth... pour chaque interface).
Puis il faut entrer cette valeur de MTU en dur pour conserver ce réglage à chaque reboot en ajoutant la valeur MTU=1492 dans les fichiers /etc/sysconfig/network-scripts/ifcfg-eth... (eth... = eth0, eth1, eth2 dans mon cas).
Merci en tout cas pour vos précisions et bon week-end à tous !
Nous ne savons pas le vrai si nous ne savons la cause - PLATON
www.om-conseil.fr
Avatar de l’utilisateur
netspirit
Premier-Maître
Premier-Maître
 
Messages: 49
Inscrit le: 13 Oct 2003 00:00

Messagepar Methos_Hi » 21 Août 2004 01:12

hou que oui que le mnf filtre l'icmp.

les exceptions concernant l'icmp font parti des premières et ne concerne que la réponse au ping (8) entre certaines zones.
Rien sur le mtu.
Tu peux peut-être créer des exceptions pour gérer le MTU automatiquement.


En fait, d'après ce que j'ai compris (souvenirs lointains de réseau) c'est lorsque les paquets font plus de 1500 qu'il faut fragmenter. C'est pourquoi, en forçant la taille des paquets (MTU) générés par le système à 1500, on obtient les plus grans paquets possibles (meilleur rapport signalisation/données utiles) sans fragmenter qui génère de la signalisation supplémentaire.
Le problème c'est qu'avec l'encapsulation ipsec les paquets prennent du poids.
Normalement avec 1492, lorsque l'on rajoute l'entête ipsec on doit arriver à 1500.

Je ne garantis rien sur l'explication mais en tout cas c'est un truc comme çà, ce qui constitue une piste pour ceux qui veulent en savoir plus. :oops:
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar micjack » 21 Août 2004 01:21

Petard, t'a la forme ce soir Methos :wink:

Si non, j'ai franchement un doute sur l'auto ajustement.. et prefere l'ajuster moi meme pour etre sur de ne pas perdre des fragments en route, qui cela occasionnera forcement un ralentissements à devoir recuperer le reste au prochain paquet.

Un debat sur le MTU ---> viewtopic.php?p=85206&highlight=&sid=7744ed1a6e35a8bbcc23c80bd54d33b4#85206


Apres, concernant les VPN il y 'a un sujet relatif et une interrogation de ma part concernant la syncro entre les deux interfaces distantes ---> viewtopic.php?t=6971&postdays=0&postorder=asc&start=0

Si non, ne pas oublier les 8 octets sur pppoe, qui peut fosser la donne....
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Methos_Hi » 21 Août 2004 01:24

la forme de quoi ?

en tout cas mes yeux fatigués commencent à prendre une forme bizarre.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar Jacques- » 21 Août 2004 19:22

En PPPOE, le MTU doit être à 1492, puisqu'à ce paquet IP, il faut rajouter les entêtes PPP et loger le tout dans une trame ethernet.
Voir le site de Christian Caleca sur une explication détaillée du PPPOE, les traces et les exemples, et les infos sur le MTU.
De plus en VPN, si tes paquets IPSEC sont fragmentés dans les paquets PPP, je doute qu'à l'arrivée tout arrive justement... et donc ton VPN ne pourra probablement pas marcher dès que tu commenceras à transférer des données.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 0 invité(s)