ipcop et win2003

[staple]

Bonjour à tous,

j'ai mis en place une architecture comme celle-ci :


sous-réseau wifi -----( interface rouge )----IPCOP-( interface vert )------réseau local

dans mon sous réseau wifi, j'ai un serveur windows 2003 qui à pour fonction :

- d'authentifier les utilisateurs à se connecter à se réseau via le protocol PEAP ( echange certificat num )
- serveur DNS
- serveur wins
- serveur DHCP

Mon pb est le suivant:

Pré-requis: On va dire, que mon user wifi est authentifié et accède au réseau vert

Qd mon user accède à un serveur applicatif ( type messagerie ), il n'y a pas de pb. on a des temps de réponse assez rapide.

Par contre qd mon user essaye d'accèder à des datas d'un serveur de fichier sous win2k ou sous win2003, on a un temps de réponse médiocre, voir on tombe en time out.

Je pense que mon pb vient que mon serveur windows 2003 ( srv de mon réseau wifi ) ne peut pas accéder au réseau local vert et donc ne peut pas échanger des requêtes wins/dns.

Il y a t-il quelqu'un qui serait comment on implément un vpn ( comme sous xp ou 2k avec e-bootis ) sous win 2003 pour que je puisse ouvrir la route à ce serveur.

Sinon quelqu'un à t-il une idée du pourquoi c'est super long l'accès à des datas ???

Merci pour votre aide

[staple]

bonsoir,

en fait, en cherchant un peu, mon pb est lié au voisinage réseau de windows. Je m'explique:

mon client monte le tunnel vpn, accède au serveur de messagerie avec des temps de réponse correcte. Par contre, dès que l'on veut accéder à un lecteur réseau ( soit via le poste de travail, soit via le voisinage réseau ) on a un temps de réponse médiocre, voire on tombe en time out.

En cherchant dans ce forum, je suis tombé sur des sujet qui parle de MTU. Je pense que mon pb est lié.

Qd je fais un ping -f -l je suis limité à un MTU de 1415, sachant que je suis en éthernet des 2 côtés.

Est-ce normal ?????

Dans mon ipsec.conf, j'ai ajouté la ligne overidemtu=1500, ça ne change rien ( comment on fait pour l'augmenter )

QUelqu'un a t-il une idée ??? Est-ce que monj pb est lié ???? je suis coincé car mes users ne connaissent que le voisinage réseau de winDAUBE

[OLG]

Je ne sais pas si ton pb est lié à ton MTU, mais ce que je sais c'est que tu prends le problème de MTU à l'envers.

Tu ne dois pas chercher à augmenter le MTU mais plutot à le réduire.
En gros si un camion est trop gros pour rentrer dans un tunnel tu refais pas le tunnel ... tu prends un camion plus petit.
Donc va sur tes machines clientes, fais le test du ping et une fois que tu as trouvé la valeur maximale tu règles la valeur du MTU de ton client.

En espérant que ton problème est bien dû à cela.

[staple]

merci pour l'info. en faisant les test j'ai vu que mon PTU max était de 1415. Donc 2 questions :

- est ce normal d'avoir un MTUY de 1415 alors que je suis en ethernet des 2 côtés !!!
- comment faire pour forcer le cleint avec un mtu de 1415 ??? est-ce que ça ne va pas poser pb lorsque le client se connecte au réseau local sans passé par le VPN ???

La petite histoire est que soit mes clients se connectent au réseau en wifi donc via ipcop, soit il se connecte directement en filaire, donc accèdent à toutes les ressources du réseau. Si je change le mtu, ça va pas poser pb qd ils seront en filaire ???

Merci pour ton aide

[OLG]

Perso j'ai étudié ce problème de MTU à cause du protocole PPPoE dont la limite de taille des paquets posaient problèmes pour les machines derrière ma passerelle.

Pour forcer le MTU de tes clients cela dépend de leur OS.
Les machin Windows ont besoin de la création d'une clé registre, pour les machine UNIX tu as déjà la réponse. (je n'ai pas les clés de tête je te laisse faire la recherche tu trouveras facilement)

Le principe du MTU (Maximum Transfert Unit) est de limité la taille des paquets de données que tu envoies sur le réseau. Le fait de limité manuellement leur taille ne devrait poser aucun problème tant que cette taille est inférieur au maximum pris en charge par le protocole en question.
Diminuer ton MTU ne devrait donc pas être un soucis que ce soit pour le VPN ou tout autre chose (comme le mode filaire), le seul inconvénient de baisser la taille limite de ces paquets est qu'elle en augmente le nombre, tu as donc plus de traffic, mais si tu règles ton MTU pil poil à la valeur que t'intique le PING tu devrait être otpimiser.

Désolé de ne pas pouvoir te donner de réponse sûre, je ne fait que supposer d'aprés ce que je sais.

@+

[staple]

dans la suite de mon investiguation, après avoir changé et tester le MTU, mon pb de lenteur d'explorateur windows via un IPCOP persiste toujours.

Je rappel mon architecture:

PC XP -------------Lan ethernet rouge--------IPCOP------lan ethernet vert--------serveur fichier win2003

qd j'accède à mon srv de messagerie via le vpn sur mon lan vert, tout va bien, temps de réponse correct

qd j'accède à repertoire de mon srv win2003 via explorateur , j'ai de stemps de réponse médiocre ( environ 30 à 40 s pour afficher le contenu )

je pensai que mon pb venait du mtu, mais j'en suis plus vraiment sure.

depuis pc xp :

ping -f -l 1415 srv win2003 => réponse OK. au dessus j'ai " le paquet doit être fragmenter ....."

je force mon tunnel vpn avec un overridemtu=1415 => idem
je force mon interface eth 1 ( lan rouge ) ifconfig eth1 mtu 1415 => idem
je force mon interface eth 1 ( lan vert ) ifconfig eth0 mtu 1415 => idem


après tout ces tests, je n'arrive toujours pas à "accélérer" mon explorateur windows.

QUelqu'un at-il eu le même pb et comment le résoudre.



Help me please