[RESOLU]IPcop et FAI Orange

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU]IPcop et FAI Orange

Messagepar gemoussier » 23 Avr 2008 10:41

Bonjour,
je dois gérer un parc informatique d'une vingtaine de pc pour une entreprise.

Nous disposons :

Accès ADSL Orange (IP fixe) - Modem adsl Netgear dg632 - IPcop :
- zone verte - ~20 postes (windows XP), 2 serveur Windows 2003 serveur
- zone orange - prévu pour serveur mail/web/ftp
- zone bleue : non utilisé mais activé
- zone rouge : utilise le modem pour établir une session PPPoE

Les PC de la zone verte sont reliés par 2 switchs cascadés et aucun problème n'est ressentie sur la zone verte. Les réseaux sont bien séparés (logiquement et physiquement).

Configuration d'IPCop :
- Celeron 2.4GHz, 256MB de RAM, DD 40GB, 4 carte réseaux (dont 1 intégrée), seulement un clavier usb branché (+ câbles réseaux évidemment)
- Proxy transparent sur green activé (permet d'accélérer un peu le web en attendant)
- Zerina (de la zone orange vers verte dans un premier temps)

Le modem se coupe toutes les minutes environs et se reconnecte, entre deux reconnexions internet est accessible mais très lent (~20ko/s max pour une ligne de 6Mbps environ en réception et 1Mbps en émission).

Le débit en sortie ne devrait pas être très importants mais le nombre de connexions est plutôt conséquent : entre 700 et 1500 connexions actives (sockets) simultanées.

A partir de là je me pose plusieurs questions :
- d'où est ce que ça peut venir ?
- saturation du modem ?
- saturation d'IPcop ?
- limite de connexions simultanées par l'opérateur ?
- filtrage adsl peu performant ?
- est-il possible d'utiliser IPCop pour qu'il utilise le modem sans utiliser les identifiants, la session PPPoE serait alors gérer par le modem, au lieu du bridge actuel ?

Autre question j'ai remarqué que le nom du noyau est : "Linux ipcop.localdomain 2.4.34 #1 Thu Apr 10 07:44:43 GMT 2008 i686 pentium4 i386 GNU/Linux". Est-ce bien normal d'avoir à la fois i686 et i386 ?
J'ai recompilé IPCop sur un portable 2x1.8Ghz (Centrino Duo), 2GB ram.

Enfin je cherche un feedback d'utilisateur de l'opérateur Orange et d'IPcop (notamment s'il est nécessaire d'utiliser le @fti à la fin du login).

Merci d'avance.
Dernière édition par gemoussier le 28 Avr 2008 16:47, édité 1 fois au total.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar ccnet » 23 Avr 2008 11:34

A défaut de pouvoir répondre à toutes vos interrogation, une remarque sur la configuration.
D'une façon générale j'évite absolument entre ipcop et le modem d'avoir autre chose qu'une liaison ethernet et si possible (mais avec Orange ce n'est pas le cas) avec l'ip publique sur l'interferfce red d'ipcop. Cette configuration évite bien des problèmes.

Compte tenu de la machine utilisée pour ipcop je ne vois aucune raison qu'elle pose des problème de performance. J'obtiens des performances excellentes avec du pII - 400 Mghz et 256Mo de ram pour ipcop. Cela dit vous pouvez consulter les stat pour voir ce qu'il en est de l'utilisation des ressources de la machine.

Pas de nombre de connexions limitées par l'opérateur à ma connaissance.

le nombre de connexions est plutôt conséquent : entre 700 et 1500 connexions actives (sockets) simultanées.


Tout dépend de ce que vous laissez sortir et de ce que font vos utilisateurs. Installer BOT pour contrôler le trafic sortant me semble indispensable.

Etes vous certain, puisqu'il n'y a pas de contrôle du trafic sortant, que vous n'avez pas un pc zombi sur le réseau, ou un utilisateur indélicat ?

Un problème sur la ligne ou l'installation téléphonique qui supporte votre adsl est toujours possible. Il faudrait faire un test en mode "domestique". J'en tend par là un simple pc connecté directement derrière le modem sans ipcop. Vous verriez bien ce que sont les performance et si votre configuration est impliquée ou non. Si les performances sont mauvaises il y a un problème ligne, et, ou modem. Sinon c'est sur votre réseau que se trouve le problème. De mauvais paramétrages (mtu ...) peuvent aussi expliquer des performances médiocres. Comme vous le voyez il faut mener des investigations méthodiques, les causes potentielles sont nombreuses.

Pas de livebox, c'est un choix, c'est l'offre Orange ? Celle ci pourrait gérer la connexion avec l'identification et ipcop travaillerai alors en ethernet.

Zerina (de la zone orange vers verte dans un premier temps)

Je ne comprend pas.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Gesp » 23 Avr 2008 11:43

Le modem se coupe toutes les minutes environs et se reconnecte, entre deux reconnexions internet est accessible mais très lent (~20ko/s max pour une ligne de 6Mbps environ en réception et 1Mbps en émission).


Le modem ou le lien PPPoE géré par IPCop?
si c'est le problème, c'est sans consteste un pb de niveau adsl (à voir avec Orange).

- saturation du modem ?


Si le modem ne fait pas de NAT, il ne devrait pas saturer. Un problème souvent rencontré sur les premiers modems adsl est que quand le modem fait du NAT, de nombreux modems n'ont pas assez de mémoire pour tenir à jour une table NAT avec autant de connexions.

- saturation d'IPcop ?

Le PPPoE 'user mode' peut limiter en débit, préférer le kernel-mode (le chemin des données est alors dans le noyau plutôt que dans l'espace utilisateur de de linux).

La table ip_conntrack peut saturer si les utilisateurs font du peer et du fait que la durée avant qu'une connexion TCP établie tombe en timeout.

Le message dans le log est
ip_conntrack: table full, dropping packet


Pour lire le nombre de contrack possible
cat /proc/sys/net/ipv4/ip_conntrack_max

Pour changer la valeur
echo <valeur> >/proc/sys/net/ipv4/ip_conntrack_max

Par défaut, la valeur dépend de la mémoire installée sur le système.

Le TCP established timeout par défaut est très long (5 jours)
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout*
Il ne doit pas y avoir d'inconvénient à réduire le timeout à un jour.

- est-il possible d'utiliser IPCop pour qu'il utilise le modem sans utiliser les identifiants, la session PPPoE serait alors gérer par le modem, au lieu du bridge actuel ?

Oui, changer la configuration du modem pour cela.

Coté IPCop, passer en configuration RED avec IP fixe ou dhcp.
Si l'IP attribuée en PPPoE est toujours la même, on peut configurer une IP fixe pour RED.
Sinon il faut avoir RED en dhcp pour que le modem transmette l'IP publique à IPCop.
Avoir l'adresse publique sur RED est important uniquement si on veut que l'extérieur puisse accéder à un serveur en dmz.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar gemoussier » 23 Avr 2008 13:27

Tout d'abord merci pour vos réponses. Afin de mieux suivre la conversation, je vais citer les propos auxquels je répond.

Etes vous certain, puisqu'il n'y a pas de contrôle du trafic sortant, que vous n'avez pas un pc zombi sur le réseau, ou un utilisateur indélicat ?


A priori, les utilisateurs sont de bonnes fois, en ce qui concerne les pc zombis, je ne suis pas dans l'entreprise depuis assez longtemps pour répondre. Ainsi je vais installer BOT, et voire avant de creuser plus cette hypothèse (qui est tout à fait envisageable).


Si les performances sont mauvaises il y a un problème ligne, et, ou modem. Sinon c'est sur votre réseau que se trouve le problème. De mauvais paramétrages (mtu ...) peuvent aussi expliquer des performances médiocres.


Peu de problème entre 12h30 et 13h, heure à laquelle il ne reste plus grand monde dans l'entreprise. Mais heure à laquelle les téléphones sonnent le moins. Je pensais plus à un défaut de filtrage qui provoquerait des désynchronisations.
En ce qui concerne le MTU, il a l'air cohérent sur la machine IPCop : 1500 pour les réseaux en ethernet et 1492 pour l'interface ppp0.

Je me suis mal exprimé en ce qui concerne le branchement du modem. Le modem est relié directement à la prise téléphonique (enfin un câble tiré qui sort de je ne sais où), IPCop est relié à ce modem par un câble réseaux droit. Le modem est en mode bridge, il contient uniquement le couple VCI/VPI et la méthode LLC. IPCop initialise lui même la connexion.

Pas de livebox, c'est un choix, c'est l'offre Orange ? Celle ci pourrait gérer la connexion avec l'identification et ipcop travaillerai alors en ethernet.


Non, je crois que le premier modem a été un alcatel, je pense que l'accès date de l'époque pré-box. Cela dit mon modem gère très bien le mode modem/routeur, mais cela ne risque t-il pas de poser problème pour l'utilisation de VPN (double NAT) ?

Si le modem ne fait pas de NAT, il ne devrait pas saturer.

Il peut le gérer mais cette fonction n'est pas activée.

Code: Tout sélectionner
cat /proc/sys/net/ipv4/ip_conntrack_max

Retourne : 16280, de plus le message d'erreur n'apparait pas dans les logs.

Si l'IP attribuée en PPPoE est toujours la même, on peut configurer une IP fixe pour RED.
Sinon il faut avoir RED en dhcp pour que le modem transmette l'IP publique à IPCop.
Avoir l'adresse publique sur RED est important uniquement si on veut que l'extérieur puisse accéder à un serveur en dmz.


L'adresse IP est fixe du type 82.127.x.y

Dans un premier temps, je vais donc installer BOT, et définir le trafic autoriser en sortie (HTTP, HTTPS, SMTP, POP, DNS), et gérer ensuite au cas par cas.
Puis demain midi je vais tenter de modifier la configuration du modem, ce qui risque de poser quelques problèmes à cause de l'adresse MAC : j'utilise actuellement l'adresse de eth2 d'IPCop mais si le modem gère lui-même la connexion, il va utiliser sa propre adresse MAC non ? J'ai eu un problème équivalent auparavant, Orange ne répondait même pas aux tentatives de connexions.

J'ai remarqué une multitude de message : "...NEW NOT SYN?..." dans les logs, mais je suppose que c'est dû à la rupture de la connexion, le firewall ne reconnaissant plus l'état de paquet.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar Gesp » 23 Avr 2008 13:44

J'ai remarqué une multitude de message : "...NEW NOT SYN?..." dans les logs


Le plus souvent, c'est juste quelqu'un qui réutilise une page d'internet explorer qu'il a laissé ouverte entre temps.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Gesp » 23 Avr 2008 13:49

Puis demain midi je vais tenter de modifier la configuration du modem, ce qui risque de poser quelques problèmes à cause de l'adresse MAC : j'utilise actuellement l'adresse de eth2 d'IPCop mais si le modem gère lui-même la connexion, il va utiliser sa propre adresse MAC non ? J'ai eu un problème équivalent auparavant, Orange ne répondait même pas aux tentatives de connexions.



A moins que ce soit une spécificité Orange récente, il n'y a pas besoin de l'adresse MAC en PPPoE.
Il y a déjà le login/password pour authentifier l'utilisateur.

A ma connaissance, il n'y a que les FAI cable (et Free en dégroupé) qui utilisent l'adresse MAC.
Et les 2 utilisent dhcp (donc pas de login/password).
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar gemoussier » 24 Avr 2008 10:14

J'ai installé BOT, mais aucun résultat positif ne se fait sentir. Les performances reste plus que médiocre.

Quelle est la différence entre "PPPoE plug-in" et "PPPoE" ? J'utilise le second, je n'arrive pas à avoir de connexion avec l'autre méthode.

En ce qui concerne la ligne, je viens de vérifier, nous utilisons un filtre maitre Alcatel 1000 ADSL LP qui semble avoir été installé directement par france télécom. De plus on me dit que le ligne utilisé pour l'adsl est la même que celle du fax (qui sert occasionnellement).

Les déconnexions n'ont même pas l'air d'apparaitre dans les logs d'IPCop (même avec le mode debug), la diode clignote simplement rouge et redevient verte au bout de quelques secondes. Entre temps IPCop ne semble pas réinitialiser une nouvelle session.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar ccnet » 24 Avr 2008 10:31

Avez vous pu tester la connexion direct d'un pc derrière le modem ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar gemoussier » 24 Avr 2008 11:03

Non pas encore, mais j'ai eu l'occasion de tester, la connexion avec uniquement quelques postes allumés après 12h30 (pause déjeuner), la connexion est beaucoup plus stable, pas de déconnexion à signaler pendant ces 30 minutes et téléchargement à plus de 700ko/s.
Actuellement si je lance un ping en continu vers un serveur à l'extérieur (en datacentre), j'obtiens environ 30% de pertes. En fait il faut compter 1 minutes d'internet actif puis une vingtaine de secondes de reconnexion.
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar Franck78 » 24 Avr 2008 11:47

Salut,
En ce qui concerne la ligne, je viens de vérifier, nous utilisons un filtre maitre Alcatel 1000 ADSL LP qui semble avoir été installé directement par france télécom. De plus on me dit que le ligne utilisé pour l'adsl est la même que celle du fax (qui sert occasionnellement).

Le filtre filtre entre la ligne et les téléphones/fax. Donc débrancher temporairement celui-ci ne peut qu'aider à determiner si le pb est matériel ou pas.

Un ping sans charge ne sert pas à grand chose. (utilise -s)

iftop sur la console ipcop peut servir ..?
tcpdump aussi
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar gemoussier » 24 Avr 2008 14:54

Malheureusement, je ne peux pas débrancher ce filtre, il m'est déjà assez difficile de couper internet, alors que c'est la grande période fiscale, et la fin du mois qui correspond à l'envoi des fiches de paies.

En tout cas, miracle ou pas je n'ai pas eu de déconnexion, depuis que j'ai redémarrer moi-même IPCop et modifier le login pour la session PPPoE en : fti/xxxx@fti.
Apparemment si on ne met pas le @fti, Orange accepte la connexion, mais le couperet tombre au bout de quelques minutes, ou si on pousse trop sur le nombre de connexion.

Configuration actuelle : modem en bridge (contient uniquement VCI/VPI + méthode LLC), IPCop contient le couple login/password et initialise la connexion).

J'ai essayé de passer le modem en mode "modem" (uniquement) et de mettre red en DHCP, j'arrive bien à avoir l'IP statique publique sur l'IPCop, mais à la prochaine déconnexions je me retrouve avec une IP privée (tranche 192.168.0.x). Si je configure RED en statique je n'obtiens aucune connexion.

J'ai toujours quelques déconnexions mais largement, moins... J'attend un peu et si ça continue comme ça, je passe le sujet en "résolu".

Merci!
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42

Messagepar Gesp » 24 Avr 2008 16:35

Malheureusement, je ne peux pas débrancher ce filtre, il m'est déjà assez difficile de couper internet, alors que c'est la grande période fiscale, et la fin du mois qui correspond à l'envoi des fiches de paies.


Pas simple de débrancher un filtre maitre.
Ce n'est pas comme les filtres amovibles qui sont posés en gigogne sur les installations domestiques.

En tout cas, miracle ou pas je n'ai pas eu de déconnexion, depuis que j'ai redémarrer moi-même IPCop et modifier le login pour la session PPPoE en : fti/xxxx@fti.
Apparemment si on ne met pas le @fti, Orange accepte la connexion, mais le couperet tombre au bout de quelques minutes, ou si on pousse trop sur le nombre de connexion.


Le @fti de la fin a été ajouté pour le dégroupage.
Après le @, c'est la désignation du prestataire du service adsl.
Quand une ligne n'est pas dégroupé, c'est le réseau fti qui reçoit le login et qui le passe au serveur d'authentification du FAI correspondant.

Si la ligne se coupe au bout de 90 s environ c'est que aucun echo LCP n'a été reçu après que la connexion a été établie. Peut-être un pb de configuration du serveur quand @fti n'est pas indiqué?

La difficulté est qu'il n'y a pas qu'un seul serveur d'authentification mais un pool de machine et que tu ne sais pas avant lequel va authentifier la connexion (mais une fois que la connexion PPPoE est établie, le serveur PPPoE donne son nom).
J'ai vécu le cas ou un des serveur FT était mal configuré avec un des modes d'authentification (je ne sais plus si c'était avec PAP ou CHAP) et c'est pour cela qu'il y a dans l'interface d'IPCop les choix dans l'interface
aucun
PAP,
CHAP,
PAP ou CHAP
Sinon je ne pouvais pas me connecter en PPPoE un fois sur 5 environ quand je tombais sur le serveur fti qui était rétif (au CHAP il me semble).
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar gemoussier » 24 Avr 2008 16:51

Oui je n'ai presque pas touché au filtre maitre, je me suis contenté de l'ouvrir pour vérifier le cablage qui a l'air correcte. Les lignes téléphoniques arrivent et repartent d'une baie de brassage qui n'est pas très accessible, et ne disposant pas de plan je me suis arrêté là.

Avec le @fti, j'ai eu que deux ou trois déconnexion dans l'après midi mais rien de bien méchant, d'ailleurs vu la chaleur qu'il fait dans le local, je pense que le petit netgear en prend pour son compte...

Au fait, pas de problème au niveau de l'adresse MAC, il n'y a pas de filtrage coté Orange (FAI), une erreur peut souvent en cacher une autre.


Conclusion : Je cloture ce sujet, je n'ai pas eu de retour négatif d'utilisateurs concernant des déconnexions à répétition. L'ajout de @fti semble avoir corrigé le problème. La connexion est plus stable et le débit plus élevé. Merci à tous!
gemoussier
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 233
Inscrit le: 08 Avr 2008 16:42


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité