routeur transparent ou NAT <=> débit

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

routeur transparent ou NAT <=> débit

Messagepar manu59 » 06 Avr 2011 11:33

Bonjour à tous,
j'aimerais avoir votre retour d'expérience sur la différence d'accès à internet en fonction d'un routeur NAT et un routeur Transparent :

Auparavant nous avions un routeur qui faisait du NAT, derrière j'avais mon IPcop et tout marchait bien, sauf que nous n'avions qu'un accès internet de 512K

Depuis quelques jours, nous avons un accès "BIO 2M" en accès internet et le routeur est en mode transparent. J'ai remarqué que pour l'accès à certaines pages le chargement est plus long (voire impossible). En mode console sur mon IPcop je regarde les services qui sont très sollicités : squid et dnsmasq et j'atteins parfois les 90% CPU (et même plus).

La question que je me pose : est-ce que les sollicitations du serveur IPcop sont plus importantes avec un routeur en mode transparent ?
Auquel cas je changerais peut-être ma config IPcop pour une plus puissante...
Merci
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Re: routeur transparent ou NAT <=> débit

Messagepar jdh » 06 Avr 2011 13:37

Les termes choisis sont un peu ambigus :
La config est passée d'un IPCOP à un IPCOP avec la fonction "proxy en mode transparent".

L'impact réside dans le flux http (le seul concerné par le proxy transparent) d'une part, et une performance générale d'autre part !

Quand le flux http qui traverse le firewall, est dérouté vers le proxy Squid avec le mode transparent, c'est que Squid va tourner.
Or les besoins de Squid sont d'abord des ressources mémoires puis des ressources disques.

Il en résulte que, puisqu'il y a moins de mémoire à disposition, pour faire fonctionner le firewall (gestion des états de sessions pour l'essentiel), il est possible que le traitement "de base" des paquets soit moins efficace ! (Ca parait logique).
D'où le deuxième impact.

Tout est donc une question de dosage : type de proc, taille de mémoire, type et perf du disque.

...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: routeur transparent ou NAT <=> débit

Messagepar ccnet » 06 Avr 2011 15:14

Pour les raisons expliquées ci dessus, il est évident que la présence du proxy sur le firewall change complètement les données de base en matière de dimensionnement de la machine compte tenu des ressources consommés par squid. Je crois donc que vous faites fausse route en posant le problème dans les termes du titre de votre message.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 06 Avr 2011 15:57

Le routeur SDSL orange est configuré par orange en mode transparent (rien à voir avec mon proxy). De ce fait, mon IPcop fait totalement office de pare-feu puisque la carte RED est en IP publique.
Merci
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Re: routeur transparent ou NAT <=> débit

Messagepar ccnet » 06 Avr 2011 16:13

je regarde les services qui sont très sollicités : squid et dnsmasq et j'atteins parfois les 90% CPU (et même plus).

Je crois qu'il y a là quand même un goulot d'étranglement lié au proxy.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: routeur transparent ou NAT <=> débit

Messagepar jdh » 06 Avr 2011 19:16

Effectivement, il faut lire attentivement la config.

- rtr (donc NAT) sur ADSL 512k versus BIO 2M

Ce serait pas plutôt "BIV 2M" ? (Ligne fournie par Orange avec fourniture voix basé sur une SDSL).

Une ligne SDSL 2M n'a rien à voir avec une ligne ADSL 512k !
La vitesse n'est pas la même, la latence n'est pas la même, le temps minimal ou moyen n'est pas le même.
Et le mode de connexion n'est pas le même : NAT versus Bridge.

Il ne me choque pas que, le débit ayant augmenté, la performance générale augmente, donc la sollicitation du proxy transparent augmente et créé une latence supplémentaire.
Il me semble logique que, puisque le débit a augmenté, le cache se remplit mieux et plus vite, il se présente alors comme un peu plus lent au lancement (plus de choses à balayer).


Concernant la différence NAT et BRIDGE, cela porte sur Red qui a ou non une adresse ip publique.
Mais cela ne change pas tant que ça puisque tout le trafic Green vers Red sera obligatoirement NATé.
il faut comprendre que la pile tcp/ip via netfilter doit quand, quand on NATe, changer l'ip source (tout paquet sortant doit avoir l'adresse Red).
Or le travail nécessite déjà de changer l'adresse MAC !
Donc changer, en plus, dans le paquet, l'ip source ne doit pas beaucoup ralentir le job tant qu'on en est à modifier certains champs du paquet !

Ce qui change c'est que le boulot est fait une fois dans Ipcop puis une autre dans le routeur NAT, contre une fois seulement pour un bridge.

L'impact du proxy est bien plus important que tout cela !

NB : Attention la nouvelle ligne vient avec de nouveaux serveurs dns : il faut mettre à jour chaque serveur en ayant besoin (Ipcop et le serveur Windows interne généralement) !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 07 Avr 2011 08:35

Merci jdh pour tes réponses.
Non, il s'agit bien d'un BIO 2M (à la lecture du contrat). Quant aux serveurs DNS, pas besoin de les changer : c'est la première chose que j'ai demandée au technicien, il m'a dit que je devais les conserver ... :?: Moi aussi ça me paraît bizarre.. :shock:

Bref, à la lecture de vos conseils éclairés je vais faire évoluer la config (je tourne pour l'instant avec un P IV et 512 Mo)

Merci à tous
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 12 Avr 2011 11:55

Bonjour, je reviens sur mon problème. Actuellement certains sites sont indisponibles; il s'agit de sites non blacklistés, des sites pédagogiques du rectorat. J'ai fait des tentatives en désactivant le proxy (celui-ci m'annonçait 110 timed out) et le résultat est le même.
J'ai bien une résolution de nom : si je fait un ping sur ac-lille.fr j'obtiens l'IP --- Considérons que la réponse au ping a été désactivée. En faisant un tracert sur cette adresse, le premier saut échoue .... Pourquoi ?
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 12 Avr 2011 11:59

J'ai l'impression que le problème vient d'orange :roll:
Qu'en pensez-vous ?
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

Re: routeur transparent ou NAT <=> débit

Messagepar ccnet » 12 Avr 2011 12:09

Sur http://www.ac-lille.fr/ j'ai une réponse immédiate mais mon opérateur n'est pas Orange. Au vu des résultats de tests on peut soupçonner Orange en effet.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 12 Avr 2011 12:25

Je les appelle cet après-midi parce que les réclamations deviennent légion...
Merci
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)

[RESOLU]Re: routeur transparent ou NAT <=> débit

Messagepar manu59 » 12 Avr 2011 16:48

Le problème venait de chez ORANGE :
Attribution d'une IP qui appartenait auparavant à un autre client....et les restrictions qui allaient avec.
Merci à tous
Maison: freebox+smoothwall+server samba/ftp (debian Lenny)
Pro: oléane+IPCop+kwartz
En informatique il faut beaucoup d'humilité, car ce qui était vrai la veille n'est plus forcément vrai le lendemain.
Avatar de l’utilisateur
manu59
Contre-Amiral
Contre-Amiral
 
Messages: 372
Inscrit le: 08 Avr 2004 17:02
Localisation: Douai (59)


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron