RE: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[sbu123fr]

Bonjour,
Est-ce un VPN rules base ou routes base. Si c'est une rules base j'ai déjà
eu des souci avec les services qui se comportaient bizarre et différemment
dans les rules VPN... (ALG  peut être?) j'avais dû faire des services
custom?
Un bon moyen de voir si c'est un souci de MTU tu fais ssh sur une machine
linux et tu cherches une commande qui retour plein de ligne, type "dmessage"
si ça n'affiche pas toutes les ligne et que ça fige c'est surement le MTU
qui n'est pas bon.
SBU


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Sébastien 65
Envoyé : vendredi 9 décembre 2016 20:52
À : frnog-t...@frnog.org
Objet : [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

Bonjour,

J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème
que je n'arrive pas à comprendre et résoudre.

Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des
machines depuis n'importe quel côté du VPN.

J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là
où cela se complique est que certain service http/https ne fonctionnent pas,
le navigateur tourne en rond...

J'arrive à monter des partages Windows sans aucun problème par contre les
partages présents sur serveur LINUX impossible !! Je peux utiliser
l'interface d'admin pour accéder à une imprimante Brother mais pas celui de
la Sharp (les deux imprimantes sont sur le même switch - depuis le lan je
n'ai pas de soucis pour m'y connecter).

Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder à
l'interface WEB (http) depuis le site distant, ni à utiliser les partages
réseaux, cela mais trois plombe à afficher les partages ça mouline pendant
des minutes...

Chose encore plus délirante est que dans le poste de travail je vois bien la
capacité du lecteur réseau (espace disque utilisé/restante) mais je ne peux
pas y rentrer, ça mouline...

Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la
configuration du VPN ?

Merci pour vos lumières !

---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[Sébastien 65]

Je n'ai pas pensé au MTU, ça peut effectivement être le problème !!


Pour utiliser  "ip tcp adjust-mss 1350" il faut avoir une interface Tunnel non 
? Car je n'utilise pas d'interface Tunnel.


De : frnog-requ...@frnog.org  de la part de 
r...@futomaki.net 
Envoyé : vendredi 9 décembre 2016 21:03:02
À : Sébastien 65; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

Ca ressemble à un problème de mtu non ?

Raphaël Mazelier. Envoyé depuis mon ordiphone.


 Original Message 
Subject: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC
From: Sébastien 65
To: frnog-t...@frnog.org
CC:


Bonjour,

J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème que 
je n'arrive pas à comprendre et résoudre.

Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des machines 
depuis n'importe quel côté du VPN.

J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là où 
cela se complique est que certain service http/https ne fonctionnent pas, le 
navigateur tourne en rond...

J'arrive à monter des partages Windows sans aucun problème par contre les 
partages présents sur serveur LINUX impossible !! Je peux utiliser l'interface 
d'admin pour accéder à une imprimante Brother mais pas celui de la Sharp (les 
deux imprimantes sont sur le même switch - depuis le lan je n'ai pas de soucis 
pour m'y connecter).

Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder à 
l'interface WEB (http) depuis le site distant, ni à utiliser les partages 
réseaux, cela mais trois plombe à afficher les partages ça mouline pendant des 
minutes...

Chose encore plus délirante est que dans le poste de travail je vois bien la 
capacité du lecteur réseau (espace disque utilisé/restante) mais je ne peux pas 
y rentrer, ça mouline...

Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la 
configuration du VPN ?

Merci pour vos lumières !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[Pierre LANCASTRE]

+1, généralement on met 1350 pour le tcp mss via le vpn

Cordialement / Best regards

Pierre Lancastre
Ingénieur Réseaux et Sécurité
*-* SENSS - AS59798 *-*
/* from my mobile, please ignore typo */
+33 7 64 07 26 11


Le 9 déc. 2016 21:03, "r...@futomaki.net"  a écrit :

> Ca ressemble à un problème de mtu non ?
>
> Raphaël Mazelier. Envoyé depuis mon ordiphone.
>
>
>  Original Message 
> Subject: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC
> From: Sébastien 65
> To: frnog-t...@frnog.org
> CC:
>
>
> Bonjour,
>
> J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros
> problème que je n'arrive pas à comprendre et résoudre.
>
> Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des
> machines depuis n'importe quel côté du VPN.
>
> J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là
> où cela se complique est que certain service http/https ne fonctionnent
> pas, le navigateur tourne en rond...
>
> J'arrive à monter des partages Windows sans aucun problème par contre les
> partages présents sur serveur LINUX impossible !! Je peux utiliser
> l'interface d'admin pour accéder à une imprimante Brother mais pas celui de
> la Sharp (les deux imprimantes sont sur le même switch - depuis le lan je
> n'ai pas de soucis pour m'y connecter).
>
> Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder
> à l'interface WEB (http) depuis le site distant, ni à utiliser les partages
> réseaux, cela mais trois plombe à afficher les partages ça mouline pendant
> des minutes...
>
> Chose encore plus délirante est que dans le poste de travail je vois bien
> la capacité du lecteur réseau (espace disque utilisé/restante) mais je ne
> peux pas y rentrer, ça mouline...
>
> Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la
> configuration du VPN ?
>
> Merci pour vos lumières !
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[r...@futomaki.net]

Ca ressemble à un problème de mtu non ?Raphaël Mazelier. Envoyé depuis mon ordiphone. Original Message Subject: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSECFrom: Sébastien 65 To: frnog-t...@frnog.orgCC: Bonjour,J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème que je n'arrive pas à comprendre et résoudre.Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des machines depuis n'importe quel côté du VPN.J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là où cela se complique est que certain service http/https ne fonctionnent pas, le navigateur tourne en rond...J'arrive à monter des partages Windows sans aucun problème par contre les partages présents sur serveur LINUX impossible !! Je peux utiliser l'interface d'admin pour accéder à une imprimante Brother mais pas celui de la Sharp (les deux imprimantes sont sur le même switch - depuis le lan je n'ai pas de soucis pour m'y connecter).Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder à l'interface WEB (http) depuis le site distant, ni à utiliser les partages réseaux, cela mais trois plombe à afficher les partages ça mouline pendant des minutes...Chose encore plus délirante est que dans le poste de travail je vois bien la capacité du lecteur réseau (espace disque utilisé/restante) mais je ne peux pas y rentrer, ça mouline...Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la configuration du VPN ?Merci pour vos lumières !---Liste de diffusion du FRnOGhttp://www.frnog.org/

Re: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[Vincent Bernat]

 ❦  9 décembre 2016 19:52 GMT, Sébastien 65  :

> J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème 
> que je n'arrive pas à comprendre et résoudre.
>
> Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des 
> machines depuis n'importe quel côté du VPN.
>
> J'arrive à monter des sessions TSE sans problème, faire du SSH, du
> FTP, là où cela se complique est que certain service http/https ne
> fonctionnent pas, le navigateur tourne en rond...
>
> J'arrive à monter des partages Windows sans aucun problème par contre
> les partages présents sur serveur LINUX impossible !! Je peux utiliser
> l'interface d'admin pour accéder à une imprimante Brother mais pas
> celui de la Sharp (les deux imprimantes sont sur le même switch -
> depuis le lan je n'ai pas de soucis pour m'y connecter).
>
> Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas
> accéder à l'interface WEB (http) depuis le site distant, ni à utiliser
> les partages réseaux, cela mais trois plombe à afficher les partages
> ça mouline pendant des minutes...
>
> Chose encore plus délirante est que dans le poste de travail je vois
> bien la capacité du lecteur réseau (espace disque utilisé/restante)
> mais je ne peux pas y rentrer, ça mouline...
>
> Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la
> configuration du VPN ?

Active TCPMSS. Le path MTU discovery est souvent défaillant sur les VPN.
-- 
You never have to change anything you got up in the middle of the night
to write.
-- Saul Bellow


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[Yoann Moulin]

Bonsoir,

> J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème 
> que je n'arrive pas à comprendre et résoudre.
> 
> Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des 
> machines depuis n'importe quel côté du VPN.
> 
> J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là où 
> cela se complique est que certain service http/https ne fonctionnent pas, le 
> navigateur tourne en rond...
> 
> J'arrive à monter des partages Windows sans aucun problème par contre les 
> partages présents sur serveur LINUX impossible !! Je peux utiliser 
> l'interface d'admin pour accéder à une imprimante Brother mais pas celui de 
> la Sharp (les deux imprimantes sont sur le même switch - depuis le lan je 
> n'ai pas de soucis pour m'y connecter).
> 
> Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder à 
> l'interface WEB (http) depuis le site distant, ni à utiliser les partages 
> réseaux, cela mais trois plombe à afficher les partages ça mouline pendant 
> des minutes...
> 
> Chose encore plus délirante est que dans le poste de travail je vois bien la 
> capacité du lecteur réseau (espace disque utilisé/restante) mais je ne peux 
> pas y rentrer, ça mouline...
> 
> Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la 
> configuration du VPN ?

Je ne suis pas un expert VPN, mais ça me fait penser à un problème de MTU, tu 
as déja vérifié de ce coté la ?

-- 
Yoann Moulin
linkedin.com/in/yoannmoulin
twitter.com/ymoulin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Phénomène incompréhensible via VPN IPSEC

[Sébastien 65]

Bonjour,

J'ai un VPN IPSEC entre deux sites sur lequel je rencontre un gros problème que 
je n'arrive pas à comprendre et résoudre.

Le VPN est bien montée entre les deux routeurs Cisco. Je ping bien des machines 
depuis n'importe quel côté du VPN.

J'arrive à monter des sessions TSE sans problème, faire du SSH, du FTP, là où 
cela se complique est que certain service http/https ne fonctionnent pas, le 
navigateur tourne en rond...

J'arrive à monter des partages Windows sans aucun problème par contre les 
partages présents sur serveur LINUX impossible !! Je peux utiliser l'interface 
d'admin pour accéder à une imprimante Brother mais pas celui de la Sharp (les 
deux imprimantes sont sur le même switch - depuis le lan je n'ai pas de soucis 
pour m'y connecter).

Par exemple j'ai plusieurs NAS (D-Link) sur lequel je ne peux pas accéder à 
l'interface WEB (http) depuis le site distant, ni à utiliser les partages 
réseaux, cela mais trois plombe à afficher les partages ça mouline pendant des 
minutes...

Chose encore plus délirante est que dans le poste de travail je vois bien la 
capacité du lecteur réseau (espace disque utilisé/restante) mais je ne peux pas 
y rentrer, ça mouline...

Avez-vous déjà rencontré le phénomène ? Ai-je loupé un truc dans la 
configuration du VPN ?

Merci pour vos lumières !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

[Radu-Adrian Feurdean]

On Fri, Dec 9, 2016, at 10:34, David Ponzone wrote:
> Sur le site de Cisco, tu as les versions recommandées.

Pas pour 1001-X.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

[Radu-Adrian Feurdean]

On Fri, Dec 9, 2016, at 09:11, GAGNAIRE Thibaut wrote:
> Version du routeur concerné:
> Cisco IOS XE Software, Version 03.16.02.S - Extended Support Release
> Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M),
> Version 15.5(3)S2, RELEASE SOFTWARE (fc2)

Bonjour,

Pour nous, passer en 3.16.4 a ete un must pour corriger nombre d'autres
bugs. Nous sommes partis du 3.16.1 qui etait livre par default, et nous
avons fini sur 3.16.4 notamment pour un bug qui nous a empeche de dormit
plusieurs nuits successives.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

[David Ponzone]

Chez Cisco, c’est toujours un peu compliqué d’avoir accès à ce genre d’infos 
sans le TAC.
Mais à priori, ça a avoir avec les drivers SPA.

Historiquement, la politique « upgrade-et-oublie » marche bien, éventuellement 
en veillant à ce que la version vers laquelle tu vas n’aies pas de bugs majeurs 
connus. Sur le site de Cisco, tu as les versions recommandées.
Evidemment, un essai sur un chassis pas en prod est toujours préférable...

> Le 9 déc. 2016 à 09:11, GAGNAIRE Thibaut  a écrit :
> 
> Version du routeur concerné:
> Cisco IOS XE Software, Version 03.16.02.S - Extended Support Release
> Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), 
> Version 15.5(3)S2, RELEASE SOFTWARE (fc2)
> 
> Nous n'avons malheureusement pas de SFP 10G pour tester le workaround.
> 
> Par ailleurs, contrairement aux conditions de l'article CISCO, le routeur 
> n'est pas en standby et gère 300Mbps de moyenne..
> 
> Nous avons aussi un 2e ASR1001-X mis en production cette nuit, avec des capas 
> / rôles similaires et les mêmes OS, qui ne présente pas ce défaut.
> 
> Savez vous à quoi sert ce process, impossible de trouver des infos dessus.
> 
> 
> Thibaut GAGNAIRE
> Ingénieur Système et Reseaux
> 
> 
> tgagna...@novenci.fr
> www.idline.fr
> 
> 
> 
> 
> 
> 
> 
> 
> -Message d'origine-
> De : David Ponzone [mailto:david.ponz...@gmail.com] 
> Envoyé : vendredi 9 décembre 2016 08:53
> À : GAGNAIRE Thibaut 
> Cc : frnog-tech 
> Objet : Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco
> 
> Tu es sur la version d'IOS concernée ?
> Le workaround fonctionne ?
> 
> David Ponzone
> 
> 
> 
>> Le 9 déc. 2016 à 08:42, GAGNAIRE Thibaut  a écrit :
>> 
>> Bonjour,
>> 
>> Nous avons un ASR 1001-x qui a un process qui monte à 100% au niveau de son 
>> RP
>> 
>> 42453907 96% 95% 96%  R210935808  mcpcc-lc-ms
>> 
>> Nous ne trouvons rien pour nous aider à identifier a quoi correspond ce 
>> process.
>> Il s'agirait d'un bug selon :
>> https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz22379/?referring_site=bugquickviewredir
>> 
>> Mais nous souhaiterions savoir ce qu'il en est avant de dans un premier 
>> temps redémarrer l'ASR puis faire l'upgrade
>> 
>> Cordialement,
>> 
>> 
>> 
>> 
>> Thibaut GAGNAIRE
>> 
>> Ingénieur Système et Reseaux
>> 
>> 
>> 
>> tgagna...@novenci.fr
>> 
>> www.idline.fr
>> 
>> 
>> 
>> 
>> 
>> [cid:image001.jpg@01D03BAF.8148ECA0]
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

[GAGNAIRE Thibaut]

Version du routeur concerné:
Cisco IOS XE Software, Version 03.16.02.S - Extended Support Release
Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 
15.5(3)S2, RELEASE SOFTWARE (fc2)

Nous n'avons malheureusement pas de SFP 10G pour tester le workaround.

Par ailleurs, contrairement aux conditions de l'article CISCO, le routeur n'est 
pas en standby et gère 300Mbps de moyenne..

Nous avons aussi un 2e ASR1001-X mis en production cette nuit, avec des capas / 
rôles similaires et les mêmes OS, qui ne présente pas ce défaut.

Savez vous à quoi sert ce process, impossible de trouver des infos dessus.


Thibaut GAGNAIRE
Ingénieur Système et Reseaux


tgagna...@novenci.fr
www.idline.fr








-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com] 
Envoyé : vendredi 9 décembre 2016 08:53
À : GAGNAIRE Thibaut 
Cc : frnog-tech 
Objet : Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

Tu es sur la version d'IOS concernée ?
Le workaround fonctionne ?

David Ponzone



> Le 9 déc. 2016 à 08:42, GAGNAIRE Thibaut  a écrit :
> 
> Bonjour,
> 
> Nous avons un ASR 1001-x qui a un process qui monte à 100% au niveau de son RP
> 
> 42453907 96% 95% 96%  R210935808  mcpcc-lc-ms
> 
> Nous ne trouvons rien pour nous aider à identifier a quoi correspond ce 
> process.
> Il s'agirait d'un bug selon :
> https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz22379/?referring_site=bugquickviewredir
> 
> Mais nous souhaiterions savoir ce qu'il en est avant de dans un premier temps 
> redémarrer l'ASR puis faire l'upgrade
> 
> Cordialement,
> 
> 
> 
> 
> Thibaut GAGNAIRE
> 
> Ingénieur Système et Reseaux
> 
> 
> 
> tgagna...@novenci.fr
> 
> www.idline.fr
> 
> 
> 
> 
> 
> [cid:image001.jpg@01D03BAF.8148ECA0]
> 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/