RE: [FRnOG] [TECH] Numericable L2TP
Totalement d'accord avec toi. J'ai l'expérience d'un client qui a voulu faire l'expérience vu le cout, il a en moyenne 5 MO voir parfois 30 MO, mais la qualité est totalement aléatoire, avec en cas de panne un rétablissement en fonction du soleil et de la température :) Leur offre Pro n'a de nom que le mot Pro, service IDEM. En conclusion, c'est bien pour une ligne de Backup. Bonne réception David Marciano 14, rue Crespin du Gast - 75011 Paris - France Tel : +33 (0)1 48 24 07 07 - Fax : +33 (0)1 48 24 07 08 Mail : dmarci...@adenis.fr -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Yoann Gini Envoyé : mardi 31 janvier 2012 11:19 À : Mario Valetti Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Numericable L2TP Bonjour, Le 30 janv. 2012 à 17:29, Mario Valetti a écrit : Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Petite précision à ce sujet puisque certains de mes clients utilisent Numéricable. Il existe une offre « pro » chez eux, pas spécialement plus chère et qui propose une IP publique fixe. Par contre il faut faire attention à une chose, Numéricable interdit contractuellement l'hébergement de serveur sur ses lignes, y compris avec l'offre « pro ». Il n'est pas inutile de rappeler au client que malgré le bas cout et la pseudo bande passante annoncée par ce FAI cela resta un opérateur fait pour madame Michu. Yoann --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Numericable L2TP
Le 31 janvier 2012 11:18, Yoann Gini yoann.g...@gmail.com a écrit : Bonjour, Le 30 janv. 2012 à 17:29, Mario Valetti a écrit : Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Petite précision à ce sujet puisque certains de mes clients utilisent Numéricable. Il existe une offre « pro » chez eux, pas spécialement plus chère et qui propose une IP publique fixe. Par contre il faut faire attention à une chose, Numéricable interdit contractuellement l’hébergement de serveur sur ses lignes, y compris avec l’offre « pro ». Il n’est pas inutile de rappeler au client que malgré le bas cout et la pseudo bande passante annoncée par ce FAI cela resta un opérateur fait pour madame Michu… C'est terrible cela, même en usage dit pro, ce mode minitel FAI-Client. As-t'il droit d'envoyer du mail ? ou quelconques données montantes ? Les gros FAI de eyeballs se plaignent que leur traffic est déséquilibré, cela permettrait de ré-équilibrer les flux, d'autant plus sur des supports qui permettent de l'upload à des débits dépassant les 1M de BP Cdlt, -- PR --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Numericable L2TP
Merci a tous pour vos réponses, En fait, j'ai oublié de mentionné dans mon message précédent que nous avons déjà pris en compte la modification du MTU à cause de ce tunnel LT2P. Ces changements de MTU ont été réalisés sur les postes clients internes et non sur les interfaces externes sur notre CISCO 871. Merci aussi pour tous les commentaires et conseils. Vous nous avez donné quelques idées à étudier. Cordialement, Mario -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Mario Valetti Sent: 30 January 2012 17:30 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Numericable L2TP Bonsoir a tous, Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Donc, nous nous connectons tout d'abord à un serveur DHCP pour récupérer une adresse IP publique qui change à chaque connexion et ensuite nous montons un tunnel L2TP pour obtenir une adresse IP fixe. Du fait que nous utilisons ces accès pour des connexions site à site avec nos filiales, nous avons remplacé les modems Numéricâble fourni par nos propres équipements Cisco (la connexion site à site n'étant pas possible avec les modems Numericable). Dans notre cas, nous utilisons des routeurs Cisco 871. La configuration fonctionne bien mais on remarque une perte importante de paquets dès que le tunnel LT2P est monté (pas ou peu de perte de paquet sans le tunnel). C'est la cas avec le Cisco 871 mais aussi avec les modems Numericable. Nous avons du trafic limitées sur les lignes et le processeur n'est pas utilisé de manière excessif. Nous avons seulement remarqué que nous avions plus de perte de paquets la journée que pendant la nuit -Pour information, des paquets sont perdus pour des connexions à des sites internationaux ainsi que pour des connexions à des sites situés en France. Quelqu'un a-t-il une expérience sur ce sujet ? Est-il normal que des paquets soient perdus dès que l'ont utilisent une connexion avec un tunnel L2TP? La configuration de notre routeur Cisco 871 est détaillée ci-dessous. Avez vous des remarques sur la configuration? pseudowire-class ISP encapsulation l2tpv2 ip local interface FastEthernet4 interface FastEthernet4 description $ETH-WAN$ ip address dhcp zone-member security outside speed 100 full-duplex interface Virtual-PPP1 description L2TP dialer to ISP ip address negotiated ip nat outside ip virtual-reassembly zone-member security outside ppp pap sent-username x password 7 x pseudowire x.x.x.x1 pw-class ISP crypto map SDM_CMAP_1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip nat inside source route-map SDM_RMAP_1 interface Virtual-PPP1 overload Cordialement, Mario Valetti The Kyte Group Ltd Paris 10 Rue de la Paix, 75002, Paris, France Tel: +33 (0)1.42.60.00.95 http://www.kytegroup.com http://www.kytegroup.com/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Numericable L2TP
Salut, On Mon, Jan 30, 2012 at 08:15:37PM +0100, Guillaume Barrot wrote: Certes, les sessions applicatives, je parlais de la notion de session couche basse TCP, et donc de la fiabilité des communications / pertes de paquets. La fiabilité des communications / pertes de paquets c'est la partie congestion, qui s'appuie sur une nécessité d'identifier les sessions. Certes grâce aux collectes et leurs MTU en général a 4470b, on a pas de soucis sur la collecte ... jusqu'au premier switch de collecte. A voir si c'est le cas chez NCC, mais je connais des FAI ou la MTU des switchs de collecte est a 1500... Humm, j'ai surtout expérimenté de la collecte à 1500, sauf si je me trompe mais il me semble que c'est le cas sur les collectes FT/SFR, insérer ici une excuse sur le fait que j'ai pas touché à ça depuis longtemps, et les ~trames~ L2TP qui se promènent sont fragmentées dans plusieurs paquets IP. De plus la fragmentation sur IP, aussi naturelle et maîtrisée soit elle a quand même des beaux effets de bord. Pas plus tard que la semaine dernière j'ai pu expérimenter le NFS dans des cas de MTU mixtes (1500 cote client, 9000 cote réseau et serveur), et une stabilité plus qu'aléatoire au final. Ouaip, si tout est bien fragmenté par le routeur intermédiaire, il reste toujours le détail qui tue: Certaines implémentations offload UDP tx/rx de cartes réseaux sont buggées jusqu'à l'os (B..m pour ne pas le citer par exemple, sans surprise), et ne sont pas capable de gérer correctement les paquets UDP fragmentés dans plusieurs paquets IP. (Comment ça ça sent le vécu ?) Sylvain signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Numericable L2TP
Bon je vais dire comme les autres : - Prendre quelques IP fixe en premier, - lier les différents sites (on en sait pas combien il y en a) via VPN. Ainsi les personnes sur sites n'ont pas besoin de passer par un quelconque vpn ou autres et au pire leur mettre un dhcp pour ne pas avoir à jongler avec leurs ip. Déja ça simplifie pas mal et permettra de monitorer tout ça. Et s'il y a des externes aux sites, mettre un simple vpn (gérer en interne) pour qu'il puisse se connecter. Voilou, sinon tu ne donnes pas de retour c'est quoi les messages d'erreurs sur les pertes de paquets parce que là ça peut être un peu tout et n'importe quoi http://www.informit.com/library/content.aspx?b=Troubleshooting_VPNsseqNum=36 ? Le Tue, 31 Jan 2012 09:51:49 +0100, Mario Valetti m.vale...@kytegroup.com a écrit: Merci a tous pour vos réponses, En fait, j'ai oublié de mentionné dans mon message précédent que nous avons déjà pris en compte la modification du MTU à cause de ce tunnel LT2P. Ces changements de MTU ont été réalisés sur les postes clients internes et non sur les interfaces externes sur notre CISCO 871. Merci aussi pour tous les commentaires et conseils. Vous nous avez donné quelques idées à étudier. Cordialement, Mario -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Mario Valetti Sent: 30 January 2012 17:30 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Numericable L2TP Bonsoir a tous, Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Donc, nous nous connectons tout d'abord à un serveur DHCP pour récupérer une adresse IP publique qui change à chaque connexion et ensuite nous montons un tunnel L2TP pour obtenir une adresse IP fixe. Du fait que nous utilisons ces accès pour des connexions site à site avec nos filiales, nous avons remplacé les modems Numéricâble fourni par nos propres équipements Cisco (la connexion site à site n'étant pas possible avec les modems Numericable). Dans notre cas, nous utilisons des routeurs Cisco 871. La configuration fonctionne bien mais on remarque une perte importante de paquets dès que le tunnel LT2P est monté (pas ou peu de perte de paquet sans le tunnel). C'est la cas avec le Cisco 871 mais aussi avec les modems Numericable. Nous avons du trafic limitées sur les lignes et le processeur n'est pas utilisé de manière excessif. Nous avons seulement remarqué que nous avions plus de perte de paquets la journée que pendant la nuit -Pour information, des paquets sont perdus pour des connexions à des sites internationaux ainsi que pour des connexions à des sites situés en France. Quelqu'un a-t-il une expérience sur ce sujet ? Est-il normal que des paquets soient perdus dès que l'ont utilisent une connexion avec un tunnel L2TP? La configuration de notre routeur Cisco 871 est détaillée ci-dessous. Avez vous des remarques sur la configuration? pseudowire-class ISP encapsulation l2tpv2 ip local interface FastEthernet4 interface FastEthernet4 description $ETH-WAN$ ip address dhcp zone-member security outside speed 100 full-duplex interface Virtual-PPP1 description L2TP dialer to ISP ip address negotiated ip nat outside ip virtual-reassembly zone-member security outside ppp pap sent-username x password 7 x pseudowire x.x.x.x1 pw-class ISP crypto map SDM_CMAP_1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip nat inside source route-map SDM_RMAP_1 interface Virtual-PPP1 overload Cordialement, Mario Valetti The Kyte Group Ltd Paris 10 Rue de la Paix, 75002, Paris, France Tel: +33 (0)1.42.60.00.95 http://www.kytegroup.com http://www.kytegroup.com/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full
Re: [FRnOG] [TECH] Numericable L2TP
Bonjour, Le 30 janv. 2012 à 17:29, Mario Valetti a écrit : Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Petite précision à ce sujet puisque certains de mes clients utilisent Numéricable. Il existe une offre « pro » chez eux, pas spécialement plus chère et qui propose une IP publique fixe. Par contre il faut faire attention à une chose, Numéricable interdit contractuellement l’hébergement de serveur sur ses lignes, y compris avec l’offre « pro ». Il n’est pas inutile de rappeler au client que malgré le bas cout et la pseudo bande passante annoncée par ce FAI cela resta un opérateur fait pour madame Michu… Yoann smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Numericable L2TP
Bonjour, Première remarque : L2TP = UDP/IP, donc pas de mécanismes de session, pas de mécanismes de gestion de la congestion. Supposons que le réseau Numericable soit plus charge en journée que la nuit, notamment sur les points de transit, et cela peut créer de la congestion locale, donc des pertes de paquets. Il suffit par exemple que le transit soit dimensionne sur la charge moyenne ou le 95th percentile pour qu'il y ait des pertes lors de pics a la BH. Deuxieme remarque : attention a la MTU avec tous ces entetes. Si tu n'utilises pas L2TP pour du y monter un VPN, tu peux envisager de te passer d'IP fixe et partir sur du DynDNS (en fonction de l'usage), ou passer sur des lignes pro proposant une IP fixe si c'est obligatoire. Autre solution : hoster en central un VPN avec des tunnel SSH (TCP donc), creer des VPN vers ce host, et une sortie internet sur ce point uniquement, en IP Fixe (chez n'importe quel hebergeur digne de ce nom). Cdt, Guillaume Le 30 janvier 2012 17:29, Mario Valetti m.vale...@kytegroup.com a écrit : Bonsoir a tous, Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Donc, nous nous connectons tout d'abord à un serveur DHCP pour récupérer une adresse IP publique qui change à chaque connexion et ensuite nous montons un tunnel L2TP pour obtenir une adresse IP fixe. Du fait que nous utilisons ces accès pour des connexions site à site avec nos filiales, nous avons remplacé les modems Numéricâble fourni par nos propres équipements Cisco (la connexion site à site n'étant pas possible avec les modems Numericable). Dans notre cas, nous utilisons des routeurs Cisco 871. La configuration fonctionne bien mais on remarque une perte importante de paquets dès que le tunnel LT2P est monté (pas ou peu de perte de paquet sans le tunnel). C'est la cas avec le Cisco 871 mais aussi avec les modems Numericable. Nous avons du trafic limitées sur les lignes et le processeur n'est pas utilisé de manière excessif. Nous avons seulement remarqué que nous avions plus de perte de paquets la journée que pendant la nuit -Pour information, des paquets sont perdus pour des connexions à des sites internationaux ainsi que pour des connexions à des sites situés en France. Quelqu'un a-t-il une expérience sur ce sujet ? Est-il normal que des paquets soient perdus dès que l'ont utilisent une connexion avec un tunnel L2TP? La configuration de notre routeur Cisco 871 est détaillée ci-dessous. Avez vous des remarques sur la configuration? pseudowire-class ISP encapsulation l2tpv2 ip local interface FastEthernet4 interface FastEthernet4 description $ETH-WAN$ ip address dhcp zone-member security outside speed 100 full-duplex interface Virtual-PPP1 description L2TP dialer to ISP ip address negotiated ip nat outside ip virtual-reassembly zone-member security outside ppp pap sent-username x password 7 x pseudowire x.x.x.x1 pw-class ISP crypto map SDM_CMAP_1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip nat inside source route-map SDM_RMAP_1 interface Virtual-PPP1 overload Cordialement, Mario Valetti The Kyte Group Ltd Paris 10 Rue de la Paix, 75002, Paris, France Tel: +33 (0)1.42.60.00.95 http://www.kytegroup.com http://www.kytegroup.com/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Numericable L2TP
Salut Guillaume, On Mon, Jan 30, 2012 at 05:52:05PM +0100, Guillaume Barrot wrote: Bonjour, Première remarque : L2TP = UDP/IP, donc pas de mécanismes de session, pas de mécanismes de gestion de la congestion. L2TP ajoute la notion de session sur UDP. Je pense que tu confonds gestion de la congestion et identification des sessions. Deuxieme remarque : attention a la MTU avec tous ces entetes. On s'en moque, UDP est au dessus d'IP, IP fragmente. En fait toutes les trames L2TP qui trainent sont presque toutes transportées dans des paquets IP fragmentés. Même sur les collectes, à cause des MTU Ethernet à 1500, un paquet PPP/L2TP/UDP/IP fait toujours plus de 1500 de payload Ethernet (un gros paquet genre HTTP, pas une requête NTP :p). Sylvain signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Numericable L2TP
L2TP ajoute la notion de session sur UDP. Je pense que tu confonds gestion de la congestion et identification des sessions. Certes, les sessions applicatives, je parlais de la notion de session couche basse TCP, et donc de la fiabilité des communications / pertes de paquets. On s'en moque, UDP est au dessus d'IP, IP fragmente. En fait toutes les trames L2TP qui trainent sont presque toutes transportées dans des paquets IP fragmentés. Même sur les collectes, à cause des MTU Ethernet à 1500, un paquet PPP/L2TP/UDP/IP fait toujours plus de 1500 de payload Ethernet (un gros paquet genre HTTP, pas une requête NTP :p). Certes grâce aux collectes et leurs MTU en général a 4470b, on a pas de soucis sur la collecte ... jusqu'au premier switch de collecte. A voir si c'est le cas chez NCC, mais je connais des FAI ou la MTU des switchs de collecte est a 1500... De plus la fragmentation sur IP, aussi naturelle et maîtrisée soit elle a quand même des beaux effets de bord. Pas plus tard que la semaine dernière j'ai pu expérimenter le NFS dans des cas de MTU mixtes (1500 cote client, 9000 cote réseau et serveur), et une stabilité plus qu’aléatoire au final. --- Liste de diffusion du FRnOG http://www.frnog.org/