Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Ils ont quand même mis des trucs en place pour supporter PPTP/GRE et IPSec dans le 4Rd, et selon Rani (Sur lafibre) c'était pas gagné. Sent from my iPhone > On 7 Apr 2017, at 15:56, David Ponzonewrote: > > Non mais tout CGNAT a ses contraintes, et Free qui a des millions de clients > derrière n’ira pas chercher pourquoi son CGNAT gêne des clients pro avec un > client VPN précis. > Déjà qu’ils n’ont rien fait (à ma connaissance) pour les clients qui ont une > Playstation4, qui sont certainement nombreux. > Je ne leur jette pas la pierre, ils sont sur un modèle où la prise en compte > des problèmes de Pierre, Paul ou Jacques n’est pas possible. > >> Le 7 avr. 2017 à 15:16, Buzzer a écrit : >> >> Nous n'avons pas d'ipv6 sur notre accès. >> Mais je pense effectivement que ce serait la solution. >> >> Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas >> de raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas >> -- >> Christophe >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Non mais tout CGNAT a ses contraintes, et Free qui a des millions de clients derrière n’ira pas chercher pourquoi son CGNAT gêne des clients pro avec un client VPN précis. Déjà qu’ils n’ont rien fait (à ma connaissance) pour les clients qui ont une Playstation4, qui sont certainement nombreux. Je ne leur jette pas la pierre, ils sont sur un modèle où la prise en compte des problèmes de Pierre, Paul ou Jacques n’est pas possible. > Le 7 avr. 2017 à 15:16, Buzzera écrit : > > Nous n'avons pas d'ipv6 sur notre accès. > Mais je pense effectivement que ce serait la solution. > > Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de > raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas > -- > Christophe > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour Le 7 avril 2017 14:46:01 GMT+02:00, "Jérôme BERTHIER"a écrit : >Bonjour, > >Le 07/04/2017 à 14:08, Buzzer a écrit : >> Bonjour, >> >> >> Je fais parti d'un service réseau d'une banque, qui a un grand nombre >d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect >sur des Cisco ASA en mode dtls. >> >> >> Nous avons constaté que nos utilisateur clients chez Free en fibre >optique et en zone moyennement dense n'arrivent pas à monter le vpn. > >Si DTLS ne fonctionne pas, le client est sensé utiliser la session >TCP443 qui est initiée au départ. >Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn". > Le problème justement ce n'est pas que dtls ne marche pas, mais que juste une partie de la négociation echoue. Le client reste donc bloqué sur dtls en boucle. >> >> >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >entre les utilisateurs. >> >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >paquet sur l'infrastructure empêche cette négociation d'aboutir. > >Un cas "similaire" semble explicitement décrit : >http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116881-technote-anyconnect-00.html > >Bon courage ;-) Merci je n'avais pas trouvé celui là. -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Hello, >>Et en IPv6 ca donne quoi ? > > Nous n'avons pas d'ipv6 sur notre accès. > Mais je pense effectivement que ce serait la solution. Surtout en 2017... > Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de > raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas Après y a toujours la demande de passage en full stack qui marche... Ou si tu veux pas demander a te collègues de passer en ipv6 et/ou en full stack de passer via un rebond OpenVPN qui LUI passe a travers le CGN en question. A noter que... les CGN vont devenir de plus en plus courant... il serait intéressant de passer en ipv6 :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Nous avons déjà testé avec certaine personne de l'IT possédant un firewall. L'interdiction de l'udp 443 fait tomber en défaut sur TLS (tcp 443) qui lui ne pose pas de problème, puisque le tcp gère la négociation des taille (tcp mss) et les pertes de paquets. Cependant cette solution n'est pas optimale pour la TOIP. (UDP Dans un tunnel tcp) Le 7 avril 2017 14:32:28 GMT+02:00, Dominique Rousseaua écrit : >Le Fri, Apr 07, 2017 at 02:08:37PM +0200, Buzzer [buz...@free.fr] a >écrit: >> Bonjour, >> >> Je fais parti d'un service réseau d'une banque, qui a un grand nombre >> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect >> sur des Cisco ASA en mode dtls. > >Je connaissais pas, mais Goggle semble dire que c'est de l'UDP sur le >port 443... > >> Nous avons constaté que nos utilisateur clients chez Free en fibre >> optique et en zone moyennement dense n'arrivent pas à monter le vpn. >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. > >En ADSL aussi. >... et du coup, DTLS, ca presume peut-etre des choses sur le port >source, qui se retrouverait (mal) re-mappé du fait de l'ip partagée. > >Tu n'as pas moyen d'utiliser un autre mode que DTLS ? > > > >-- >Dominique Rousseau >Neuronnexion, Prestataire Internet & Intranet >21 rue Frédéric Petit - 8 Amiens >tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - >http://www.neuronnexion.coop > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
"IPv6 serait un contournement"... Oula tu va t'attirer des foudres ici Heureusement qu'on est Trolldi ! Joël -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Buzzer Envoyé : vendredi 7 avril 2017 15:17 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense Le 7 avril 2017 14:14:43 GMT+02:00, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> a écrit : >On Fri, Apr 7, 2017, at 14:08, Buzzer wrote: >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >> paquet sur l'infrastructure empêche cette négociation d'aboutir. >> >> La solution fonctionnelle au problème consiste, pour nos >utilisateurs, à >> demander une vraie ipv4 (full-stack) > >Et en IPv6 ca donne quoi ? Nous n'avons pas d'ipv6 sur notre accès. Mais je pense effectivement que ce serait la solution. Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Le 7 avril 2017 14:14:43 GMT+02:00, Radu-Adrian Feurdeana écrit : >On Fri, Apr 7, 2017, at 14:08, Buzzer wrote: >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >> paquet sur l'infrastructure empêche cette négociation d'aboutir. >> >> La solution fonctionnelle au problème consiste, pour nos >utilisateurs, à >> demander une vraie ipv4 (full-stack) > >Et en IPv6 ca donne quoi ? Nous n'avons pas d'ipv6 sur notre accès. Mais je pense effectivement que ce serait la solution. Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour, La modification pour passer en IPv4 full stack est dispo sur l'interface client : http://www.universfreebox.com/article/35583/Freebox-l-option-vraie-IP-fixe-en-ZMD-est-disponible Loïc 2017-04-07 14:46 GMT+02:00 Jérôme BERTHIER: > Bonjour, > > Le 07/04/2017 à 14:08, Buzzer a écrit : > >> Bonjour, >> >> >> Je fais parti d'un service réseau d'une banque, qui a un grand nombre >> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur >> des Cisco ASA en mode dtls. >> >> >> Nous avons constaté que nos utilisateur clients chez Free en fibre >> optique et en zone moyennement dense n'arrivent pas à monter le vpn. >> > > Si DTLS ne fonctionne pas, le client est sensé utiliser la session TCP443 > qui est initiée au départ. > Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn". > > >> >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. >> >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >> paquet sur l'infrastructure empêche cette négociation d'aboutir. >> > > Un cas "similaire" semble explicitement décrit : > http://www.cisco.com/c/en/us/support/docs/security/anyconnec > t-secure-mobility-client/116881-technote-anyconnect-00.html > > Bon courage ;-) > > > -- > Jérôme BERTHIER > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour, Le 07/04/2017 à 14:08, Buzzer a écrit : Bonjour, Je fais parti d'un service réseau d'une banque, qui a un grand nombre d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur des Cisco ASA en mode dtls. Nous avons constaté que nos utilisateur clients chez Free en fibre optique et en zone moyennement dense n'arrivent pas à monter le vpn. Si DTLS ne fonctionne pas, le client est sensé utiliser la session TCP443 qui est initiée au départ. Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn". Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 entre les utilisateurs. Le symptôme est que le vpn tente de négocié un mtu, mais la perte de paquet sur l'infrastructure empêche cette négociation d'aboutir. Un cas "similaire" semble explicitement décrit : http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116881-technote-anyconnect-00.html Bon courage ;-) -- Jérôme BERTHIER --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Le Fri, Apr 07, 2017 at 02:08:37PM +0200, Buzzer [buz...@free.fr] a écrit: > Bonjour, > > Je fais parti d'un service réseau d'une banque, qui a un grand nombre > d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect > sur des Cisco ASA en mode dtls. Je connaissais pas, mais Goggle semble dire que c'est de l'UDP sur le port 443... > Nous avons constaté que nos utilisateur clients chez Free en fibre > optique et en zone moyennement dense n'arrivent pas à monter le vpn. > Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 > entre les utilisateurs. En ADSL aussi. ... et du coup, DTLS, ca presume peut-etre des choses sur le port source, qui se retrouverait (mal) re-mappé du fait de l'ip partagée. Tu n'as pas moyen d'utiliser un autre mode que DTLS ? -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
On Fri, Apr 7, 2017, at 14:08, Buzzer wrote: > Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 > entre les utilisateurs. > > Le symptôme est que le vpn tente de négocié un mtu, mais la perte de > paquet sur l'infrastructure empêche cette négociation d'aboutir. > > La solution fonctionnelle au problème consiste, pour nos utilisateurs, à > demander une vraie ipv4 (full-stack) Et en IPv6 ca donne quoi ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour, Je fais parti d'un service réseau d'une banque, qui a un grand nombre d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur des Cisco ASA en mode dtls. Nous avons constaté que nos utilisateur clients chez Free en fibre optique et en zone moyennement dense n'arrivent pas à monter le vpn. Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 entre les utilisateurs. Le symptôme est que le vpn tente de négocié un mtu, mais la perte de paquet sur l'infrastructure empêche cette négociation d'aboutir. La solution fonctionnelle au problème consiste, pour nos utilisateurs, à demander une vraie ipv4 (full-stack) J'ai donc plusieurs questions à une éventuelle personne de Free lisant la liste : Ce problème est-il connu ? L'infrastructure partage d'ipv4 et ipv4 full-stack sont-elles distinctes? Comment fait-on pour joindre FREE dans ce genre de cas, sachant que tous les numéros que j'ai essayé, finissent toujours pareil : quel est votre numéro d'abonné ? Merci de votre aide -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/