> Arnaud BRAND a écrit : > Mais si j'ai bien compris le souci de Michel, c'est aussi le forwarding des > TTL expired des hops suivants qui pêche.
Oui absolument. En plus, le fortigate est en mode transparent, et la manière dont je le traverse est un Wire-Pair, avec une Wire-Pair policy qui permet tout, pas d'app control pas d'antivirus, rien du tout, dans l'environnement de test c'est une passoire L2. T'as pas d'avenir au support technique d'un grand fabricant, toi. Tu comprends la question :P > Et dans ce cas c'est juste du forwarding de paquet ICMP, non ? En quoi > c'est différent du forwarding d'un paquet tcp ou udp, ct'affaire C'est pas. C'est le support de Fortinet qui m'a orienté vers ce machin en espérant noyer le poisson. Comme je l'ai écrit précédemment, aucun rapport avec mon problème si la logique était respectée. Ceci étant dit, c'est tellement similaire que je pense que c'est ou la même chose, ou son petit frère. Ca devrait pas regarder ce trafic, mais çà le regarde. > Le cas échéant, n'auraient-ils pas pu profiter du fait de rajouter quelques > millions/milliards de transistors sur la puce pour changer ce 1PPS en une > autre > valeur (voire permettre de le paramétrer avec un registre ou une instruction > quelconque) ? Oui mais çà c'est un raisonnement d'ingé réseau. Le marketing droid qui demande ces "features" aux développeurs ne pense pas comme toi et moi. > Franchement, en plus cette tendance récurrente des supports (oui, tous dans > le même sac) à rien > comprendre, à d'abord valider que tu as les certifs 12000++ avant de > commencer à regarder (des > fois qu'ils pourraient éviter de répondre, hein) pour au final te répondre > juste un truc qui > ne correspond même pas à la description du problème, c'est effectivement très > énervant... Tous dans le même sac, non. Presque, mais pas tous. Faut encourager les rares et généralement jeunes et petites boites qui essaient encore de le faire bien. Et le logiciel libre. > Et au final, je ne suis même pas sûr que le problème de fond soit remonté aux > ingés Forti par ledit support Oh moi je suis sûr : le problème ne sera jamais remonté aux gens qui auraient pu le fixer. Pour çà, il faudrait que l'option qu'il y ait un bug soit possible, pas sûr que support L1 et L2 y aient accès. > (peut être de peur que ces derniers ne leur collent une taloche bien méritée > parce que le paramètre existe déjà et qu'ils n'ont juste pas lu leur doc :-)) Cà m'aurait suffit, désactiver la feature de merde. Mais non, c'est une feature pas un bug, et donc on peut pas la désactiver. > Allez, bon trolldi à tous et à toutes, moi je pars en week-end ! Profites-en bien ! Michel. > Bon après, cas vécu sur du 7200/7600 et 6500 Cisco y a quelques années, > et > COPP Obligatoire en rate limite ICMP, justement parce que les > traceroutes > te mettaient la CPU à 100% et que BGP flappait ... > Ceux qui ont eu des GSR en prod comprendront. > > Donc si le bout de code en question date en plus de 10 ans .... > T'auras plus vite fait de te pointer au HQ de Fortinet en faisant un > scandale :D > > Le jeu. 30 août 2018 à 23:15, Michel Py > <[email protected]> > a écrit : > >> > David Ponzone a écrit : >> > Ok t’as un exemple pour illustrer la gravité de la chose ? >> >> De mon ordi (1 source) je peux même pas faire UN tracert vers >> l'extérieur >> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des >> hops >> (voir plus bas). >> >> > Parce qu’à part si tu passes ton temps à faire des traceroute >> simultanés... >> >> Ce n'est pas le cas. >> >> > Et encore, c’est juste le hop du Forti qui répond des *. >> >> Non c'est plus de la moitié des hops au milieu. >> >> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, >> mêmes pas ceux que tout le monde évite). >> - Ca vient pas de tracert.exe, WinMTR fait la même chose. >> - Quand on fait des pings des hops individuels on a 100%. >> - On a enlevé antivirus et autres, mis des règles qui laissent tout >> entrer >> et tout sortir, pareil. >> >> AMHA c'est un rate-limit à la con dans le style 1 PPS. >> >> Pour l'histoire de fous, voir plus bas. >> >> With Fortigate >> >> |------------------------------------------------------------------------------------------| >> | WinMTR statistics >> | >> | Host - % | Sent | Recv | Best >> | >> Avrg | Wrst | Last | >> >> |------------------------------------------------|------|------|------|------|------|------| >> | crc30r1.rv.am.necel.com - 0 | 54 | 54 | 0 >> | >> 0 | 8 | 0 | >> | crt-edge1.rv.am.necel.com - 0 | 54 | 54 | 0 >> | >> 0 | 12 | 0 | >> | crt-border1-v925.tsisemi.com - 0 | 54 | 54 | 0 >> | >> 2 | 74 | 1 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | prs-bb4-link.telia.net - 14 | 37 | 32 | 170 >> | >> 171 | 182 | 170 | >> | prs-b5-link.telia.net - 0 | 55 | 55 | 146 >> | >> 147 | 157 | 146 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | craftix.gasmi.net - 0 | 55 | 55 | 152 >> | >> 153 | 154 | 153 | >> >> |________________________________________________|______|______|______|______|______|______| >> >> >> Without Fortigate or with another brand : >> >> |------------------------------------------------------------------------------------------| >> | WinMTR statistics >> | >> | Host - % | Sent | Recv | Best >> | >> Avrg | Wrst | Last | >> >> |------------------------------------------------|------|------|------|------|------|------| >> | crc30-63.rv.am.necel.com - 0 | 51 | 51 | 0 >> | >> 0 | 12 | 1 | >> | crt-edge1.rv.am.necel.com - 0 | 51 | 51 | 0 >> | >> 0 | 13 | 0 | >> | crt-border1-v925.tsisemi.com - 0 | 51 | 51 | 0 >> | >> 1 | 40 | 1 | >> | 241.dsl6660136.sub-29.surewest.net - 0 | 51 | 51 | 1 >> | >> 1 | 13 | 1 | >> | 204.154.217.20 - 0 | 51 | 51 | 2 >> | >> 2 | 14 | 2 | >> | 204.154.217.245 - 0 | 51 | 51 | 2 >> | >> 2 | 14 | 2 | >> | 204.154.217.196 - 0 | 51 | 51 | 2 >> | >> 4 | 41 | 2 | >> | sjo-b21-link.telia.net - 0 | 51 | 51 | 6 >> | >> 9 | 16 | 11 | >> | nyk-bb4-link.telia.net - 0 | 51 | 51 | 75 >> | >> 75 | 77 | 76 | >> | prs-bb4-link.telia.net - 0 | 51 | 51 | 143 >> | >> 143 | 158 | 143 | >> | prs-b5-link.telia.net - 0 | 51 | 51 | 146 >> | >> 146 | 158 | 146 | >> | lostoasis-ic-310624-prs-b5.c.telia.net - 0 | 51 | 51 | 147 >> | >> 147 | 158 | 147 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 >> | >> 0 | 0 | 0 | >> | sdv-plurimedia.customers-sfr-str.ielo.net - 0 | 51 | 51 | 152 >> | >> 153 | 158 | 153 | >> | craftix.gasmi.net - 0 | 51 | 51 | 152 >> | >> 152 | 153 | 153 | >> >> |________________________________________________|______|______|______|______|______|______| >> >> >> > Oliver Varenne a écrit : >> > A mon avis, (Michel confirmera ou infirmera), le problème n'est pas tant >> la gravité de la chose, mais >> > surement le fait qu'il a du passer plusieurs heures/jours à chercher >> pourquoi il avait des "*" comme >> > tu dis, pour se rendre compte qu'il a perdu beaucoup de temps sur une >> connerie... Et le pire dans ce >> > genre de cas, c'est que quand la connerie est désactivable via une >> option, tu te dis "j'ai appris quelque >> > chose", mais quand c'est imposé, tu te sens vraiment floué par des >> décisions qui semblent arbitraires. >> >> Je sais même pas combien d'heures/hommes on a perdu avec cette >> connerie >> mais c'est en centaines. J'ai un ingé et un fournisseur qui se sont >> cassé >> la tête pendant des jours à chercher un problème là ou il n'y était >> pas, >> parce qu'ils ont fait trop confiance au tracert et qu'ils se sont pas >> rendus compte que le Fortigate bouffait la ligne du hop qu'ils étaient >> en >> train de troubleshooter. Quand on a enlevé le Fortigate et obtenu un >> traceroute qui marchait çà leur a immédiatement montré ou était le >> problème. >> >> > Soyons honnêtes, dans ce genre de cas ça devrait être sous forme >> d'option: >> > - limiter les paquets à 1 par seconde pour protéger blablablablabla : >> oui/non >> >> Oui, mais en plus 1 PPS en 2018 c'est débile. Ils auraient mis 10 PPS >> je >> m'en serais pas aperçu, et 100 PPS çà aurait pas tué leur machin non >> plus. >> >> Plomber les outils de l'ingé qui cherche un problème, c'est grave. Me >> faire perdre encore plus de temps pour essayer de m'expliquer que >> c'est pas >> leur faute, c'est pire. Payer des vrais gros sous en plus du temps >> perdu >> pour avoir le privilège de tous ces emmerdements, faut être con. J'ai >> été >> con, mea culpa, je le referai plus. >> >> Michel. >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
