Bonjour à tous Merci pour vos réponses. On va regarder et remonter cela au support de l'intégrateur pour le MSS.
Pour le FortiOS, nous sommes en 7.0.15 Nous sommes en Flow mode. Pour les postes, et bien pour 2 postes sur le même LAN, même navigateur, l'un fonctionne l'autre non et l'inverse est vrai aussi, l'un sur Edge OK, l'autre sur Chrome NOK On a constaté cela sur Firefox/Edge/Chrome. Bizarrement si on fait un cURL, et bien on voit le code html ... Le mer. 15 mai 2024 à 13:06, Vincent <vincent.de...@gmail.com> a écrit : > Salut, > > j'ai eu ce genre de probleme que j'ai mis de temps à débugguer. Les sites > httpS avaient une grande latence à la permiere connexion, (voir certains ne > passaient pas) en passant par notre proxy Squid. Le meme ¨PC vers le meme > site en bypassant le SQUID yavait pas de probleme. > > C'était en fait notre GW/FW Cisco Firepower qui s'amusait avec les > en-tetes TCP et les paquets étaient ensuite jetés au feu par le kernel du > client. Plus précisement: > > *Symptom: > Traffic using TCP Fast Open fails when the TLS Server Identity feature is > enabled https://bst.cisco.com/quickview/bug/CSCwf05295* > > Conditions: > FTD version 7.0.5 > First time reported on FPR9k but can be present in other models. > > TLS Server Identity feature enabled under Access Control Policy > Advanced > Settings > TLS Server Identity Discovery > Early application detection and > URL categorization - Enabled > > Firepower attempting to process TCP traffic with TCP piggyback enabled. > > Workaround: > Disable TLS Server Identity if TCP Fast Open is needed > > Mes 20centimes > > On Wed, May 15, 2024 at 12:42 PM Frederic Lubrano < > frederic.lubr...@gmail.com> wrote: > >> Bonjour Florian, >> >> Je suis d'accord avec Hugues, cela me fait également penser à un souci >> MSS. >> Cependant, tu indiques que cela fonctionne sur un poste sans problème. >> Quelle est la différence entre le poste qui fonctionne et ceux qui ne >> fonctionnent pas ? Par exemple : la version du navigateur, ce poste est-il >> sur le même LAN, etc. Un problème possible pourrait être décrit ici : >> >> https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-Web-pages-not-loading-or-taking-too-long-to/ta-p/313958 >> En complément, es-tu Flow ou proxy mode ? Qulle version FortiOS ? >> >> Fred >> >> >> On Wed, May 15, 2024 at 12:13 PM Hugues Voiturier < >> hugues-lis...@milkywan.fr> >> wrote: >> >> > Bonjour, >> > >> > La comme ça, les symptômes que tu décris me font penser a un souci de >> MTU >> > / MSS. Tu as regardé en ce sens ? >> > >> > Hugues >> > >> > Hugues Voiturier >> > Consultant en architecture réseau >> > AS2027 >> > >> > > On 15 May 2024, at 11:59, Florian VANNIER < >> florian.vannie...@gmail.com> >> > wrote: >> > > >> > > Bonjour à tous, >> > > Je me permets de jeter une bouteille à la mer car on galère pas mal >> sur >> > un cluster de FortiGate 101F. >> > > Pour résumer la situation, cluster sur un site distant géré par un >> > FortiManager au niveau du groupe. >> > > Règles communes vers le web. (sur 8 sites distants) >> > > Spécifiquement sur ce site, on rencontre des sites web qui tombent en >> > timeout (ou très très lent) ou bien des erreurs de certificat >> (évidemment >> > les clients ont le CA Root interne). Constaté aussi sur différents >> > navigateurs. Sur un poste ça fonctionne, l'autre non ... >> > > <FRNOG (1).png> >> > > >> > > <FRNOG (2).png> >> > > >> > > >> > > On a donc désactivé au fur et à mesure tous les éléments de sécurité >> > (DeepSSL, IPS, AV ...) vers le web. >> > > Mais on rencontre toujours ces problèmes de façon sporadique :( >> > > On a aussi fait des tests afin d'exclure un problème sur un WAN >> > spécifique. >> > > Calme plat sur l'utilisation CPU/RAM ... >> > > <FRNOG (3).png> >> > > >> > > >> > > Notre intégrateur ainsi que le support Fortinet semblent à cours >> d'idées. >> > > >> > > Avez-vous déjà rencontré ce genre de problème ? >> > > Une idée sur ce qui pourrait causer ce comportement ? >> > > >> > > Merci d'avance la liste >> > >> > >> > --------------------------- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> > >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > -- *Florian VANNIER* Administrateur systèmes et réseaux Tel : +33 6 83 10 70 09 E-mail : florian.vannie...@gmail.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
