Bonjour
j'ai un souci où j'aimerai avoir l'avis de la cammunauté.
nous sommes dual-home BGP (Renater d'un coté , FranceIX de l'autre) , un
flux entrant par Renater atteint bien mon serveur, mais le routage
asymetrique multi-homed le fait retourner par FranceIX, et dans ce cas
la negociation TLS/httpS echoue , le syn/ack de mon serveur en reponse
au Syn du client (OVH) semble etre perdu sur le retour.
j'ai verifié mes firewalls / ACL , pas de filtrage outbound, seulement
du filtrage en IN vers tcp/443 (ou 636/ldapS) => permit dans ce cas là .
ce qui m'etonne c'est que depuis le meme remote host (VPS chez OVH) un
acces ldapS tcp:636 fonctionne !? ceci vers le meme domain / subnet IP
qui subit les meme regle cf [1]
j'ai ouvert un ticket chez OVH pour savoir s'il on mis en place des
filtrages "adaptatifs" sur le 443 qui pourraient ne pas aimer
l'asymetrie, mais j'ai des reponses a coté de la plaque
Avez vous idée du probleme ? du deja vécu ? des operateurs upstream
pourraient filtrer un retour asymetrique sur certains protocoles et pas
d'autres, une question de largeur de fenetre tcp ou de MTU ...? j'ai
testé pas mal d'hypotheses sans succes pour le moment .
Merci pour vos lumieres .
jehan
[1] depuis mon VPS OVH vers mon site academique:
$ openssl s_client -connect cas.mondomain.fr:443 -tls1_2 => OK plein
de sites externe en symetrique , sauf depuis OVH "NOK" quand il est
asymetrique
$ openssl s_client -connect ldap.mondomain.fr:636 -tls1_2 => OK depuis
partout meme depuis mon client sur VPS OVH en retour asymetrique
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
