Re: Pb TCP
Stephane Bortzmeyer a écrit : On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel [EMAIL PROTECTED] wrote a message of 28 lines which said: Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10 Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU). Autant pour moi, il n'y a qu'un modem/Adsl et il est après le serveur. Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb. Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP. A tous les coups Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets. Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème. Deux solutions : - la plus simple est sans doute le MSS clamping: bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty pppoe -I eth1 -T 80 -m 1412 Ça OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ? - la plus propre est d'abaisser la MTU sur chaque machine de votre réseau. Oui mais a chaque fois qu'un portable ce connecte sur le reseau pour obtenir la passerelle il faut lui bidouiller sa connection . Pas simple, d'autant plus que ces personnes me disent ne pas avoir de pb ailleurs. Je précise qu'il sont sur Mac ou PC win. Merci pour la réponse @+ -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Pb TCP
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 GIL ANTOLI Michel a écrit : OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ? Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme et au moins tes paquets passent RoboTux - -- Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFD5M5KXBAlpiuL44URAtJOAJ4/tOMBeUo6fVRBd5qu8+5H/s6CVQCfXxfs 8dAqiv50h0GRNzn9fxQOjm4= =kEFB -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Pb TCP
RoboTux a écrit : OK mais si un client envoie une trame en 1500 et que le routeur la redimensionne en 1412, qu'est-ce qu'il est fait des 88 octets restant; Le routeur refait une trame, si bien qu'on divise le débit par 2 ? Il fragmente le datagramme en deux s'il n'a pas le flag DF (don't fragment). Sinon il le jette et renvoie une erreur ICMP fragmentation needed. Diviser par 2 non clairement pas. Au lieu d'avoir un paquet IP (et donc une en-tête IP) tu en a 2. Tu perds uniquement la taille d'une en-tête IP, ce n'est pas énorme + les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Pb TCP
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg a écrit : + les en-têtes PPP, PPPoE, ethernet, LLC, AAL5 si on considère toutes les couches d'encapsulation de la liaison ADSL. Ça finit par faire du monde. Oui en effet, j'avais pas pensé à ça. J'ai encore répondu trop vite. Ceci dit comme cela ne semble pas marcher autrement dans son cas il vaut mieux ne pas trop se poser la question. ça fera un peu plus de traffic mais au moins cela passera. - -- Ma clé GPG est disponible sur http://www.keyserver.net (0x2B8BE385) Protégez votre vie privée : - - Signez/chiffrez vos messages. Respectez celle des autres : - - Masquez les destinataires de vos mailings -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFD5O1FXBAlpiuL44URAmmhAJ9o1JzssPM69JnHDvonjvWApN/NagCcCKLC hKxHmoMHzsEmY0cGDN4pedw= =LIho -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Pb TCP
On Thu, Feb 02, 2006 at 10:55:20PM +0100, GIL ANTOLI Michel [EMAIL PROTECTED] wrote a message of 28 lines which said: Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10 Connecté à Internet comment ? PPPoE + ADSL chez Nerim ? PPPoE nécessite quelques octets pour encapsuler et la MTU n'est donc pas de 1500 octets (ifconfig pour l'afficher, Wikipedia pour voir ce qu'est la MTU). Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb. Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP. Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets. Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème. Deux solutions : - la plus simple est sans doute le MSS clamping: bricoler les annonces TCP de vos machines sur le routeur pour abaisser la taille. En PPPoE, dans le /etc/ppp/peers/FAI : pty pppoe -I eth1 -T 80 -m 1412 Ça - la plus propre est d'abaisser la MTU sur chaque machine de votre réseau. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Pb TCP
[EMAIL PROTECTED] Stephane Bortzmeyer a écrit : GIL ANTOLI Michel wrote: Sur un reseau j'ai un serveur routeur filtrant avec un noyau 2.6.10 [évocation du MTU] Depuis les TX de ce serveur ont surf sur tous les sites de la planete sans pb, par contre ce n'est pas la cas pour les machines qui n'utilisent que la fonction routeur de ce serveur, ce qui est le cas du site wanadoo france et du site du ministère de la culture. Les autres sont accessibles sans pb. Que signifie TX ? Les deux sites en question font probablement partie des nombreux sites mal configurés qui filtrent l'ICMP. Bien sur ce n'est ni un pb de firewall ni proxy. On pense que cela se passe au niveau de la trame des paquets. Oui, le segment TCP est trop grand et le filtrage chez les sites mal configurés vous empêche de recevoir l'ICMP qui vous préviendrait du problème. Si un segment émis par le serveur est trop grand pour passer sur la liaison PPPoE, le paquet est perdu sans qu'aucun ICMP soit émis car le problème se situe au niveau liaison, pas au niveau IP. C'est le problème de trou noir de PPPoE. Si en revanche un segment émis par le poste client est trop gros pour passer sur la liaison ADSL, soit il est fragmenté par la passerelle, soit il est détruit par celle-ci avec émission d'un ICMP à destination du client. Dans un cas comme dans l'autre, le filtrage côté serveur n'est pas en cause. Deux solutions : - la plus simple est sans doute le MSS clamping Nerim fait déjà du clamping MSS à 1420 sur ses LNS (en partie pour ne pas fragmenter le tunnel L2TP), ce qui devrait être suffisant. - la plus propre est d'abaisser la MTU sur chaque machine de votre réseau. Cette solution a l'avantage de s'appliquer à tous les protocoles basés sur IP et pas seulement à TCP. Mais elle présente l'inconvénient de s'appliquer aussi aux communications à l'intérieur du réseau local. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
