RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Jean-Charles, J'ai trouvé hier la même cause et les mêmes raisons que tu indiques sur le thread suivant : https://community.sophos.com/utm-firewall/f/vpn-site-to-site-and-remote-access/84759/t-mobile-nat64-and-openvpn Je te confirme que c'est bel et bien l'origine du soucis. Par contre j'ai du mal à comprendre ce qui pose soucis à OpenVPN dés lors qu'il obtient un literal IPv6. Un soucis de route ? J'ai appliqué les directives push-remove route-ipv6 et push-remove ifconfig-ipv6 et ça fonctionne sans soucis. Jérôme De : JCLB Envoyé : mercredi 30 décembre 2020 11:37 À : Jérôme Quintard Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] OpenVPN / Orange et 4G Bonjour, Les opérateurs mobiles font la même chose que sur le fixe. Ils déploient IPv6 et cherchent à retirer rapidement IPv4 du réseau interne afin de ne pas tourner en dual stack partout. La technique retenue est logiquement celle du DNS64+NAT64, elle est implémentée par Google et Apple depuis plusieurs années dans les OS mobiles. Lorsqu'une application joint un serveur IPv4 only, le DNS de l'opérateur crée à la volée un enregistrement sous la forme d'un WKP (well known prefixe IPv6 64:ff9b::/96 + l'IPv4 en hexadécimal). L'opérateur peut aussi utiliser un Network Specific Prefixe mais il faut alors un moyen de le configurer sur les clients, une RFC rend cela possible via PCP (le remplaçant de PMP qui fournit uPnP) et c'est donc plutôt destiné aux boxs domestiques. Par exemple si ton serveur est en IP 1.1.1.1, le DNS va retourner un 64:ff9b::101:101 Un équipement de NAT64 stateful va ensuite mapper ton paquet avec l'IPv4 correspondante et un port aléatoire. Chez Orange cette fonctionnalité est portée par des châssis SLB F5. Enfin, lorsque la connexion du smartphone est partagée en wifi, IPv4 est supporté via du XLAT464. Le téléphone traite donc la partie cliente de la double translation (CLAT) pour passer de v4 à v6, puis le NAT64 chez l'opérateur le retour à v4 sur internet. Android fournit également XLAT464 aux applications qui utiliseraient une adresse IPv4 en littéral, sans requête DNS donc. De son côté, Apple étant maitre plus en profondeur des middlewares utilisés, il gère de son côté la transformation d'une adresse IPv4 saisie en littéral en une IPv6 avec le préfixe WKP. C'est pour cette raison qu'Apple force depuis 2016 les app à supporter IPv6 au sens code. Les fonctions utilisées doivent permettre d'ouvrir un socket en v6 comme en v4. J'exposais ça ici https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Flafibre.info%2Fipv6%2Fipv6-iphonex%2Fmsg689495%2F%23msg689495data=04%7C01%7C%7C9dbf4e972e4845d0cb0f08d8acaef201%7C84df9e7fe9f640afb435%7C1%7C0%7C637449214686761908%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=8QCoOXMW%2Bd%2BbD7saF5jF23tENFG75c4CaqLOBDHawVY%3Dreserved=0 Cette RFC d'aide au déploiement peut aider à la compréhension https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fwww.rfc-editor.org%2Frfc%2Frfc8683.htmldata=04%7C01%7C%7C9dbf4e972e4845d0cb0f08d8acaef201%7C84df9e7fe9f640afb435%7C1%7C0%7C637449214686761908%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=8Qdwjj1tN2yodTac2FOcdQTG6uuHqQYbEsJUkn4cOIo%3Dreserved=0 Le revers est que cette technique force à utiliser le DNS opérateur, à ma connaissance il n'est pas encore possible de spécifier soi-même un serveur DNS et traiter le DNS64 avec une configuration côté smartphone. Si vous souhaitez tester l'implémentation sur votre terminal, vous pouvez ouvrir une page web TLS avec l'adresse littérale et voir ce qui se passe. Ouvrez https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2F1.1.1.1%2Fdata=04%7C01%7C%7C9dbf4e972e4845d0cb0f08d8acaef201%7C84df9e7fe9f640afb435%7C1%7C0%7C637449214686761908%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=Q6lNgDd%2ByyG4uOs97kMr2%2Bg8WqoDTkafWG11Xoj%2BOhI%3Dreserved=0 , aucun soucis Ouvrez https://emea01.safelinks.protection.outlook.com/?url=https%3A%2F%2F%5B64%3Aff9b%3A%3A101%3A101%5D%2Fdata=04%7C01%7C%7C9dbf4e972e4845d0cb0f08d8acaef201%7C84df9e7fe9f640afb435%7C1%7C0%7C637449214686761908%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=CpBbt%2BeFyWYXC3jHu6mP5o7AGC1rZKMPZMzAPotXxl0%3Dreserved=0 vous recevrez une erreur de certificat, sauf sous Safari avec IOS13 où les librairies Apple truandent la conversion jusqu'au contrôle du certificat, et modifient à la volée les adresses pour assurer la compatibilité avec NAT64. Sous IOS14 ça semble avoir disparu. Une en-tête IPv6 étant plus longue, et IPv6 ne fragmentant que sur les extrémités, il en résulte qu'un NAT64 mal configuré produira des paquets IPv6 trop gros... Tu indiques que ça marche en
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Bonjour, Les opérateurs mobiles font la même chose que sur le fixe. Ils déploient IPv6 et cherchent à retirer rapidement IPv4 du réseau interne afin de ne pas tourner en dual stack partout. La technique retenue est logiquement celle du DNS64+NAT64, elle est implémentée par Google et Apple depuis plusieurs années dans les OS mobiles. Lorsqu'une application joint un serveur IPv4 only, le DNS de l'opérateur crée à la volée un enregistrement sous la forme d'un WKP (well known prefixe IPv6 64:ff9b::/96 + l'IPv4 en hexadécimal). L'opérateur peut aussi utiliser un Network Specific Prefixe mais il faut alors un moyen de le configurer sur les clients, une RFC rend cela possible via PCP (le remplaçant de PMP qui fournit uPnP) et c'est donc plutôt destiné aux boxs domestiques. Par exemple si ton serveur est en IP 1.1.1.1, le DNS va retourner un 64:ff9b::101:101 Un équipement de NAT64 stateful va ensuite mapper ton paquet avec l'IPv4 correspondante et un port aléatoire. Chez Orange cette fonctionnalité est portée par des châssis SLB F5. Enfin, lorsque la connexion du smartphone est partagée en wifi, IPv4 est supporté via du XLAT464. Le téléphone traite donc la partie cliente de la double translation (CLAT) pour passer de v4 à v6, puis le NAT64 chez l'opérateur le retour à v4 sur internet. Android fournit également XLAT464 aux applications qui utiliseraient une adresse IPv4 en littéral, sans requête DNS donc. De son côté, Apple étant maitre plus en profondeur des middlewares utilisés, il gère de son côté la transformation d'une adresse IPv4 saisie en littéral en une IPv6 avec le préfixe WKP. C'est pour cette raison qu'Apple force depuis 2016 les app à supporter IPv6 au sens code. Les fonctions utilisées doivent permettre d'ouvrir un socket en v6 comme en v4. J'exposais ça ici https://lafibre.info/ipv6/ipv6-iphonex/msg689495/#msg689495 Cette RFC d'aide au déploiement peut aider à la compréhension https://www.rfc-editor.org/rfc/rfc8683.html Le revers est que cette technique force à utiliser le DNS opérateur, à ma connaissance il n'est pas encore possible de spécifier soi-même un serveur DNS et traiter le DNS64 avec une configuration côté smartphone. Si vous souhaitez tester l'implémentation sur votre terminal, vous pouvez ouvrir une page web TLS avec l'adresse littérale et voir ce qui se passe. Ouvrez https://1.1.1.1/ , aucun soucis Ouvrez https://[64:ff9b::101:101]/ vous recevrez une erreur de certificat, sauf sous Safari avec IOS13 où les librairies Apple truandent la conversion jusqu'au contrôle du certificat, et modifient à la volée les adresses pour assurer la compatibilité avec NAT64. Sous IOS14 ça semble avoir disparu. Une en-tête IPv6 étant plus longue, et IPv6 ne fragmentant que sur les extrémités, il en résulte qu'un NAT64 mal configuré produira des paquets IPv6 trop gros... Tu indiques que ça marche en partage de connexion, et donc en XLAT464, peux-tu vérifier que pour un paquet émis au MTU max sur le laptop, le serveur reçoit 1 ou 2 paquets avec fragmentation ? En dehors de ça NAT64 ne pose problème que quand l'application effectue un contrôle de l'adresse littérale. Tu peux créer une conf OpenVPN "WKP" où tu spécifies l'IPv6 WKP générée avec l'IPv4 de ton serveur au lieu de son FQDN, ça permet généralement de démonter ou non ce genre de comportement de validation littérale. Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Jérôme Quintard Envoyé : mercredi 30 décembre 2020 01:39 À : Jérôme Quintard Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] OpenVPN / Orange et 4G Bon... on a avancé dans la compréhension du soucis et il n'est pas lié à la configuration d'OpenVPN. Pour faire simple : Android + 4G orange -> le client OpenVPN obtient pour adresse publique du serveur une IPv4 Android + 4G SFR -> IPv4 Apple + 4G SFR -> IPv4 Apple + 4G Orange -> IPv6 Pourquoi une IPv6 aucune explication d'autant qu'elle inexistante sur le net... Que ce soit OpenVPN, la VM, l'EIP associée c'est IPv4 uniquement... Côté client forcé la conf en IPv4 n'a aucun effet. Orange ne trouve, pour le moment, aucune origine ce lien avec les terminaux Apple. Dans tous les cas, aucun rapport avec notre conf. Une idée de votre côté ? Ou une modification de la conf du client pour "contourner" ? Jérôme De : frnog-requ...@frnog.org de la part de Jérôme Quintard Envoyé : mardi 22 décembre 2020 14:44 À : Baptiste Chappe ; Benoît Grangé Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] OpenVPN / Orange et 4G Bah non MTU changé rien y fait. Une autre idée ?? De : Baptiste Chappe Envoyé : lundi 21 décembre 2020 15:05 À : Benoît Grangé Cc : Jérôme Quintard ; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Hello, Je pense aussi à un sujet de MTU Je ne compte plus les réseaux "pré
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Bon... on a avancé dans la compréhension du soucis et il n'est pas lié à la configuration d'OpenVPN. Pour faire simple : Android + 4G orange -> le client OpenVPN obtient pour adresse publique du serveur une IPv4 Android + 4G SFR -> IPv4 Apple + 4G SFR -> IPv4 Apple + 4G Orange -> IPv6 Pourquoi une IPv6 aucune explication d'autant qu'elle inexistante sur le net... Que ce soit OpenVPN, la VM, l'EIP associée c'est IPv4 uniquement... Côté client forcé la conf en IPv4 n'a aucun effet. Orange ne trouve, pour le moment, aucune origine ce lien avec les terminaux Apple. Dans tous les cas, aucun rapport avec notre conf. Une idée de votre côté ? Ou une modification de la conf du client pour "contourner" ? Jérôme De : frnog-requ...@frnog.org de la part de Jérôme Quintard Envoyé : mardi 22 décembre 2020 14:44 À : Baptiste Chappe ; Benoît Grangé Cc : frnog-t...@frnog.org Objet : RE: [FRnOG] [TECH] OpenVPN / Orange et 4G Bah non MTU changé rien y fait. Une autre idée ?? De : Baptiste Chappe Envoyé : lundi 21 décembre 2020 15:05 À : Benoît Grangé Cc : Jérôme Quintard ; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Hello, Je pense aussi à un sujet de MTU Je ne compte plus les réseaux "présta/marketing" et les services de TPE bancaire sensible à la MTU (à base de openvpn pour sécuriser le fllux """"CB""""). Consigne => Passez votre OpenVPN à 1450/1430. Baptiste, Baptiste, Le lun. 21 déc. 2020 à 14:09, Benoît Grangé mailto:benoit.gra...@gmail.com>> a écrit : Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par tomber en marche ^h ^h ^h panne dans certains cas. Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard mailto:jquint...@outlook.com>> a écrit : > Salut à tous, > > Je sèche sur l'origine d'un soucis transitoire... > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > nos réseaux via une VM. > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). > > Les requêtes partent vers les différents services que l'on test (ex. web), > mais les réponses associées sont quasi inexistantes. On arrive par exemple > à avoir une page 404, mais dès que la réponse est trop conséquente, aucune > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en > a pas. > > Par contre si l'on connecte une machine en partage de connexion avec un > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client > OpenVPN. > > Quelqu'un aurait des idées ? > > Jérôme > > --- > Liste de diffusion du FRnOG > https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7C%7C54869b4fd85b4319fe3408d8a67fef05%7C84df9e7fe9f640afb435%7C1%7C0%7C637442415685237654%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=Jpna7a6tBK%2F5LYdlJ2Kld6hYIZ9R2wzOT60%2BqapuCr4%3Dreserved=0<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7C%7C54869b4fd85b4319fe3408d8a67fef05%7C84df9e7fe9f640afb435%7C1%7C0%7C637442415685237654%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=Jpna7a6tBK%2F5LYdlJ2Kld6hYIZ9R2wzOT60%2BqapuCr4%3Dreserved=0> > -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7C%7C54869b4fd85b4319fe3408d8a67fef05%7C84df9e7fe9f640afb435%7C1%7C0%7C637442415685237654%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=Jpna7a6tBK%2F5LYdlJ2Kld6hYIZ9R2wzOT60%2BqapuCr4%3Dreserved=0<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=04%7C01%7C%7C54869b4fd85b4319fe3408d8a67fef05%7C84df9e7fe9f640afb435%7C1%7C0%7C637442415685237654%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000sdata=Jpna7a6tBK%2F5LYdlJ2Kld6hYIZ9R2wzOT60%2BqapuCr4%3Dreserved=0> --- Liste de diffusion du FRnOG https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Bah non MTU changé rien y fait. Une autre idée ?? De : Baptiste Chappe Envoyé : lundi 21 décembre 2020 15:05 À : Benoît Grangé Cc : Jérôme Quintard ; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Hello, Je pense aussi à un sujet de MTU Je ne compte plus les réseaux "présta/marketing" et les services de TPE bancaire sensible à la MTU (à base de openvpn pour sécuriser le fllux """"CB""""). Consigne => Passez votre OpenVPN à 1450/1430. Baptiste, Baptiste, Le lun. 21 déc. 2020 à 14:09, Benoît Grangé mailto:benoit.gra...@gmail.com>> a écrit : Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par tomber en marche ^h ^h ^h panne dans certains cas. Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard mailto:jquint...@outlook.com>> a écrit : > Salut à tous, > > Je sèche sur l'origine d'un soucis transitoire... > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > nos réseaux via une VM. > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). > > Les requêtes partent vers les différents services que l'on test (ex. web), > mais les réponses associées sont quasi inexistantes. On arrive par exemple > à avoir une page 404, mais dès que la réponse est trop conséquente, aucune > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en > a pas. > > Par contre si l'on connecte une machine en partage de connexion avec un > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client > OpenVPN. > > Quelqu'un aurait des idées ? > > Jérôme > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7Cc9e4e1b0e6204226284408d8a5b98cba%7C84df9e7fe9f640afb435%7C1%7C0%7C637441563630951750%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=OV3KheHmfEO%2Fld7jJjXJsjOWiHO5cbkoV3giNPOo0VE%3D=0> > -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7Cc9e4e1b0e6204226284408d8a5b98cba%7C84df9e7fe9f640afb435%7C1%7C0%7C637441563630961709%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=Q8qM%2BzVlSHMnS2XsWuKuFzaclc75KW8N8hGSfKb36%2Fk%3D=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Bonjour Je suis surpris, quand on a les moyens de mettre un BVPN Orange, d’exposer un simple OpenVPN pour accéder à son réseau... Une plateforme type PulseSecure serait quand même bien mieux (MFA, Hostchecker, rôles). > Le 21 déc. 2020 à 19:05, Anthony Frnog a écrit : > > Le client openvpn est en tcp ou udp. > Pour ma part je preconise udp > > Le lun. 21 déc. 2020 14:10, Benoît Grangé a > écrit : > >> Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par >> tomber en marche ^h ^h ^h panne dans certains cas. >>> Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard a >>> écrit : >>> Salut à tous, >>> Je sèche sur l'origine d'un soucis transitoire... >>> Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous >>> connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est >> installé >>> sur leur solution flexible engine qui fait un bridge entre l'extérieur et >>> nos réseaux via une VM. >>> Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce >>> soit en ethernet ou en WIFI l'ensemble fonctionne correctement. >>> En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil >> client, >>> depuis un mobile ou une tablette, que ce soit un iphone ou un android, de >>> se connecter à certains services (que ce soit du web, un flux RTP, du >> CIFS). >>> Les requêtes partent vers les différents services que l'on test (ex. >> web), >>> mais les réponses associées sont quasi inexistantes. On arrive par >> exemple >>> à avoir une page 404, mais dès que la réponse est trop conséquente, >> aucune >>> donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il >> y'en >>> a pas. >>> Par contre si l'on connecte une machine en partage de connexion avec un >>> mobile en 4G. La machine, n'a aucun soucis pour se connecter via son >> client >>> OpenVPN. >>> Quelqu'un aurait des idées ? >>> Jérôme >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> -- >> *Benoît Grangé* >> Mobile: 06 58 58 05 59 >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Bonjour Je suis surpris, quand on a les moyens de mettre un BVPN Orange, d’exposer un simple OpenVPN pour accéder à son réseau... Une plateforme type PulseSecure serait quand même bien mieux (MFA, Hostchecker, rôles). > Le 21 déc. 2020 à 19:05, Anthony Frnog a écrit : > > Le client openvpn est en tcp ou udp. > Pour ma part je preconise udp > > Le lun. 21 déc. 2020 14:10, Benoît Grangé a > écrit : > >> Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par >> tomber en marche ^h ^h ^h panne dans certains cas. >> >> >>> Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard a >>> écrit : >>> >>> Salut à tous, >>> >>> Je sèche sur l'origine d'un soucis transitoire... >>> >>> Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous >>> connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est >> installé >>> sur leur solution flexible engine qui fait un bridge entre l'extérieur et >>> nos réseaux via une VM. >>> >>> Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce >>> soit en ethernet ou en WIFI l'ensemble fonctionne correctement. >>> >>> En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil >> client, >>> depuis un mobile ou une tablette, que ce soit un iphone ou un android, de >>> se connecter à certains services (que ce soit du web, un flux RTP, du >> CIFS). >>> >>> Les requêtes partent vers les différents services que l'on test (ex. >> web), >>> mais les réponses associées sont quasi inexistantes. On arrive par >> exemple >>> à avoir une page 404, mais dès que la réponse est trop conséquente, >> aucune >>> donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il >> y'en >>> a pas. >>> >>> Par contre si l'on connecte une machine en partage de connexion avec un >>> mobile en 4G. La machine, n'a aucun soucis pour se connecter via son >> client >>> OpenVPN. >>> >>> Quelqu'un aurait des idées ? >>> >>> Jérôme >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> >> -- >> *Benoît Grangé* >> Mobile: 06 58 58 05 59 >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Pas idiot... je vais tester mais ça expliquerait pas pourquoi ça passe de temps en temps... De : Benoît Grangé Envoyé : lundi 21 décembre 2020 14:07 À : Jérôme Quintard Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par tomber en marche ^h ^h ^h panne dans certains cas. Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard mailto:jquint...@outlook.com>> a écrit : Salut à tous, Je sèche sur l'origine d'un soucis transitoire... Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé sur leur solution flexible engine qui fait un bridge entre l'extérieur et nos réseaux via une VM. Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce soit en ethernet ou en WIFI l'ensemble fonctionne correctement. En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, depuis un mobile ou une tablette, que ce soit un iphone ou un android, de se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). Les requêtes partent vers les différents services que l'on test (ex. web), mais les réponses associées sont quasi inexistantes. On arrive par exemple à avoir une page 404, mais dès que la réponse est trop conséquente, aucune donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en a pas. Par contre si l'on connecte une machine en partage de connexion avec un mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client OpenVPN. Quelqu'un aurait des idées ? Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7C214a0977f0a24d81eac208d8a5b171ed%7C84df9e7fe9f640afb435%7C1%7C0%7C637441528819083688%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=JlePIJsgDQfIWnAXuAiN9wDwrJcnOklvCwSyVNCIHIw%3D=0> -- Benoît Grangé Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Nous il est en UDP De : Anthony Frnog Envoyé : lundi 21 décembre 2020 19:04 À : Benoît Grangé Cc : Jérôme Quintard ; frnog-tech Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Le client openvpn est en tcp ou udp. Pour ma part je preconise udp Le lun. 21 déc. 2020 14:10, Benoît Grangé mailto:benoit.gra...@gmail.com>> a écrit : Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par tomber en marche ^h ^h ^h panne dans certains cas. Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard mailto:jquint...@outlook.com>> a écrit : > Salut à tous, > > Je sèche sur l'origine d'un soucis transitoire... > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > nos réseaux via une VM. > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). > > Les requêtes partent vers les différents services que l'on test (ex. web), > mais les réponses associées sont quasi inexistantes. On arrive par exemple > à avoir une page 404, mais dès que la réponse est trop conséquente, aucune > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en > a pas. > > Par contre si l'on connecte une machine en partage de connexion avec un > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client > OpenVPN. > > Quelqu'un aurait des idées ? > > Jérôme > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7C850d57b5d1eb44a9bfc108d8a5dadd2a%7C84df9e7fe9f640afb435%7C1%7C0%7C637441706714317997%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=gUCaLeT5dwxLSmMdtM3UIzpRCVSLs68NbPGxQ7ce8lk%3D=0> > -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7C850d57b5d1eb44a9bfc108d8a5dadd2a%7C84df9e7fe9f640afb435%7C1%7C0%7C637441706714327953%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=3RxdfLL2DCjVJ3wvVHhqGAnsC42EZVnfC%2B7dVdZlh5o%3D=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] OpenVPN / Orange et 4G
Non d'une part parce qu'il y a nos DNS dans la conf (et on fait appel qu'à des ressources locales, le traffic vers l'internet ne passe pas via le VPN) mais d'autre part le soucis est identique via l'usage d'une IP. De : Sébastien Lesimple Envoyé : lundi 21 décembre 2020 12:27 À : Jérôme Quintard ; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] OpenVPN / Orange et 4G Salut! C'est pas ton client qui résoudrait en utilisant les DNS de l'opérateur mobile au lieu de celui que tu utilises normalement? On a eu ce genre de blague sur le client "Trotinette" il y a deux ou trois ans... Seb. Le 21/12/2020 à 12:19, Jérôme Quintard a écrit : Salut à tous, Je sèche sur l'origine d'un soucis transitoire... Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé sur leur solution flexible engine qui fait un bridge entre l'extérieur et nos réseaux via une VM. Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce soit en ethernet ou en WIFI l'ensemble fonctionne correctement. En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, depuis un mobile ou une tablette, que ce soit un iphone ou un android, de se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). Les requêtes partent vers les différents services que l'on test (ex. web), mais les réponses associées sont quasi inexistantes. On arrive par exemple à avoir une page 404, mais dès que la réponse est trop conséquente, aucune donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en a pas. Par contre si l'on connecte une machine en partage de connexion avec un mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client OpenVPN. Quelqu'un aurait des idées ? Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/<https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=04%7C01%7C%7Ca2c2c368d1724ebff52a08d8a5a36bc4%7C84df9e7fe9f640afb435%7C1%7C0%7C637441468584388018%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000=So9EizRDhrwvYvQRDgADrcSRBA0sKRY6ronG7I8vKwM%3D=0> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Le client openvpn est en tcp ou udp. Pour ma part je preconise udp Le lun. 21 déc. 2020 14:10, Benoît Grangé a écrit : > Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par > tomber en marche ^h ^h ^h panne dans certains cas. > > > Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard a > écrit : > > > Salut à tous, > > > > Je sèche sur l'origine d'un soucis transitoire... > > > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est > installé > > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > > nos réseaux via une VM. > > > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil > client, > > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > > se connecter à certains services (que ce soit du web, un flux RTP, du > CIFS). > > > > Les requêtes partent vers les différents services que l'on test (ex. > web), > > mais les réponses associées sont quasi inexistantes. On arrive par > exemple > > à avoir une page 404, mais dès que la réponse est trop conséquente, > aucune > > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il > y'en > > a pas. > > > > Par contre si l'on connecte une machine en partage de connexion avec un > > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son > client > > OpenVPN. > > > > Quelqu'un aurait des idées ? > > > > Jérôme > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Le 21/12/2020 à 15:05, Baptiste Chappe a écrit : > Hello, > > Je pense aussi à un sujet de MTU Je ne compte plus les réseaux > "présta/marketing" et les services de TPE bancaire sensible à la MTU (à > base de openvpn pour sécuriser le fllux CB). Consigne => Passez > votre OpenVPN à 1450/1430. > > Baptiste, et apres, tu tombe sur les RSSI qui décident de zapper ICMP parce que "c'est dangereux"... conséquence: "je comprend pas, le PMTUD ne marche pas" --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Hello, Je pense aussi à un sujet de MTU Je ne compte plus les réseaux "présta/marketing" et les services de TPE bancaire sensible à la MTU (à base de openvpn pour sécuriser le fllux CB). Consigne => Passez votre OpenVPN à 1450/1430. Baptiste, Baptiste, Le lun. 21 déc. 2020 à 14:09, Benoît Grangé a écrit : > Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par > tomber en marche ^h ^h ^h panne dans certains cas. > > > Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard a > écrit : > > > Salut à tous, > > > > Je sèche sur l'origine d'un soucis transitoire... > > > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est > installé > > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > > nos réseaux via une VM. > > > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil > client, > > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > > se connecter à certains services (que ce soit du web, un flux RTP, du > CIFS). > > > > Les requêtes partent vers les différents services que l'on test (ex. > web), > > mais les réponses associées sont quasi inexistantes. On arrive par > exemple > > à avoir une page 404, mais dès que la réponse est trop conséquente, > aucune > > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il > y'en > > a pas. > > > > Par contre si l'on connecte une machine en partage de connexion avec un > > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son > client > > OpenVPN. > > > > Quelqu'un aurait des idées ? > > > > Jérôme > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > -- > *Benoît Grangé* > Mobile: 06 58 58 05 59 > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Ça me fait penser à un problème de MTU ou Path MTU discovery qui finit par tomber en marche ^h ^h ^h panne dans certains cas. Le lun. 21 déc. 2020 à 12:22, Jérôme Quintard a écrit : > Salut à tous, > > Je sèche sur l'origine d'un soucis transitoire... > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé > sur leur solution flexible engine qui fait un bridge entre l'extérieur et > nos réseaux via une VM. > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce > soit en ethernet ou en WIFI l'ensemble fonctionne correctement. > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de > se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). > > Les requêtes partent vers les différents services que l'on test (ex. web), > mais les réponses associées sont quasi inexistantes. On arrive par exemple > à avoir une page 404, mais dès que la réponse est trop conséquente, aucune > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en > a pas. > > Par contre si l'on connecte une machine en partage de connexion avec un > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client > OpenVPN. > > Quelqu'un aurait des idées ? > > Jérôme > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- *Benoît Grangé* Mobile: 06 58 58 05 59 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] OpenVPN / Orange et 4G
Salut! C'est pas ton client qui résoudrait en utilisant les DNS de l'opérateur mobile au lieu de celui que tu utilises normalement? On a eu ce genre de blague sur le client "Trotinette" il y a deux ou trois ans... Seb. Le 21/12/2020 à 12:19, Jérôme Quintard a écrit : > Salut à tous, > > Je sèche sur l'origine d'un soucis transitoire... > > Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous > connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé > sur leur solution flexible engine qui fait un bridge entre l'extérieur et nos > réseaux via une VM. > > Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce soit > en ethernet ou en WIFI l'ensemble fonctionne correctement. > > En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, > depuis un mobile ou une tablette, que ce soit un iphone ou un android, de se > connecter à certains services (que ce soit du web, un flux RTP, du CIFS). > > Les requêtes partent vers les différents services que l'on test (ex. web), > mais les réponses associées sont quasi inexistantes. On arrive par exemple à > avoir une page 404, mais dès que la réponse est trop conséquente, aucune > donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en a > pas. > > Par contre si l'on connecte une machine en partage de connexion avec un > mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client > OpenVPN. > > Quelqu'un aurait des idées ? > > Jérôme > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] OpenVPN / Orange et 4G
Salut à tous, Je sèche sur l'origine d'un soucis transitoire... Nos sites sont équipés d'un VPN MPLS d'Orange (BVPN) sur lequel nous nous connectons depuis l'extérieur via OpenVPN. Le serveur OpenVPN est installé sur leur solution flexible engine qui fait un bridge entre l'extérieur et nos réseaux via une VM. Lorsque l'on se connecte, sur une machine, via le client OpenVPN que ce soit en ethernet ou en WIFI l'ensemble fonctionne correctement. En 4G, si l'on a pas un RSSI très haut, impossible, avec le profil client, depuis un mobile ou une tablette, que ce soit un iphone ou un android, de se connecter à certains services (que ce soit du web, un flux RTP, du CIFS). Les requêtes partent vers les différents services que l'on test (ex. web), mais les réponses associées sont quasi inexistantes. On arrive par exemple à avoir une page 404, mais dès que la réponse est trop conséquente, aucune donnée n'arrive. Comme si de la QoS réduisait le débit... alors qu'il y'en a pas. Par contre si l'on connecte une machine en partage de connexion avec un mobile en 4G. La machine, n'a aucun soucis pour se connecter via son client OpenVPN. Quelqu'un aurait des idées ? Jérôme --- Liste de diffusion du FRnOG http://www.frnog.org/
