Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour Le 7 avril 2017 14:46:01 GMT+02:00, "Jérôme BERTHIER" <j...@laposte.net> a écrit : >Bonjour, > >Le 07/04/2017 à 14:08, Buzzer a écrit : >> Bonjour, >> >> >> Je fais parti d'un service réseau d'une banque, qui a un grand nombre >d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect >sur des Cisco ASA en mode dtls. >> >> >> Nous avons constaté que nos utilisateur clients chez Free en fibre >optique et en zone moyennement dense n'arrivent pas à monter le vpn. > >Si DTLS ne fonctionne pas, le client est sensé utiliser la session >TCP443 qui est initiée au départ. >Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn". > Le problème justement ce n'est pas que dtls ne marche pas, mais que juste une partie de la négociation echoue. Le client reste donc bloqué sur dtls en boucle. >> >> >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >entre les utilisateurs. >> >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >paquet sur l'infrastructure empêche cette négociation d'aboutir. > >Un cas "similaire" semble explicitement décrit : >http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116881-technote-anyconnect-00.html > >Bon courage ;-) Merci je n'avais pas trouvé celui là. -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Nous avons déjà testé avec certaine personne de l'IT possédant un firewall. L'interdiction de l'udp 443 fait tomber en défaut sur TLS (tcp 443) qui lui ne pose pas de problème, puisque le tcp gère la négociation des taille (tcp mss) et les pertes de paquets. Cependant cette solution n'est pas optimale pour la TOIP. (UDP Dans un tunnel tcp) Le 7 avril 2017 14:32:28 GMT+02:00, Dominique Rousseau <d.rouss...@nnx.com> a écrit : >Le Fri, Apr 07, 2017 at 02:08:37PM +0200, Buzzer [buz...@free.fr] a >écrit: >> Bonjour, >> >> Je fais parti d'un service réseau d'une banque, qui a un grand nombre >> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect >> sur des Cisco ASA en mode dtls. > >Je connaissais pas, mais Goggle semble dire que c'est de l'UDP sur le >port 443... > >> Nous avons constaté que nos utilisateur clients chez Free en fibre >> optique et en zone moyennement dense n'arrivent pas à monter le vpn. >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. > >En ADSL aussi. >... et du coup, DTLS, ca presume peut-etre des choses sur le port >source, qui se retrouverait (mal) re-mappé du fait de l'ip partagée. > >Tu n'as pas moyen d'utiliser un autre mode que DTLS ? > > > >-- >Dominique Rousseau >Neuronnexion, Prestataire Internet & Intranet >21 rue Frédéric Petit - 8 Amiens >tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - >http://www.neuronnexion.coop > > >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense
Le 7 avril 2017 14:14:43 GMT+02:00, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> a écrit : >On Fri, Apr 7, 2017, at 14:08, Buzzer wrote: >> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 >> entre les utilisateurs. >> >> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de >> paquet sur l'infrastructure empêche cette négociation d'aboutir. >> >> La solution fonctionnelle au problème consiste, pour nos >utilisateurs, à >> demander une vraie ipv4 (full-stack) > >Et en IPv6 ca donne quoi ? Nous n'avons pas d'ipv6 sur notre accès. Mais je pense effectivement que ce serait la solution. Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Fibre FREE en zone moyennement dense
Bonjour, Je fais parti d'un service réseau d'une banque, qui a un grand nombre d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur des Cisco ASA en mode dtls. Nous avons constaté que nos utilisateur clients chez Free en fibre optique et en zone moyennement dense n'arrivent pas à monter le vpn. Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 entre les utilisateurs. Le symptôme est que le vpn tente de négocié un mtu, mais la perte de paquet sur l'infrastructure empêche cette négociation d'aboutir. La solution fonctionnelle au problème consiste, pour nos utilisateurs, à demander une vraie ipv4 (full-stack) J'ai donc plusieurs questions à une éventuelle personne de Free lisant la liste : Ce problème est-il connu ? L'infrastructure partage d'ipv4 et ipv4 full-stack sont-elles distinctes? Comment fait-on pour joindre FREE dans ce genre de cas, sachant que tous les numéros que j'ai essayé, finissent toujours pareil : quel est votre numéro d'abonné ? Merci de votre aide -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
