subject:"Re\: \[FRnOG\] \[TECH\] Fibre FREE en zone moyennement dense"

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Hugues VOITURIER

Ils ont quand même mis des trucs en place pour supporter PPTP/GRE et IPSec dans 
le 4Rd, et selon Rani (Sur lafibre) c'était pas gagné. 

Sent from my iPhone

> On 7 Apr 2017, at 15:56, David Ponzone  wrote:
> 
> Non mais tout CGNAT a ses contraintes, et Free qui a des millions de clients 
> derrière n’ira pas chercher pourquoi son CGNAT gêne des clients pro avec un 
> client VPN précis.
> Déjà qu’ils n’ont rien fait (à ma connaissance) pour les clients qui ont une 
> Playstation4, qui sont certainement nombreux.
> Je ne leur jette pas la pierre, ils sont sur un modèle où la prise en compte 
> des problèmes de Pierre, Paul ou Jacques n’est pas possible.
> 
>> Le 7 avr. 2017 à 15:16, Buzzer  a écrit :
>> 
>> Nous n'avons pas d'ipv6 sur notre accès.
>> Mais je pense effectivement que ce serait la solution.
>> 
>> Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas 
>> de raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas
>> -- 
>> Christophe
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet David Ponzone

Non mais tout CGNAT a ses contraintes, et Free qui a des millions de clients 
derrière n’ira pas chercher pourquoi son CGNAT gêne des clients pro avec un 
client VPN précis.
Déjà qu’ils n’ont rien fait (à ma connaissance) pour les clients qui ont une 
Playstation4, qui sont certainement nombreux.
Je ne leur jette pas la pierre, ils sont sur un modèle où la prise en compte 
des problèmes de Pierre, Paul ou Jacques n’est pas possible.

> Le 7 avr. 2017 à 15:16, Buzzer  a écrit :
> 
> Nous n'avons pas d'ipv6 sur notre accès.
> Mais je pense effectivement que ce serait la solution.
> 
> Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de 
> raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas
> -- 
> Christophe
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Buzzer

Bonjour

Le 7 avril 2017 14:46:01 GMT+02:00, "Jérôme BERTHIER"  a 
écrit :
>Bonjour,
>
>Le 07/04/2017 à 14:08, Buzzer a écrit :
>> Bonjour,
>>
>>
>> Je fais parti d'un service réseau d'une banque, qui a un grand nombre
>d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect
>sur des Cisco ASA en mode dtls.
>>
>>
>> Nous avons constaté que nos utilisateur clients chez Free en fibre
>optique et en zone moyennement dense n'arrivent pas à monter le vpn.
>
>Si DTLS ne fonctionne pas, le client est sensé utiliser la session 
>TCP443 qui est initiée au départ.
>Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn".
>

Le problème justement ce n'est pas que dtls ne marche pas, mais que juste une 
partie de la négociation echoue. Le client reste donc bloqué sur dtls en boucle.

>>
>>
>> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
>entre les utilisateurs.
>>
>>
>> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de
>paquet sur l'infrastructure empêche cette négociation d'aboutir.
>
>Un cas "similaire" semble explicitement décrit :
>http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116881-technote-anyconnect-00.html
>
>Bon courage ;-)

Merci je n'avais pas trouvé celui là.
-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Xavier Beaudouin

Hello,

>>Et en IPv6 ca donne quoi ?
> 
> Nous n'avons pas d'ipv6 sur notre accès.
> Mais je pense effectivement que ce serait la solution.

Surtout en 2017...

> Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de
> raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas

Après y a toujours la demande de passage en full stack qui marche... Ou si tu 
veux pas demander a te collègues de passer en ipv6 et/ou en full stack de 
passer via un rebond OpenVPN qui LUI passe a travers le CGN en question.

A noter que... les CGN vont devenir de plus en plus courant... il serait 
intéressant de passer en ipv6 :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Buzzer

Nous avons déjà testé avec certaine personne de l'IT possédant un firewall.
L'interdiction de l'udp 443 fait tomber en défaut sur TLS (tcp 443) qui lui ne 
pose pas de problème, puisque le tcp gère la négociation des taille (tcp mss) 
et les pertes de paquets.

Cependant cette solution n'est pas optimale pour la TOIP. (UDP Dans un tunnel 
tcp)

Le 7 avril 2017 14:32:28 GMT+02:00, Dominique Rousseau  a 
écrit :
>Le Fri, Apr 07, 2017 at 02:08:37PM +0200, Buzzer [buz...@free.fr] a
>écrit:
>> Bonjour,
>> 
>> Je fais parti d'un service réseau d'une banque, qui a un grand nombre
>> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect
>> sur des Cisco ASA en mode dtls.
>
>Je connaissais pas, mais Goggle semble dire que c'est de l'UDP sur le
>port 443...
>
>> Nous avons constaté que nos utilisateur clients chez Free en fibre
>> optique et en zone moyennement dense n'arrivent pas à monter le vpn.
>> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
>> entre les utilisateurs.
>
>En ADSL aussi.
>... et du coup, DTLS, ca presume peut-etre des choses sur le port
>source, qui se retrouverait (mal) re-mappé du fait de l'ip partagée.
>
>Tu n'as pas moyen d'utiliser un autre mode que DTLS ?
>
>
>
>-- 
>Dominique Rousseau 
>Neuronnexion, Prestataire Internet & Intranet
>21 rue Frédéric Petit - 8 Amiens
>tel: 03 22 71 61 90 - fax: 03 22 71 61 99 -
>http://www.neuronnexion.coop
>
>
>---
>Liste de diffusion du FRnOG
>http://www.frnog.org/

-- 
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma 
brièveté.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Joël DEREFINKO

"IPv6 serait un contournement"... Oula tu va t'attirer des foudres ici 
Heureusement qu'on est Trolldi !

Joël 

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Buzzer
Envoyé : vendredi 7 avril 2017 15:17
À : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense



Le 7 avril 2017 14:14:43 GMT+02:00, Radu-Adrian Feurdean 
<fr...@radu-adrian.feurdean.net> a écrit :
>On Fri, Apr 7, 2017, at 14:08, Buzzer wrote:
>> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
>> entre les utilisateurs.
>> 
>> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de
>> paquet sur l'infrastructure empêche cette négociation d'aboutir.
>> 
>> La solution fonctionnelle au problème consiste, pour nos
>utilisateurs, à
>> demander une vraie ipv4 (full-stack)
>
>Et en IPv6 ca donne quoi ?

Nous n'avons pas d'ipv6 sur notre accès.
Mais je pense effectivement que ce serait la solution.

Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de 
raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas
-- 
Christophe
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Buzzer



Le 7 avril 2017 14:14:43 GMT+02:00, Radu-Adrian Feurdean 
 a écrit :
>On Fri, Apr 7, 2017, at 14:08, Buzzer wrote:
>> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
>> entre les utilisateurs.
>> 
>> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de
>> paquet sur l'infrastructure empêche cette négociation d'aboutir.
>> 
>> La solution fonctionnelle au problème consiste, pour nos
>utilisateurs, à
>> demander une vraie ipv4 (full-stack)
>
>Et en IPv6 ca donne quoi ?

Nous n'avons pas d'ipv6 sur notre accès.
Mais je pense effectivement que ce serait la solution.

Cependant ce serait un contournement comme l'ipv4 full-stack. Il n'y a pas de 
raison, autre qu'un pb sur l'infra, pour que ça ne fonctionne pas
-- 
Christophe
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Loïc Guiraud

Bonjour,

La modification pour passer en IPv4 full stack est dispo sur l'interface
client :
http://www.universfreebox.com/article/35583/Freebox-l-option-vraie-IP-fixe-en-ZMD-est-disponible

Loïc

2017-04-07 14:46 GMT+02:00 Jérôme BERTHIER :

> Bonjour,
>
> Le 07/04/2017 à 14:08, Buzzer a écrit :
>
>> Bonjour,
>>
>>
>> Je fais parti d'un service réseau d'une banque, qui a un grand nombre
>> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur
>> des Cisco ASA en mode dtls.
>>
>>
>> Nous avons constaté que nos utilisateur clients chez Free en fibre
>> optique et en zone moyennement dense n'arrivent pas à monter le vpn.
>>
>
> Si DTLS ne fonctionne pas, le client est sensé utiliser la session TCP443
> qui est initiée au départ.
> Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn".
>
>
>>
>> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
>> entre les utilisateurs.
>>
>>
>> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de
>> paquet sur l'infrastructure empêche cette négociation d'aboutir.
>>
>
> Un cas "similaire" semble explicitement décrit :
> http://www.cisco.com/c/en/us/support/docs/security/anyconnec
> t-secure-mobility-client/116881-technote-anyconnect-00.html
>
> Bon courage ;-)
>
>
> --
> Jérôme BERTHIER
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Jérôme BERTHIER


Bonjour,

Le 07/04/2017 à 14:08, Buzzer a écrit :

Bonjour,


Je fais parti d'un service réseau d'une banque, qui a un grand nombre 
d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect sur des 
Cisco ASA en mode dtls.


Nous avons constaté que nos utilisateur clients chez Free en fibre optique et 
en zone moyennement dense n'arrivent pas à monter le vpn.


Si DTLS ne fonctionne pas, le client est sensé utiliser la session 
TCP443 qui est initiée au départ.

Du coup, c'est bizarre qu'ils "n'arrivent pas à monter le vpn".




Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4 entre les 
utilisateurs.


Le symptôme est que le vpn tente de négocié un mtu, mais la perte de paquet sur 
l'infrastructure empêche cette négociation d'aboutir.


Un cas "similaire" semble explicitement décrit :
http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116881-technote-anyconnect-00.html

Bon courage ;-)


--
Jérôme BERTHIER


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Dominique Rousseau

Le Fri, Apr 07, 2017 at 02:08:37PM +0200, Buzzer [buz...@free.fr] a écrit:
> Bonjour,
> 
> Je fais parti d'un service réseau d'une banque, qui a un grand nombre
> d'utilisateurs en travail à distance. Nous utilisons Cisco anyconnect
> sur des Cisco ASA en mode dtls.

Je connaissais pas, mais Goggle semble dire que c'est de l'UDP sur le
port 443...

> Nous avons constaté que nos utilisateur clients chez Free en fibre
> optique et en zone moyennement dense n'arrivent pas à monter le vpn.
> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
> entre les utilisateurs.

En ADSL aussi.
... et du coup, DTLS, ca presume peut-etre des choses sur le port
source, qui se retrouverait (mal) re-mappé du fait de l'ip partagée.

Tu n'as pas moyen d'utiliser un autre mode que DTLS ?



-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

2017-04-07 Par sujet Radu-Adrian Feurdean

On Fri, Apr 7, 2017, at 14:08, Buzzer wrote:
> Pour rappel en zone moyennement dense FREE utilise le partage d'ipv4
> entre les utilisateurs.
> 
> Le symptôme est que le vpn tente de négocié un mtu, mais la perte de
> paquet sur l'infrastructure empêche cette négociation d'aboutir.
> 
> La solution fonctionnelle au problème consiste, pour nos utilisateurs, à
> demander une vraie ipv4 (full-stack)

Et en IPv6 ca donne quoi ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

RE: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

Re: [FRnOG] [TECH] Fibre FREE en zone moyennement dense

11 matches

Site Navigation

Mail list logo

Footer information