Tweaker un routeur/vpn 2.6.15/etch et sa connection PPPOE

J’etais convaincu que pour un pare feu, l’essentiel de ce qui travaille, c’est iptables, donc, le noyau. Le soft à mettre autour (si la machine ne fait vraiment QUE du parefeu), n’a AMA que peu d’importance.
Maintenant, donc, ça voudrait dire qu’il faut se polariser sur la qualité du noyau plus que sur la release. Je me croyais donc optimal et satisfait quand à un de mes routeurs en 2.6.15/etch, mais j’essayes en ce moment de monter des vpn dessus, et quoi que je fasse, j’ai des connections pourries. Trés vite (sans tests pour l’instant parceque j’ai la tête sous l’eau pour plein d’autre trucs), je me suis aperçu que c’est basiquement la connection internet de mon serveur d’accés qui est pourrie, puisque de fait, mes connections ssh sautent (ce que je n’avais pas remarqué, car je ne bosse presque plus de chez moi, et ça fait un bail que je n’ai plus bougé du siège).
Or la même ligne fonctionnait trés bien quand j’ai configuré mon routeur.
Je me demande à quel moment ça s’est dégradé. A part le noyau que j’ai upgradé (mais je ne sais plus lequel j’avais avant - je sais c’est pas sérieux), peut être la ligne est elle passée de 512 à 2 Mo (je ne sais plus quand c’est arrivé - je sais c’est pas sérieux)
Comme le problême est crucial pour moi en ce moment:

  • le 2.6.15/Etch pourrait il y être pour quelquechose dans la degradation de la gestion de la ligne (PPPOE) ?
  • par ou sentez vous qu’il faut que je commence à chercher ?
  • qu’est ce que vous me conseilleriez comme outil pour tester le tout ?
  • question subsidiaire: quel MTU ou autre paramètre puis je tweaker et ou (je crois qu’on m’a déjà répondu ici même, je vais rechercher) ?

hello matt,

Je serais a ta place, je chercherais progressivement c’est a dire des tests de lan en lan, de lan en wan avecles outils de base, sinon je pense fortement que c’est plutot du a ta cnx internet.

[quote]- le 2.6.15/Etch pourrait il y être pour quelquechose dans la degradation de la gestion de la ligne (PPPOE) ?
[/quote]
Oui, PPPOE ou meme un mauvais driver Ethernet (t’as une bonne carte?)

Oula…

Hum ethereal, oui c’est bourrin je sais, cf mon nom

[quote]- question subsidiaire: quel MTU ou autre paramètre puis je tweaker et ou (je crois qu’on m’a déjà répondu ici même, je vais rechercher) ?
[/quote]
Mets la à 1400 et desactive le PMTU (sysctl je crois)

Tu serai pas chez wanamou qd meme?
Parceque c’est la galère ou je suis, les dns s’arrete 1 ou 2mn toutes les 3h, c’est top.
Je pencherai aussi vers un pb de connexion internet.

Il faudrait peut etre éplucher une sortie d’ethereal… regarder si y a des lost segment, des duplicates. Nan parceque TCP est qd meme tres robuste, si tu as une coupure de ton ssh c’est probablement du a un timeout (TCP ou IP ou SSH)

Tu pourrai aussi vider les regles iptable (ex les icmp) d’une pour tester si ca change ou de deux pour pouvoir comprendre qqchose sur les logs d’ethereal (sinon si il te manque des trames, ca sera impossible à comprendre déja que c dur…)
Voila ce que je ferrai : vider iptable et faire un log ds (t)ethereal ou tcpdump. Tu peux faire un log rotatif (me rappele pu comment…) si bien que tu ne stocke que la derniere heure de traffic et au moment de la coupure, tu arrete ethereal.

[quote=“BorisTheButcher”][quote]- le 2.6.15/Etch pourrait il y être pour quelquechose dans la degradation de la gestion de la ligne (PPPOE) ?
[/quote]
Oui, PPPOE ou meme un mauvais driver Ethernet (t’as une bonne carte?)
[/quote]Bon, pour le contexte, je bosse dans une PME qui quoi que riche (immobilier) hesite à se payer du bon sens. En particulier, je fais tourner une demie douzaine de machines sous linux, mais comme le mot linux fait monter le père et ses deux rejetons de boss au plafond, c’est sans budget: déjà pour les postes utilisateur, je galère pour une souris, alors des pièces pour serveurs linux, c’est recup.
Tout ça pour expliquer pourquoi mon routeur est un PII avec 64 Mo de RAM et… 3 ne2000 ISA 10Mb.
Mais j’en ai plein comme ça, et elles ne m’ont jamais laché et sont salement fiables.
Tu as raison, je vais changer la nic externe.

[quote=“BorisTheButcher”][quote]

  • par ou sentez vous qu’il faut que je commence à chercher ?
    [/quote]
    Oula…
    [/quote]bon d’accord :wink:[quote=“BorisTheButcher”][quote]- qu’est ce que vous me conseilleriez comme outil pour tester le tout ?
    [/quote]
    Hum ethereal, oui c’est bourrin je sais, cf mon nom
    [/quote]Et tu crois que je vais choper des paquets malformés ? Bon…
    Je pensais plutot à du ttcp pour voir ou ça ne circule plus bien, mais en fait, je ne sais pas vraiment m’en servir.[quote=“BorisTheButcher”][quote]- question subsidiaire: quel MTU ou autre paramètre puis je tweaker et ou (je crois qu’on m’a déjà répondu ici même, je vais rechercher) ?
    [/quote]
    Mets la à 1400 et desactive le PMTU (sysctl je crois)
    [/quote]vu, j’avais pas pensé à aller regarder dans /proc/sys/net ce que je pouvais bidouiller. [quote=“BorisTheButcher”]
    Tu serai pas chez wanamou qd meme?
    Parceque c’est la galère ou je suis, les dns s’arrete 1 ou 2mn toutes les 3h, c’est top.[/quote]Non non, pas chez mamadou. Je suis chez Orange :mrgreen:
    Tu imagines bien que mon boss, à qui j’avais proposé une super solution de VOIP+CRM branchable directement sur sa base client existante, s’est empressé de signer un abonnement pour un merveilleux autocom analogique, avec engagement de 5 ans non denoncable pour la maintenance, parceque “avec tous ce que ses commerciaux lui apporte de points avec les portables (dont ils payent eux même une partie de la conso), il a plein de cadeaux chez orange, alors il va pas passer chez un operateur IP qu’il ne connait pas”.
    Juste aprés, il m’annonce qu’il va ouvrir X agences toutes en intranet (accés reciproque au bases BDE situées sur les differents sites, malgré ma forte prevention contre ce genre de bidouilles instables), je demande une offre “pro” de son Orange préfèré pour un Intranet virtuel … qui se tranforme bien sûr en offre “surpro” Oleane…
    C’est donc grace au prix de ces p’taing d’Oleane que je me retrouve à bricoler de l’interconnection OpenVPN sur de la ligne pourrie en voyant arriver dans les service des fax qui font hélicoptère et vibromasseur.
    J’suis pas aidé…

[quote=“BorisTheButcher”]Je pencherai aussi vers un pb de connexion internet.
[/quote]je pencherais SURTOUT, mais je me demandais si ça ne venait pas de plus loin puisqu’à priori peu à changé depuis le départ et que ça tourbait bien.[quote=“BorisTheButcher”][quote]mes connections ssh sautent[/quote]
Il faudrait peut etre éplucher une sortie d’ethereal… regarder si y a des lost segment, des duplicates. Nan parceque TCP est qd meme tres robuste, si tu as une coupure de ton ssh c’est probablement du a un timeout (TCP ou IP ou SSH)

Tu pourrai aussi vider les regles iptable (ex les icmp) d’une pour tester si ca change ou de deux pour pouvoir comprendre qqchose sur les logs d’ethereal (sinon si il te manque des trames, ca sera impossible à comprendre déja que c dur…)
Voila ce que je ferrai : vider iptable et faire un log ds (t)ethereal ou tcpdump. Tu peux faire un log rotatif (me rappele pu comment…) si bien que tu ne stocke que la derniere heure de traffic et au moment de la coupure, tu arrete ethereal.[/quote]
Je note un peu tout ça, merki, mais pour ta dernière remarque, si je me retrouve à l’exterieur, totalement coupé comme maintenant, j’aurais peut être un peu de mal à arrèter le log. :laughing:

Je me demande pkoi c’est coupé maintenant. La coupure électrique quotidienne du 1er qui s’etend au rez de chaussée ?
Je suis fatigué :imp:

[quote=“MattOTop”]Bon, pour le contexte, je bosse dans une PME qui quoi que riche (immobilier) hesite à se payer du bon sens. En particulier, je fais tourner une demie douzaine de machines sous linux, mais comme le mot linux fait monter le père et ses deux rejetons de boss au plafond, c’est sans budget: déjà pour les postes utilisateur, je galère pour une souris, alors des pièces pour serveurs linux, c’est recup.
Tout ça pour expliquer pourquoi mon routeur est un PII avec 64 Mo de RAM et… 3 ne2000 ISA 10Mb.
Mais j’en ai plein comme ça, et elles ne m’ont jamais laché et sont salement fiables.
Tu as raison, je vais changer la nic externe.
[/quote]
Ah oui je vois, il faut du courage. Enfin c’est bien tu es arrivé a rester sous linux mais ca a pas l’air evident…
ISA ah oui j’ai du reflechir pour me rappeler comment ca se branchait déja :slightly_smiling:
NE2000 je considère ca comme correct… mais si ca te prend pas longtemps à la changer pr une autre alors autant essayer mais ca ne peut pas couper une connexion SSH dc je dirai que c’est autrechose.

Ouais ou des avortons comme on appele ca :slightly_smiling: Enfin si tu as un pb de cartes réseaux (meme sur un lan) certains de ces pb peuvent etre vus avec ethereal (late collisions). ces problèmes de couches physiques (non detectés par la carte réseaux, donc pas les 5% de collisions normales) font que la pile TCP va devoir retransmettre un paquet. Tu vois alors des TCP retransmit ds ethereal.

En y repensant, toutes ces erreurs peuvent causer un ralentissement mais TCP doit arriver à corriger ca donc pour ton pb donc je pencherai plus à un pb pas chez toi (chez ton fai)

Oui bonne idée mais je connais pas non plus :slightly_smiling: de nom seulement…

[quote]Non non, pas chez mamadou. Je suis chez Orange :mrgreen:
[/quote]
Ah bon j’ai eu peur :mrgreen:

J’ai le meme loustic :slightly_smiling:

Sacré rappiat.
Mon boss aussi a X agences et on a tout mis en oleane MPLS VPN.
C’est un vpn au sens que sur les autocoms ATM, tu as une séparation logicielle entre les clients. Mais ce n’est pas une LL avec une séparation physique avec du cryptage!! Je m’en suis rendu compte en me documentant un peu, mon admin a gueuler chez oléane :slightly_smiling:
Enfin c’est censé etre secure le MPLS (moins qu’une LL mais bon…)
Donc on a les agences reliées en intranet et sur la meme prise on a internet. Bon j’arrete :slightly_smiling:
Par contre le plugin vibro j’ai pas trouvé :slightly_smiling:

Le gros avantage de cette solution c’est la garantie de débit. Je crois que plus de 1h (ou 2 je sais plus) d’arret tu as un moi gratos. Donc je peux te dire que ca coupe rarement :slightly_smiling:

A coté de ca, je connais des gens qui ont fait des trucs tres bien avec de l’ADSL et meme avec du trunking pr coupler 2 liens Free à 8Megabits, le trucs impensable chez oleane ($$$)

[quote]je pencherais SURTOUT, mais je me demandais si ça ne venait pas de plus loin puisqu’à priori peu à changé depuis le départ et que ça tourbait bien.
[/quote]
Ah… qu’est ce qui a changé alors… essaye de revenir en arrière… ah oui tu sais pu quel noyau t’avais. T’as regardé dans les changelogs du kernel ptet qu’il y a eu de la regression et que ton 2.6.15 a des nouveaux bugs?

Pas con… mais après ca revient non? tu peux te reconnecter .
Ensuite un killall des familles :slightly_smiling:

Nan ptet que un mec est passé avec son cyclo et ca fait des interferences. Pas des conneries, j’avais vu un mec qui comprenais pas prk entre 20h00 et 20h30 il avait tjrs une coupure. Jusqu’au jour ou il s’est rendu compte que dès qu’un djeunz passait avec son scoot, ca coupait :slightly_smiling:
Idem pr les lampadaires qui peuvent faire des interferences.
Verifie bien qu’il n’y a aps trop de scooter autour de chez toi :slightly_smiling:

[quote]
Je suis fatigué :imp:[/quote]
Pareil il se fait tard… ah les vacances c cool qd meme :slightly_smiling:

je viens seulement de voir ton message (çaurait été dommage de passer à coté).
pour le MTU, j’ai trouvé une réfèrence windows ( dslreports.com/faq/5793 ), qu’en transposant avec 'ping -M do -s ) j’ai pu utiliser pour trouver ma limite de defragmentation ( 1472 par exemple chez moi ).
Sinon, pour ttcp, c’est nttcp pour le paquet deb, et j’ai trouvé ça comme howto:
clarkson.edu/projects/itl/HO … 011113.htm
pas eu le temps de tester, mais le howto m’a l’air bien, et le repertoire de contributions m’a l’air bien aussi:
clarkson.edu/projects/itl/HOWTOS/howtos.php

PS: la coupure quotidienne de jus, c’etait la vitrine qui s’allumait le matin à 7 h qui avait pris l’humidité. Mais mon ssh continue à sauter.

bon, le nttcp est à priori d’un fonctionnement simple:

[quote]console@sarge20go:~$ nttcp
nttcp-l: don’t know where to connect to
Usage: nttcp [local options] host [remote options]
local/remote options are:
-t transmit data (default for local side)
-r receive data
-l# length of bufs written to network (default 4k)
-m use IP/multicasting for transmit (enforces -t -u)
-n# number of source bufs written to network (default 2048)
-u use UDP instead of TCP
-g#us gap in micro seconds between UDP packets (default 0s)
-d set SO_DEBUG in sockopt
-D don’t buffer TCP writes (sets TCP_NODELAY socket option)
-w# set the send buffer space to #kilobytes, which is
dependent on the system - default is 16k
-T print title line (default no)
-f give own format of what and how to print
-c compares each received buffer with expected value
-s force stream pattern for UDP transmission
-S give another initialisation for pattern generator
-p# specify another service port
-i behave as if started via inetd
-R# calculate the getpid()/s rate from # getpid() calls
-v more verbose output
-V print version number and exit
-? print this help
-N remote number (internal use only)
default format is: %9b%8.2rt%8.2ct%12.4rbr%12.4cbr%8c%10.2rcr%10.1ccr
[/quote]sur le “serveur” (celui qui n’affichera rien):nttcp -i
sur le client:

ça lance les tests de throughput vers le serveur (-r sur le serveur pour avoir le test en sens inverse), et ça peut être long, puisque j’attends depuis plusieurs minutes.
Mais:
au départ, je ne voulais toucher à aucun pare feu, j’arrivais donc sur le serveur en ssh, j’arrètais un éventuel webmin oublié (chez moi ils ne tournent pas par défaut), et je lançais nttcp en mode serveur sur le port 10000 (nttcp -p 10000 -i).
Et là, quoi que je fasse (- p10000 avant ou aprés , mon client voulais toujours se connecter sur le 5037 (port standard de nttcp).
bon, bref, je n’arrive pas à l’utiliser autrement que par les ports 5037 ET (bizarrerie inexplicable) 5038.
Donc prévoir sur le serveur l’ajout temporaire de

iptables -A INPUT -p tcp -m tcp --dport 5037 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT

et leur pendant si on veut faire les tests en -u .
le -v gène la lecture des resultats.

—tient ça y est: j’ai mes stats d’aller en 496s. je fais le retour—