J'ai constat=C3=A9 il y quelques semaines sur un serveur distant sous Jessi=
e,
que mes connexions SSH et commandes scp =C3=A9taient inexplicablement
perturb=C3=A9es: affichage bloqu=C3=A9 d=C3=A8s que les donn=C3=A9es affich=
=C3=A9es d=C3=A9passaient un
certain volume.
Apr=C3=A8s recherches, il s'av=C3=A8re qu'en valorisant =C3=A0 1472, le MTU=
(par une
commande "ifconfig eth0 mtu up"), les cons=C3=A9quences du probl=C3=A8me on=
t disparu
(plus d'affichage SSH tronqu=C3=A9, scp OK).
J'aimerai comprendre ce qui s'est pass=C3=A9 et ce qui a, en apparence, du
moins, rendu n=C3=A9cessaire ce changement de MTU.
Mon installation comprend:
Serveur Jessie <---- Eth -----> Commutateur
Le commutateur a l'adresse 192.168.1.231.
Depuis le serveur, j'avais:
ping -M do -s 1472 192.168.1.231 100% de r=C3=A9ussite
ping -M do -s 1473 192.168.1.231 100% d'=C3=A9chec
Apr=C3=A8s une discussion tr=C3=A8s sommaire, avec le support du commutateu=
r, j'ai
compris:
A. que l'interface du serveur pouvait avoir un MTU diff=C3=A9rent de celui =
de
l'interface du commutateur, du moment que la valeur =C3=A9tait inf=C3=A9rie=
ure ou
=C3=A9gale.
B. que l'interface du commutateur est actuellement configur=C3=A9e avec un =
MTU
de 1500.
Mes questions sont:
1. Que pensez-vous de A ?
2. Pour quelle raison, ai-je un =C3=A9chec avec un "ping =C3=A0 1473" ? Si=
j'en
crois l'interface du switch, je devrais pouvoir monter jusqu'=C3=A0 1500, n=
on ?
3. Qui a d=C3=A9j=C3=A0 eu =C3=A0 modifier en urgence, soudainement, un tel=
param=C3=A8tre ?
Dans quelles circonstances ?
<div dir=3D"ltr"><div><div><div><div><div>Bonjour,<br><br></div>J'ai co=
nstat=C3=A9 il y quelques semaines sur un serveur distant sous Jessie, que =
mes connexions SSH=C2=A0 et commandes scp =C3=A9taient inexplicablement per=
turb=C3=A9es: affichage bloqu=C3=A9 d=C3=A8s que les donn=C3=A9es affich=C3=
=A9es d=C3=A9passaient un certain volume.<br><br></div>Apr=C3=A8s recherche=
s, il s'av=C3=A8re qu'en valorisant =C3=A0 1472, le MTU (par une co=
mmande "ifconfig eth0 mtu up"), les cons=C3=A9quences du probl=C3=
=A8me ont disparu (plus d'affichage SSH tronqu=C3=A9, scp OK).<br><br><=
/div>J'aimerai comprendre ce qui s'est pass=C3=A9 et ce qui a, en a=
pparence, du moins, rendu n=C3=A9cessaire ce changement de MTU.<br><br><br>=
</div>Mon installation comprend:<br>Serveur Jessie <---- Eth -----> C=
ommutateur<br><br></div><div>Le commutateur a l'adresse 192.168.1.231.<=
br></div><div>Depuis le serveur, j'avais:<br></div><div>ping -M do -s 1=
472 192.168.1.231=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=
=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0 100% de r=C3=A9ussite<br>ping -M do -s 14=
73 192.168.1.231=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=
=A0=C2=A0=C2=A0=C2=A0=C2=A0=C2=A0 100% d'=C3=A9chec <br></div><div><br>=
<br></div><div>Apr=C3=A8s une discussion tr=C3=A8s sommaire, avec le suppor=
t du commutateur, j'ai compris:<br></div><div><br>A. que l'interfac=
e du serveur pouvait avoir un MTU diff=C3=A9rent de celui de l'interfac=
e du commutateur, du moment que la valeur =C3=A9tait inf=C3=A9rieure ou =C3=
=A9gale.<br><br></div><div>B. que l'interface du commutateur est actuel=
lement configur=C3=A9e avec un MTU de 1500.<br><br></div><div>Mes questions=
sont:<br><br></div><div>1. Que pensez-vous de A ?<br><br></div><div>2. Pou=
r quelle raison, ai-je un =C3=A9chec=C2=A0 avec un "ping =C3=A0 1473&q=
uot; ? Si j'en crois l'interface du switch, je devrais pouvoir mont=
er jusqu'=C3=A0 1500, non ?<br><br></div><div>3. Qui a d=C3=A9j=C3=A0 e=
u =C3=A0 modifier en urgence, soudainement, un tel param=C3=A8tre ? Dans qu=
elles circonstances ?<br><br></div><div>Slts<br></div><div><br></div></div>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Le 12/12/2017 à 09:15, Olivier a écrit :
Après recherches, il s'avère qu'en valorisant à 1472, le MTU (par une commande "ifconfig eth0 mtu up"), les conséquences du problème ont disparu (plus d'affichage SSH tronqué, scp OK). J'aimerai comprendre ce qui s'est passé et ce qui a, en apparence, du moins, rendu nécessaire ce changement de MTU.
Un changement de MTU (diminution) le long du chemin et une mauvaise gestion de la fragmentation et des messages ICMP "destination unreachable - fragmentation needed but DF (don't fragmet flag) set". Lorsqu'un routeur reçoit un paquet IPv4 qu'il doit router par une interface de MTU inférieure à la taille du paquet, doit : - si le paquet a le flag DF à 0, fragmenter le paquet et envoyer les fragments par l'interface ; - si le paquet a le flag DF à 1, écarter le paquet et renvoyer un message d'erreur ICMP "destination unreachable - fragmentation needed but DF set" annonçant la taille maximum à l'adresse source du paquet. Les problèmes possibles sont nombreux : - Le routeur écarte les paquets trop gros mais n'envoie pas de messages ICMP, ou l'équipement où a lieu la baisse de MTU n'est pas un routeur (exemple : concentrateur d'accès PPPoE ADSL qui n'est qu'un relais entre un tunnel PPPoE et un tunnel L2TP). - Les messages d'erreur ICMP sont filtrés en chemin par un firewall ou ignorés par l'émetteur du paquet initial. - les fragments sont filtrés en chemin par un firewall. Les VPN et autres tunnels sont de gros pourvoyeurs de baisse de MTU et/ou de fragmentation car l'encapsulation augmente la taille des paquets.
Le 12/12/2017 à 09:15, Olivier a écrit :
Après recherches, il s'avère qu'en valorisant à 1472, le MTU (par une
commande "ifconfig eth0 mtu up"), les conséquences du problème ont disparu
(plus d'affichage SSH tronqué, scp OK).
J'aimerai comprendre ce qui s'est passé et ce qui a, en apparence, du
moins, rendu nécessaire ce changement de MTU.
Un changement de MTU (diminution) le long du chemin et une mauvaise
gestion de la fragmentation et des messages ICMP "destination
unreachable - fragmentation needed but DF (don't fragmet flag) set".
Lorsqu'un routeur reçoit un paquet IPv4 qu'il doit router par une
interface de MTU inférieure à la taille du paquet, doit :
- si le paquet a le flag DF à 0, fragmenter le paquet et envoyer les
fragments par l'interface ;
- si le paquet a le flag DF à 1, écarter le paquet et renvoyer un
message d'erreur ICMP "destination unreachable - fragmentation needed
but DF set" annonçant la taille maximum à l'adresse source du paquet.
Les problèmes possibles sont nombreux :
- Le routeur écarte les paquets trop gros mais n'envoie pas de messages
ICMP, ou l'équipement où a lieu la baisse de MTU n'est pas un routeur
(exemple : concentrateur d'accès PPPoE ADSL qui n'est qu'un relais entre
un tunnel PPPoE et un tunnel L2TP).
- Les messages d'erreur ICMP sont filtrés en chemin par un firewall ou
ignorés par l'émetteur du paquet initial.
- les fragments sont filtrés en chemin par un firewall.
Les VPN et autres tunnels sont de gros pourvoyeurs de baisse de MTU
et/ou de fragmentation car l'encapsulation augmente la taille des paquets.
Après recherches, il s'avère qu'en valorisant à 1472, le MTU (par une commande "ifconfig eth0 mtu up"), les conséquences du problème ont disparu (plus d'affichage SSH tronqué, scp OK). J'aimerai comprendre ce qui s'est passé et ce qui a, en apparence, du moins, rendu nécessaire ce changement de MTU.
Un changement de MTU (diminution) le long du chemin et une mauvaise gestion de la fragmentation et des messages ICMP "destination unreachable - fragmentation needed but DF (don't fragmet flag) set". Lorsqu'un routeur reçoit un paquet IPv4 qu'il doit router par une interface de MTU inférieure à la taille du paquet, doit : - si le paquet a le flag DF à 0, fragmenter le paquet et envoyer les fragments par l'interface ; - si le paquet a le flag DF à 1, écarter le paquet et renvoyer un message d'erreur ICMP "destination unreachable - fragmentation needed but DF set" annonçant la taille maximum à l'adresse source du paquet. Les problèmes possibles sont nombreux : - Le routeur écarte les paquets trop gros mais n'envoie pas de messages ICMP, ou l'équipement où a lieu la baisse de MTU n'est pas un routeur (exemple : concentrateur d'accès PPPoE ADSL qui n'est qu'un relais entre un tunnel PPPoE et un tunnel L2TP). - Les messages d'erreur ICMP sont filtrés en chemin par un firewall ou ignorés par l'émetteur du paquet initial. - les fragments sont filtrés en chemin par un firewall. Les VPN et autres tunnels sont de gros pourvoyeurs de baisse de MTU et/ou de fragmentation car l'encapsulation augmente la taille des paquets.
