Bonjour à tous,
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Bonjour à tous,
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Bonjour à tous,
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Samuel a écrit :
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Je vais essayer avec la détection de MTU ce week-end.
Le 27/03/2015 14:40, BERTRAND Joël a écrit :
Samuel a écrit :
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Je vais essayer avec la détection de MTU ce week-end.
Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl) vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé : connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1 Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Je vais essayer avec la détection de MTU ce week-end.
Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Attention, ce n'est pas parce que la Freebox a une interface en
MTU1500 côté LAN que la MTU côté WAN est de 1500. Il y a de
l'encapsulation. Le seul moyen est de tester avec un ping -s (un ICMP
ne fragmente pas). Si le protocole ethernet est correctement configuré
(c'est-à-dire en laissant l'ICMP faire son boulot et en ne bloquant
pas le ping), la MTU est négociée ou à défaut le paquet est scindé en
plusieurs morceaux (sauf si flag DF pour don't fragment).
En règle générale, toujours mettre une MTU à 1492 pour un modem
ADSL/VDSL, surtout s'il y a de l'IPv6 parce que je n'ai pas encore
rencontré une pile IPv6 de modem même professionnel qui était capable
d'être réellement transparente au MTU (1500 côté LAN, 1492 côté WAN
non annoncé et paf, le trou de MTU).
Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
JKB
Samuel a écrit :
Le 27/03/2015 14:40, BERTRAND Joël a écrit :
Samuel a écrit :
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Attention, ce n'est pas parce que la Freebox a une interface en
MTU1500 côté LAN que la MTU côté WAN est de 1500. Il y a de
l'encapsulation. Le seul moyen est de tester avec un ping -s (un ICMP
ne fragmente pas). Si le protocole ethernet est correctement configuré
(c'est-à-dire en laissant l'ICMP faire son boulot et en ne bloquant
pas le ping), la MTU est négociée ou à défaut le paquet est scindé en
plusieurs morceaux (sauf si flag DF pour don't fragment).
En règle générale, toujours mettre une MTU à 1492 pour un modem
ADSL/VDSL, surtout s'il y a de l'IPv6 parce que je n'ai pas encore
rencontré une pile IPv6 de modem même professionnel qui était capable
d'être réellement transparente au MTU (1500 côté LAN, 1492 côté WAN
non annoncé et paf, le trou de MTU).
Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
JKB
Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
Les tests sont faits quand il n'y a pas d'autre charge sur le réseau
interne ou externe.
Question : Avez-vous aussi remarqué un upload énorme lors de gros
téléchargements via openvpn ?
Oui, parce que par défaut l'interface tap est avec une MTU de
1500, ce qui est un peu gros pour faire passer la chose sur un PPPoE
ou PPPoA. Tu devrais utiliser la détection de MTU max pour optimiser
la taille de paquets. Si tu demande à OpenVPN de passer des paquets
standard, ils vont être fragmentés et l'upload va en prendre un coup.
Sur mes serveurs, en TCP, j'ai forcé une MTU de 1492 et openvpn
monte un tap0 avec une MTU de 1416. En UDP, la MTU passe à 1418
(au-delà, le paquet fragmente) avec les paramètres suivants :
port 1194
fragment 1416
mssfix 1416
proto udp
link-mtu 1492
dev tap1
Je viens de tester rapidement, y compris en mettant des valeurs plus
basses sur les tap, mais ça ne change rien.
J'ai aussi essayé de baisser la MTU de l'interface bond0, mais rien de
mieux.
Quand aux interfaces adsl il s'agit de 2 freebox en bridge, donc à
priori une MTU à 1500 sur la passerelle Linux, mais je vais quand même
vérifier aussi ce point là.
Attention, ce n'est pas parce que la Freebox a une interface en
MTU1500 côté LAN que la MTU côté WAN est de 1500. Il y a de
l'encapsulation. Le seul moyen est de tester avec un ping -s (un ICMP
ne fragmente pas). Si le protocole ethernet est correctement configuré
(c'est-à-dire en laissant l'ICMP faire son boulot et en ne bloquant
pas le ping), la MTU est négociée ou à défaut le paquet est scindé en
plusieurs morceaux (sauf si flag DF pour don't fragment).
En règle générale, toujours mettre une MTU à 1492 pour un modem
ADSL/VDSL, surtout s'il y a de l'IPv6 parce que je n'ai pas encore
rencontré une pile IPv6 de modem même professionnel qui était capable
d'être réellement transparente au MTU (1500 côté LAN, 1492 côté WAN
non annoncé et paf, le trou de MTU).
Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
JKB
Samuel a écrit :
[...]Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Samuel a écrit :
[...]
Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Samuel a écrit :
[...]Je vais essayer avec la détection de MTU ce week-end.
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Samuel a écrit :
Le 27/03/2015 14:40, BERTRAND Joël a écrit :
Samuel a écrit :
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Le 27/03/2015 16:35, BERTRAND Joël a écrit :Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Le 27/03/2015 16:35, BERTRAND Joël a écrit :
Samuel a écrit :
Le 27/03/2015 14:40, BERTRAND Joël a écrit :
Samuel a écrit :
Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Le 27/03/2015 16:35, BERTRAND Joël a écrit :Samuel a écrit :Le 27/03/2015 14:40, BERTRAND Joël a écrit :Samuel a écrit :Sur une VM Wheezy à la maison, j'ai monté 2 tunnels (2 lignes adsl)
vers
un serveur OVH
Ils sont montés de manière classique et à priori optimisé :
connexion en
UDP et pas de chiffrement (cypher none) et en interface tap (car
bonding
dessus)
Quand je fais un gros téléchargement (disons une video youtube) par
les
lignes adsl, je download à 13Mbit avec un upload (d'après zabbix) très
léger : peut-être 200 à 500 kb
Quand je route les IP google (208.xxxx , 173.xxxx etc ...) au
travers du
bonding des tap, je constate une baisse à moins de 10Mbit sur chaque
ligne ...; et je constate que mon upload et complètement saturé (1
Mbit)
sur chaque ligne au travers des tunnels vpn.
[...]
Il faudrait aussi que tu analyses le trafic sortant (sont-ce des
ACK UDP pour le VPN ?). En virant le bond, qu'est-ce que cela donne ?
Parce que j'ai un peu de mal à voir comment on fait du bonding en
niveau 3 (ce qu'imposent les freeboxes qui ont chacune une adresse IP
publique différente). Cela met peut-être un certain bazar dans les ACK
d'openvpn.
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Samuel a écrit :
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
Tes observations me semblent assez cohérentes et je ne vois pas
trop ce qui pourrait forcer OpenVPN à accepter des ACK UDP en
provenance d'une autre adresse IP. Ton bounding est de niveau 3 et je
ne comprends même pas que ça se passe bien avec les autres services
UDP, mais peut-être n'en utilises-tu pas.
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Je ne vois pas de solution triviale à ton problème en UDP (sauf à
demander gentiment à Free une connexion directe de niveau 2). Je
m'orienterais plutôt vers un load balancing par application. Dans le
cas où tu voudrais quand même agréger les deux liens en VPN, il y
aurait peut-être moyen de faire quelque chose avec deux openvpn en
niveau 2 (un par freebox) et du bounding sur les deux interface tap de
part et d'autre.
Samuel a écrit :
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
Tes observations me semblent assez cohérentes et je ne vois pas
trop ce qui pourrait forcer OpenVPN à accepter des ACK UDP en
provenance d'une autre adresse IP. Ton bounding est de niveau 3 et je
ne comprends même pas que ça se passe bien avec les autres services
UDP, mais peut-être n'en utilises-tu pas.
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Je ne vois pas de solution triviale à ton problème en UDP (sauf à
demander gentiment à Free une connexion directe de niveau 2). Je
m'orienterais plutôt vers un load balancing par application. Dans le
cas où tu voudrais quand même agréger les deux liens en VPN, il y
aurait peut-être moyen de faire quelque chose avec deux openvpn en
niveau 2 (un par freebox) et du bounding sur les deux interface tap de
part et d'autre.
Samuel a écrit :
Je n'ai pas trouvé beaucoup de doc, ni de solution, mais cela a l'air
lié au problème de packet reordering du mode balance-rr du bonding.
Avec un seul tunnel, ou même en changeant pour l'option balance-xor le
problème disparait. (upload divisé par 2)
Le problème avec balance-xor c'est que c'est plus lié à une connexion,
ce qui fait qu'on ne bénéficie du bonding que sur plusieurs
téléchargements.
Je vais chercher pour comprendre si le problème du packet reordering est
plus lié à la latence adsl ou comme tu le soulignais un problème de ack
( ce qui semblait être le cas au vu des captures tcpdump) vis à vis du
routage (mais là je crois que ça va dépasser mes compétences).
Tes observations me semblent assez cohérentes et je ne vois pas
trop ce qui pourrait forcer OpenVPN à accepter des ACK UDP en
provenance d'une autre adresse IP. Ton bounding est de niveau 3 et je
ne comprends même pas que ça se passe bien avec les autres services
UDP, mais peut-être n'en utilises-tu pas.
J'ai joué avec les options no-replay et replay-window d'openvpn qui ont
supprimé certains logs d'erreur liés à l'ordre des paquets, mais ça ne
corrige pas l'overhead.
Merci encore.
Je ferai un retour si je trouve.
Je ne vois pas de solution triviale à ton problème en UDP (sauf à
demander gentiment à Free une connexion directe de niveau 2). Je
m'orienterais plutôt vers un load balancing par application. Dans le
cas où tu voudrais quand même agréger les deux liens en VPN, il y
aurait peut-être moyen de faire quelque chose avec deux openvpn en
niveau 2 (un par freebox) et du bounding sur les deux interface tap de
part et d'autre.