> David Ponzone a écrit : > Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un > Forti, et il est nickel.
C'est clair qu'il y en a une. Transparent mode ? Michel. Le 30 août 2018 à 23:14, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : >> David Ponzone a écrit : >> Ok t’as un exemple pour illustrer la gravité de la chose ? > > De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur > sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops > (voir plus bas). > >> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés... > > Ce n'est pas le cas. > >> Et encore, c’est juste le hop du Forti qui répond des *. > > Non c'est plus de la moitié des hops au milieu. > > - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes > pas ceux que tout le monde évite). > - Ca vient pas de tracert.exe, WinMTR fait la même chose. > - Quand on fait des pings des hops individuels on a 100%. > - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer et > tout sortir, pareil. > > AMHA c'est un rate-limit à la con dans le style 1 PPS. > > Pour l'histoire de fous, voir plus bas. > > With Fortigate > |------------------------------------------------------------------------------------------| > | WinMTR statistics > | > | Host - % | Sent | Recv | Best | Avrg > | Wrst | Last | > |------------------------------------------------|------|------|------|------|------|------| > | crc30r1.rv.am.necel.com - 0 | 54 | 54 | 0 | 0 > | 8 | 0 | > | crt-edge1.rv.am.necel.com - 0 | 54 | 54 | 0 | 0 > | 12 | 0 | > | crt-border1-v925.tsisemi.com - 0 | 54 | 54 | 0 | 2 > | 74 | 1 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | prs-bb4-link.telia.net - 14 | 37 | 32 | 170 | 171 > | 182 | 170 | > | prs-b5-link.telia.net - 0 | 55 | 55 | 146 | 147 > | 157 | 146 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | craftix.gasmi.net - 0 | 55 | 55 | 152 | 153 > | 154 | 153 | > |________________________________________________|______|______|______|______|______|______| > > > Without Fortigate or with another brand : > |------------------------------------------------------------------------------------------| > | WinMTR statistics > | > | Host - % | Sent | Recv | Best | Avrg > | Wrst | Last | > |------------------------------------------------|------|------|------|------|------|------| > | crc30-63.rv.am.necel.com - 0 | 51 | 51 | 0 | 0 > | 12 | 1 | > | crt-edge1.rv.am.necel.com - 0 | 51 | 51 | 0 | 0 > | 13 | 0 | > | crt-border1-v925.tsisemi.com - 0 | 51 | 51 | 0 | 1 > | 40 | 1 | > | 241.dsl6660136.sub-29.surewest.net - 0 | 51 | 51 | 1 | 1 > | 13 | 1 | > | 204.154.217.20 - 0 | 51 | 51 | 2 | 2 > | 14 | 2 | > | 204.154.217.245 - 0 | 51 | 51 | 2 | 2 > | 14 | 2 | > | 204.154.217.196 - 0 | 51 | 51 | 2 | 4 > | 41 | 2 | > | sjo-b21-link.telia.net - 0 | 51 | 51 | 6 | 9 > | 16 | 11 | > | nyk-bb4-link.telia.net - 0 | 51 | 51 | 75 | 75 > | 77 | 76 | > | prs-bb4-link.telia.net - 0 | 51 | 51 | 143 | 143 > | 158 | 143 | > | prs-b5-link.telia.net - 0 | 51 | 51 | 146 | 146 > | 158 | 146 | > | lostoasis-ic-310624-prs-b5.c.telia.net - 0 | 51 | 51 | 147 | 147 > | 158 | 147 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | No response from host - 100 | 11 | 0 | 0 | 0 > | 0 | 0 | > | sdv-plurimedia.customers-sfr-str.ielo.net - 0 | 51 | 51 | 152 | 153 > | 158 | 153 | > | craftix.gasmi.net - 0 | 51 | 51 | 152 | 152 > | 153 | 153 | > |________________________________________________|______|______|______|______|______|______| > > >> Oliver Varenne a écrit : >> A mon avis, (Michel confirmera ou infirmera), le problème n'est pas tant la >> gravité de la chose, mais >> surement le fait qu'il a du passer plusieurs heures/jours à chercher >> pourquoi il avait des "*" comme >> tu dis, pour se rendre compte qu'il a perdu beaucoup de temps sur une >> connerie... Et le pire dans ce >> genre de cas, c'est que quand la connerie est désactivable via une option, >> tu te dis "j'ai appris quelque >> chose", mais quand c'est imposé, tu te sens vraiment floué par des décisions >> qui semblent arbitraires. > > Je sais même pas combien d'heures/hommes on a perdu avec cette connerie mais > c'est en centaines. J'ai un ingé et un fournisseur qui se sont cassé la tête > pendant des jours à chercher un problème là ou il n'y était pas, parce qu'ils > ont fait trop confiance au tracert et qu'ils se sont pas rendus compte que le > Fortigate bouffait la ligne du hop qu'ils étaient en train de troubleshooter. > Quand on a enlevé le Fortigate et obtenu un traceroute qui marchait çà leur a > immédiatement montré ou était le problème. > >> Soyons honnêtes, dans ce genre de cas ça devrait être sous forme d'option: >> - limiter les paquets à 1 par seconde pour protéger blablablablabla : oui/non > > Oui, mais en plus 1 PPS en 2018 c'est débile. Ils auraient mis 10 PPS je m'en > serais pas aperçu, et 100 PPS çà aurait pas tué leur machin non plus. > > Plomber les outils de l'ingé qui cherche un problème, c'est grave. Me faire > perdre encore plus de temps pour essayer de m'expliquer que c'est pas leur > faute, c'est pire. Payer des vrais gros sous en plus du temps perdu pour > avoir le privilège de tous ces emmerdements, faut être con. J'ai été con, mea > culpa, je le referai plus. > > Michel. > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
