Hello Peut être autre piste (j'ai eu le cas @home) : carte réseau du pc client configure en Jumbo mtu. Le lb du serveur syn/ack en Jumbo. Et paf ça marche plus. --> du coup chez moi je mss clamp a 1460 tout ce qui va vers le wan. Je reste en Jumbo en local pour optimiser les transfers avec le NAS syno.
++ Pierre Le mar. 21 juin 2022 à 22:46, Alain Bitschiné via frnog <frnog@frnog.org> a écrit : > Bonjour, > > Qu’est-ce qui te fait penser à un problème de MTU ? Tu as de la > fragmentation côté client ? > Côté serveur je ne vois pas de réduction de MTU. De chez moi le TCP MSS > est à 1460 sur les paquets SYN dans les deux sens, et je ne vois pas de > perte sur les gros paquets. > > Une piste si tu as de la fragmentation côté client... il y a une chose à > savoir sur les F5 BigIP : ils n’aiment pas trop les paquets doublement > fragmentés. Ils n’acceptent pas les fragments trop petits (je n’ai plus la > limite en tête) si ce n’est pas le fragment final. > J’ai déjà vu ça dans le cas d’un client qui envoyait des paquets > fragmentés, qui étaient ensuite à nouveau fragmentés à cause d’un tunnel > GRE pour une protection DDoS côté serveur. Le F5 bloquait le petit fragment > intermédiaire… et donc la session TCP. Ici ça a été résolu en ajustant le > TCP MSS au niveau des routeurs d’accès Internet côté serveur. > Je doute que le F5 BigIP casse le PMTU Discovery. En revanche, un firewall > sur le chemin pourrait bloquer les paquets ICMP nécessaires... > > Alain Bitschiné > > > Le 21 juin 2022 à 20:36, David Ponzone <david.ponz...@gmail.com> a > écrit : > > > > J’ai un problème assez étrange, et je cherche des éléments de réponse. > > > > Un client peut accéder à: > > > > https://www.bca.fr > > Mais pas à: > > https://www.bca.fr/reparateur-web/login.action < > https://www.bca.fr/reparateur-web/login.action> > > > > Alors que la seconde URL est parfaitement joignable pour moi (donc même > AS que mon client) ou depuis Bouygues FTTH ou depuis Orange Mobile. > > Plus délicat: connecté en VPN SSL pour accéder au site depuis la même IP > publique que mon client: ça marche. > > > > Le client ne peut pas non plus accéder à la seconde URL depuis un site > chez SFR. > > > > Le site www.bca.fr <http://www.bca.fr/> est chez OBS, et semble être > derrière un BigIP (si j’en crois la réponse du serveur HTTP). > > > > J’ai donc tendance à penser que c’est le BigIP qui va pas bien, ou alors > une merdouille de MTU (d’ici à ce que le BigIP casse le PMTU Discovery, il > n’y a qu’un pas). > > > > Je cherche donc d’autres personnes qui auraient une impossibilité > d’accès à la seconde URL. > > Ca me permettrait de confirmer que ça vient pas de moi et SFR, et > d’entamer les démarches pour établir un contact avec les gens qui gèrent le > BigIP en question... > > > > Merci > > > > David Ponzone > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
