Le 16/05/2024 à 09:34, Toussaint OTTAVI a écrit :
Le 15/05/2024 à 14:48, Hugues Voiturier a écrit :
Mais quelle excellente idée de changer la MTU de l’interface sans
changer la MSS,
Je suppose que cela dépend des équipements. MSS = MTU moins les headers
(IP, TCP, IPsec...). Par défaut, le matériel que j'utilise calcule la
MSS tout seul en fonction de la MTU spécifiée. A vérifier dans la doc du
firewall, mais s'il ne le fait pas automatiquement, si on réduit la MTU,
il faut à priori réduire aussi la MSS à MTU - 40 (20 octets de header
TCP + 20 octets de header IP)
--
Sinon, à ma connaissance, il n'y a pas de risque à spécifier une MTU (et
une MSS) trop petite (à part bien sûr la fragmentation excessive, qui
peut dégrader les performances).
Ce n'est pas une bonne idée. Exemple avec ce schéma:
CPE <------> PE
Si la MTU du PE est à 1500 et celle du CPE est à 1492: lorsque le PE va
envoyer des paquets à 1500 le CPE va les dropper.
Et surtout le drop n'émet pas un paquet ICMP, donc si c'est du TCP la
pile TCP doit interpréter ce drop comme un problème de MTU et pas une
perte de paquet "classique", d'où le long délai pour établir une
connexion (qui plus est en HTTPS avec la session SSL).
Et inversement PE / CPE.
La MTU doit toujours être identique des 2 côtés et il n'y a pas d'autre
possibilité.
$ ping -M do -s xxx ip
peut parfaitement détecter des problèmes de MTU.
1492 est la valeur classique d'une MTU sur un lien WAN PPPoE.
Avec certains opérateurs, et en fonction de la façon dont ils collectent
le trafic pour le ramener sur leur infra, on peut être amenés à
descendre la MTU jusqu'à 1452 pour que le trafic passe bien.
Ca c'est un problème, car la MTU est négociée par le PPPoE, est-ce que
ton routeur a bien pris en compte la négo PPPoE ?
Le LNS lui va envoyer des paquets à la MTU sans savoir que ton CPE a une
MTU beaucoup petite.
Pour ce que j'ai pu en voir, on n'a besoin de modifier la MTU que si
l'on monte soi-même la session PPPoE. Si l'opérateur fournit un routeur,
c'est lui qui se débrouille, et on garde une MTU normale de 1500 sur
l'interface Ethernet.
Normalement en IPv4 les routeurs fragmentent, à charge au destinataire
de ré-assembler. Donc si c'est bien fait, le CPE doit arriver à
fragmenter correctement.
En IPv6 c'est l'émetteur qui doit fragmenter avant d'envoyer les paquets
(d'où l'importance du PMTUd et de laisser passer ICMP).
Jérôme
--
Jérôme Marteaux
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
