Bonjour à tous,
Je rencontre en ce moment un léger problème durant mes test de pré-prods sur une solution de VPN.
Je m'explique: J'ai besoin de relier deux serveurs dédiés entre eux chez Online.net.
Ils sont sous ESXi et avec de nombreuses VM dessus (tse, iis, sql etc...)
J'ai donc monté un lien VPN IPSec sur une base de 2 VM PFSense.
Jusque là, tout va bien, les serveurs communiquent bien entre eux, j'accède aux partages, j'arrive a faire la maintenance en tse, les serveurs arrivent bien à joindre le DC... bref, tout me semble correct.
Et bien non, un détail me titille: lorsque je tente d'ouvrir une page web sur un intranet via un serveur sur le serveur numéro 2 (le serveur iis est sur le serveur numéro 1)... La page est très longue à charger. Je test alors sur un serveur présent sur le serveur 1 et le chargement est quasi instantané.
Je tente alors de copier un gros fichiers d'une VM sur serveur 1 vers une VM du serveur 2 et là, je plafonne à 100MBps. En regardant le graph sur pfsense, c'est cohérent à la valeur annoncé lors de la copie (copie windows au passage).
J'ai tenté de regardé au niveau des limitations coté firewall pfsense et j'ai rien trouvé de cohérent.
Je pense que c'est un problème de configuration du pfsense mais j'ai aucune certitude. Les docs sur le net sont pas forcement représentative de mon problème.
J'ai aussi pensé à un problème de configuration de mon VPN IPSec mais encore une fois, j'ai aucune certitude.
Qu'en pensez vous ?
Je vous remercie pour votre aide
Probleme Bande passante VPN PFsense
Probleme Bande passante VPN PFsense
J'ai pas trouvé l'option mtu pour le tunnel en lui même. La seul option est celle située dans la partie interface lan/wan et est par défaut (1500)
après, pour précisions:
phase1: mode main, en 3DES, SHA1, dh group 2, lifetime 22800
phase 2, 3DES, SHA1, pfs key group off, lifetime 3600
après, pour précisions:
phase1: mode main, en 3DES, SHA1, dh group 2, lifetime 22800
phase 2, 3DES, SHA1, pfs key group off, lifetime 3600
Probleme Bande passante VPN PFsense
ca ressemble fortement à mes soucis de mss-clamp ^^
-
dsebire
- Messages : 13182
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Probleme Bande passante VPN PFsense
J'ai eu des soucis similaires a cause d'un mtu pas du tout adapté.
1300 de manière empirique, c'est pas mal
Apres, pf je connais pas donc je sais pas si possible de changer.
1300 de manière empirique, c'est pas mal
Apres, pf je connais pas donc je sais pas si possible de changer.
Probleme Bande passante VPN PFsense
et SHA1 c'est moche
Probleme Bande passante VPN PFsense
Il est possible de le changer via :
Code : Tout sélectionner
MSS clamping is configured under System > Advanced on the Miscellaneous tab on pfSense 2.1.x and before. On pfSense 2.2, it is under VPN > IPsec on the Advanced Settings tab. Check the box to enable MSS Clamping for VPNs, and fill in the appropriate value.
Probleme Bande passante VPN PFsense
Tu suggère quoi ?et SHA1 c'est moche
Il est possible de le changer via :
Code : Tout sélectionner
MSS clamping is configured under System > Advanced on the Miscellaneous tab on pfSense 2.1.x and before. On pfSense 2.2, it is under VPN > IPsec on the Advanced Settings tab. Check the box to enable MSS Clamping for VPNs, and fill in the appropriate value.
Je teste demain pour voir si ça change un truc
-
dsebire
- Messages : 13182
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Probleme Bande passante VPN PFsense
@giz: oui, enfin c'est pas ça qui va résoudre son pb de débit 
@belkav: SHA256 si tu as c'est mieux
@belkav: SHA256 si tu as c'est mieux
Probleme Bande passante VPN PFsense
dsebire: on est d'accord mais autant d'autres corrections ^^
belkav: +1 avec dsebire
mais autant d'autres corrections ^^belkav: +1 avec dsebire
Probleme Bande passante VPN PFsense
sinon, pour être plus constructif, on a eu le soucis de mss clamping chez Grifon pour des tunnels GRE.
Je connais pas le détail vu que j'y comprends rien ^^ mais si tu veux tu peux demander sur irc
freenode et #grifon
Je connais pas le détail vu que j'y comprends rien ^^ mais si tu veux tu peux demander sur irc
freenode et #grifon
Probleme Bande passante VPN PFsense
y a rien de bizarre si tu fais du wireshark sur les paquets qui viennent du VPN ? Une fois j'ai eu le cas, c'était tout noir (fragmentation bizarre, j'ai baissé le MTU et magie \o/)
-
dsebire
- Messages : 13182
- Inscription : ven. 12 janv. 2018 17:44
- Localisation : Loiret - entre la ville et les champs
Probleme Bande passante VPN PFsense
tout ce qui est Windows supporte mal la fragmentation de paquets par défaut de IPSEC
d'ailleurs, je viens de regarder la doc de PFsense sur la MTU, c'est même marqué dedans
SMB/CIFS/RDP => mtu de 1300 pour IPSEC sinon grosses perte de paquets, débits lamentables voir hôte injoignable même si le ping passe
d'ailleurs, je viens de regarder la doc de PFsense sur la MTU, c'est même marqué dedans
SMB/CIFS/RDP => mtu de 1300 pour IPSEC sinon grosses perte de paquets, débits lamentables voir hôte injoignable même si le ping passe
Probleme Bande passante VPN PFsense
Quasi la même conf' mais entre deux DC différents, SoYouStart & Online.
ESXI + pfSense + VPN ISPEC
Hier j'ai transféré des ISO à ~12 Mo/s stable.
Aujourd'hui ~ 8 Mo/s sur des petits fichiers.
Edit : avec les paramètres par défaut.