SMPFR

Bonjour à tous,

Je rencontre en ce moment un léger problème durant mes test de pré-prods sur une solution de VPN.

Je m'explique: J'ai besoin de relier deux serveurs dédiés entre eux chez Online.net.
Ils sont sous ESXi et avec de nombreuses VM dessus (tse, iis, sql etc...)

J'ai donc monté un lien VPN IPSec sur une base de 2 VM PFSense.

Jusque là, tout va bien, les serveurs communiquent bien entre eux, j'accède aux partages, j'arrive a faire la maintenance en tse, les serveurs arrivent bien à joindre le DC... bref, tout me semble correct.
Et bien non, un détail me titille: lorsque je tente d'ouvrir une page web sur un intranet via un serveur sur le serveur numéro 2 (le serveur iis est sur le serveur numéro 1)... La page est très longue à charger. Je test alors sur un serveur présent sur le serveur 1 et le chargement est quasi instantané.
Je tente alors de copier un gros fichiers d'une VM sur serveur 1 vers une VM du serveur 2 et là, je plafonne à 100MBps. En regardant le graph sur pfsense, c'est cohérent à la valeur annoncé lors de la copie (copie windows au passage).

J'ai tenté de regardé au niveau des limitations coté firewall pfsense et j'ai rien trouvé de cohérent.
Je pense que c'est un problème de configuration du pfsense mais j'ai aucune certitude. Les docs sur le net sont pas forcement représentative de mon problème.

J'ai aussi pensé à un problème de configuration de mon VPN IPSec mais encore une fois, j'ai aucune certitude.

Qu'en pensez vous ?

Je vous remercie pour votre aide

C'est quoi la mtu du tunnel ipsec ?

J'ai pas trouvé l'option mtu pour le tunnel en lui même. La seul option est celle située dans la partie interface lan/wan et est par défaut (1500)

après, pour précisions:
phase1: mode main, en 3DES, SHA1, dh group 2, lifetime 22800
phase 2, 3DES, SHA1, pfs key group off, lifetime 3600

ca ressemble fortement à mes soucis de mss-clamp ^^

J'ai eu des soucis similaires a cause d'un mtu pas du tout adapté.
1300 de manière empirique, c'est pas mal
Apres, pf je connais pas donc je sais pas si possible de changer.

et SHA1 c'est moche

Il est possible de le changer via :

et SHA1 c'est moche

Tu suggère quoi ?

Il est possible de le changer via :

Code : Tout sélectionner

MSS clamping is configured under System > Advanced on the Miscellaneous tab on pfSense 2.1.x and before. On pfSense 2.2, it is under VPN > IPsec on the Advanced Settings tab. Check the box to enable MSS Clamping for VPNs, and fill in the appropriate value.

Je teste demain pour voir si ça change un truc

@giz: oui, enfin c'est pas ça qui va résoudre son pb de débit

@belkav: SHA256 si tu as c'est mieux

dsebire: on est d'accord mais autant d'autres corrections ^^

belkav: +1 avec dsebire

sinon, pour être plus constructif, on a eu le soucis de mss clamping chez Grifon pour des tunnels GRE.

Je connais pas le détail vu que j'y comprends rien ^^ mais si tu veux tu peux demander sur irc
freenode et #grifon

y a rien de bizarre si tu fais du wireshark sur les paquets qui viennent du VPN ? Une fois j'ai eu le cas, c'était tout noir (fragmentation bizarre, j'ai baissé le MTU et magie \o/)

tout ce qui est Windows supporte mal la fragmentation de paquets par défaut de IPSEC
d'ailleurs, je viens de regarder la doc de PFsense sur la MTU, c'est même marqué dedans
SMB/CIFS/RDP => mtu de 1300 pour IPSEC sinon grosses perte de paquets, débits lamentables voir hôte injoignable même si le ping passe

Quasi la même conf' mais entre deux DC différents, SoYouStart & Online.

ESXI + pfSense + VPN ISPEC

Hier j'ai transféré des ISO à ~12 Mo/s stable.
Aujourd'hui ~ 8 Mo/s sur des petits fichiers.

Edit : avec les paramètres par défaut.