Outils pour utilisateurs

Outils du site


vpn-mtu

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
vpn-mtu [2020/03/18 08:25]
ninjatrappeur [Trop long, je me fout des détails]
vpn-mtu [2020/03/18 08:31] (Version actuelle)
ninjatrappeur
Ligne 11: Ligne 11:
  
 Vu de haut, c'est très simple: la MTU est la taille maximale que peut Vu de haut, c'est très simple: la MTU est la taille maximale que peut
-attendre un paquet. Si un paquet dépasse cette taille maximale, il+atteindre un paquet. Si un paquet dépasse cette taille maximale, il
 sera rejeté par le routeur au lieu d'être transféré. sera rejeté par le routeur au lieu d'être transféré.
  
Ligne 21: Ligne 21:
 Tout d'un coup, on va s'amuser à mettre un Tout d'un coup, on va s'amuser à mettre un
 paquet entier dans le corps d'un autre paquet. Dès lors, on comprend paquet entier dans le corps d'un autre paquet. Dès lors, on comprend
-que si l'on s'amuse mettre un paquet de 1500 octets dans un autre +que si l'on s'amuse à mettre un paquet de 1500 octets dans un autre 
-paquet, le tout dépassera la taille de 1500 octets cause des headers+paquet, le tout dépassera la taille de 1500 octets à cause des headers
 du paquet + headers divers (wireguard, etc.). du paquet + headers divers (wireguard, etc.).
  
 {{:travel-wifi-vpn-packet.png?400|}} {{:travel-wifi-vpn-packet.png?400|}}
  
-C'est pourquoi, la plupart du temps, on va mettre une MTU inférieure a+C'est pourquoi, la plupart du temps, on va mettre une MTU inférieure à
 1500 sur l'interface qui va se charger de tunneler les paquets. L'interface wireguard dans notre cas 1500 sur l'interface qui va se charger de tunneler les paquets. L'interface wireguard dans notre cas
  
Ligne 34: Ligne 34:
  
  
-Pour cette section, on va prendre le cas du VPN Baionet pour example.+Pour cette section, on va prendre le cas du VPN Baionet pour exemple.
  
 Nous avons un premier tunnel GRE qui relie le serveur VPN a son Nous avons un premier tunnel GRE qui relie le serveur VPN a son
Ligne 42: Ligne 42:
 La MTU du client sera donc de: La MTU du client sera donc de:
  
-1500 - headers IP (GRE) - Headers GRE - headers IP (wireguard) - headers wireguard+<code>1500 - headers IP (GRE) - Headers GRE - headers IP (wireguard) - headers wireguard</code>
  
 Les headers wireguard prendront toujours 40 octets. Cf. https://lists.zx2c4.com/pipermail/wireguard/2017-December/002201.html Les headers wireguard prendront toujours 40 octets. Cf. https://lists.zx2c4.com/pipermail/wireguard/2017-December/002201.html
Ligne 67: Ligne 67:
  
 Puis, vous montez le même tunnel sur un routeur, vous redirigez tout le Puis, vous montez le même tunnel sur un routeur, vous redirigez tout le
-monde dessus, et là, tout coup, rien ne va plus! La connexion+monde dessus, et là, tout à coup, rien ne va plus ! La connexion
 est très lente, certains sites ne chargent pas. est très lente, certains sites ne chargent pas.
  
 W-T-F? W-T-F?
  
-Votre routeur connaît bien la MTU et fait bien attention la taille maximale des paquets, mais ce+Votre routeur connaît bien la MTU et fait bien attention à la taille maximale des paquets, mais ce
 n'est pas le cas des clients! Eux, ne savent même pas qu'ils n'est pas le cas des clients! Eux, ne savent même pas qu'ils
 passent par un tunnel wireguard. passent par un tunnel wireguard.
Ligne 101: Ligne 101:
  
  
-Le routeur peut envoyer une MTU utiliser sur le lien lors de la+Le routeur peut envoyer une MTU à utiliser sur le lien lors de la
 négociation de l'adresse IPv4 en DHCP et de l'adresse IPv6 en Router négociation de l'adresse IPv4 en DHCP et de l'adresse IPv6 en Router
 Advertisement. Vous allez donc configurer votre daemon DHCP/RA pour Advertisement. Vous allez donc configurer votre daemon DHCP/RA pour
Ligne 115: Ligne 115:
  
  
-J'immagine que vous le voyez venir: les solutions propres existantes+J’imagine que vous le voyez venir: les solutions propres existantes
 ne marchent pas dans la pratique, les ingés télécom ont donc trouvé ne marchent pas dans la pratique, les ingés télécom ont donc trouvé
 une solution qui marche a peu près partout mais qui est bien une solution qui marche a peu près partout mais qui est bien
Ligne 126: Ligne 126:
   * **R:** C'est la taille de données maximale que peut supporter un paquet TCP. En gros c'est MTU - taille header TCP. En pratique, MTU - 20.   * **R:** C'est la taille de données maximale que peut supporter un paquet TCP. En gros c'est MTU - taille header TCP. En pratique, MTU - 20.
  
-Dans le cas de Baionet, il faudra donc MSS clamper 1376.+Dans le cas de Baionet, il faudra donc MSS clamper à 1376.
  
 On va donc intercepter tous les messages TCP Syn (demande de On va donc intercepter tous les messages TCP Syn (demande de
vpn-mtu.txt · Dernière modification: 2020/03/18 08:31 de ninjatrappeur