[Masquerading/Numericable] Probleme de l'espace N°2 (résolu)

razer · Last edited by razer on Thu Jul 16, 2009 7:43 am; edited 1 time in total

Bonjour à tous,

Je vais devenir le spécialiste des problèmes illogiques sans explication... Mon problème est tellement tordu qu'il est compliqué à expliquer, et malgré une certain expérience des réseaux, j'avoue que je colle totalement, j'ai jamais vu un truc de ce genre...

Tout d'abord, l'infrastructure réseau pour bien comprendre (au moins çà...):

Net <-> Modem numericable <-Ethernet 100Mbp 192.168.0.0/24-> Serveur <- Ethernet 100Mb 192.168.1.0/24-> Switch <-> Reseau local

Il y a donc 2 cartes réseau (des realtek 8139, 10/100) sur le serveur, et un switch 100Mb

Le serveur est configuré pour le masquerading entre eth1 (réseau local, 1.x) et eth0 (modem, 0.x), via shorewall

Maintenant la panne :
La connexion semble normale, jusqu'à un certain nombre de requêtes. C'est à priori l'UDP qui met le brin, car la meilleure manière de provoquer la panne est de lancer EnemyTerritory ou d'effectuer en masse des requêtes DNS.
A ce stade, les requêtes DNS sont affreusement lentes ou n'aboutissent plus du tout, et la liste des serveurs ETerritory ne s'affiche pas. Cette panne est présente à la fois sur le serveur (via wget par exemple), que sur le PC masqueradé.
Toujours au même stade, un autre PC branché directement sur le modem numericable fonctionne normalement. L'inversion des 2 PC permettant ce test aboutit au même résultat
Le reset du modem ou le reboot du serveur supprime le problème, jusqu'à une nouvelle saturation de l'UDP (??)

Mes investigations :
Suppression totale de firewall, activation du masquerading uniquement -> même résultat
Suppression du switch et connexion via un cable croisé entre serveur et client -> même résultat
Changement des 2 cartes réseau (je viens d'en acheter 2 nouvelles), inversion de ces dernières -> même résultat
Utilisation d'une carte réseau 10Mb vers le modem et 100Mb vers le PC client -> même résultat
Split de kernel (2.6.22 -> 2.6.29) -> même résultat
Utilisation d'un autre PC comme serveur -> même résultat
Utilisation d'une carte réseau 100Mb vers le modem et 10Mb vers le PC client -> résolution du problème (sauf que je ne souhaite évidemment pas rester à 10Mb pour le local)

Dernière chose importante : Le problème se pose à 2 endroits différents, donc sur 2 connexions numericable, 2 modems différents, 2 serveurs / cartes réseau différents, mais avec une config très similaire

En ce moment, j'essaye de jouer avec ethtool, sans trop de succès (le système ne semble pas prendre en compte mes changements)
Je vais aussi tenter une liaison wifi entre le serveur et le modem.

Toute idée, piste, lien, voir simplement encouragement dans la recherche du grisbi de l'année bienvenue...

razer · Posted: Wed Jul 15, 2009 3:07 pm Post subject:

Utilisation du Wifi entre le serveur et le modem, à la place de l'ethernet -> même résultat
Cette configuration marche parfaitement chez moi avec une freebox et le même serveur -> problème propre à numericable, même si sans serveur ou avec un réseau 10Mb çà fonctionne (???????????????)

Je reste dans le flou le plus total...

razer · Posted: Thu Jul 16, 2009 7:42 am Post subject:

Je pense avoir résolu mon problème...
Numericable propose 2 modèles différents de modem/routeur, un netgear (CBVG834G) et un Castlenet. Les deux sont configurables de manière habituelle, via une interface http accessible en entrant l'IP.
Les login/mdp indiqués au verso du modem ne permettent d'accéder qu'à une partie de la conf, un autre login/mdp trouvé sur internet permet d'avoir accès à la totalité de la conf.
Or, dans la config du firewall, il y avait de coché :
Blocage des paquets IP fragmentés Activé
Détection d'IP flood Activé
Protection par pare-feu Activé

Forcément, derrière une passerelle qui elle même réalise le filtrage/routage, cela posait des problèmes...

Ce que je ne comprends pas bien, c'est ce blocage des paquets fragmentés. Je peux comprendre qu'ils peuvent poser des problèmes de sécurité (je vais d'ailleurs me renseigner sur ce point), mais selon les bases de tcp/ip qu'il me reste en mémoire, ils sont très utiles, notament en environnement saturé.

J'attends vos remarques éventuelles sur ce point.

Poussin · l33t Joined: 08 Jun 2007 Posts: 659 Location: Liège

Je vais peut-être dire une bêtise, mais ça m'embête le double NAT dans ta config réseau. Je ne connais pas les modem numericables mais est-il possible de les configurer en mode bridge? De cette manière, ce sera ton serveur qui disposera de l'adresse IP publique et le modem ne serait plus routeur (juste modem... ce qu'on lui demande me semble-t-il)

Enfin voilà ma remarque à deux balles qui ne sera peut-être pas très utile. Si c'est le cas, désolé pour le dérangement

razer · Posted: Thu Jul 16, 2009 10:25 pm Post subject: