Bonjour à tous,
 
Pour les pros du réseau, une petite question qui me fait tourner en bourrique depuis un bon moment maintenant :
 
J'ai une passerelle sous Ubuntu server, qui en gros me sert à partager une connexion VPN. Cette passerelle profite de ma connexion perso pour se connecter à un VPN qui ne me donne accès qu'à certains serveurs et a des routes configurées pour dispatcher les paquets là où il faut (mon FAI pour le net "classique", le VPN pour les serveurs à accès restreint). Comme ça mes autres PC clients (PC de bureau, laptop...) ont une connexion prête à l'emploi en passant par cette passerelle.
 
Le hic, c'est que j'ai quelques soucis :
- Impossible d'envoyer de "gros" mails (long contenu ou pièce jointe), l'envoi se bloque en plein milieu
- Impossible d'afficher certaines pages (genre certaines pages de phpMyAdmin)
- Déconnexions fréquentes en SSH (je parcours un fichier et pouf, la connexion SSH se gèle)
 
Ce qui selon ce que j'ai pu voir sur le net s'apparente à un problème de MTU.
 
Ces problèmes apparaissent seulement avec les serveurs accessibles via le VPN (impossible d'envoyer un mail avec pièce jointe via un serveur SMTP accessible via ce VPN, alors qu'avec celui de mon FAI c'est nickel ; le seul phpMyAdmin qui foire est hébergé sur un serveur auquel j'accède via ce VPN, idem pour les décos SSH...).
 
Voici quelques infos :

 
Mon script iptables (j'ai ouvert autant que j'ai pu tellement je désespère ) :

 
 
J'ai remarqué le MTU 1390 sur l'interface tun0 (justement celle du VPN). J'ai essayé de passer le MTU de mes postes clients à 1390 voire moins, ça ne résoud pas le problème (peut être un peu de mieux, cad que je peux envoyer un long mail ou accéder à des pages qui ne voulaient pas se charger auparavant, mais je finis toujours par avoir des décos en SSH, les mails avec pièce jointe ne passent toujours pas, etc...).
 
Voyez-vous quelque chose qui cloche ?
 
 
Merci beaucoup !

Informations complémentaires : le VPN en question c'est de l'IPSec (Cisco).
 
Mon problème ressemble un peu à ce que j'ai pu voir ici http://blog.aurel32.net/?p=39 mais apparemment il n'a pas trouvé de solution...
 
Je précise aussi que depuis la passerelle il n'y a aucun problème (si je lance un client mail sur la passerelle et que j'envoie un mail il passe nickel, idem pour les connexions SSH etc...). Le problème ne se manifeste que pour des PC clients derrière la passerelle, et qui veulent accéder à des serveurs accessibles via le VPN en question.
 
Voilà voilà... j'espère que quelqu'un aura une idée, merci !

ça m'a l'air d'etre un soucis de path mtu discovery si il y a un filtrage excessif de l'icmp quelque part.
 
essaye donc ça :

 
si ça résoud ton probleme, c'est que c'était bien ça ...

Hello,
 
Merci six_dfx mais j'avais essayé ça, et ça ne changeait rien (j'avais aussi utilisé la version avec -set-mss et une valeur arbritraire)
 
Problème résolu sur un groupe Usenet : un firewall entre les serveurs distants et moi modifiait les numéros de séquence des paquets en oubliant ceux des SACK, du coup dès que les serveurs distants m'envoyaient des acquittements sélectifs leurs numéros de séquence étaient incohérents et ils étaient classés comme INVALID donc non traités par le masquerading de ma passerelle. D'où les coupures de connexion en SSH, les interruptions lors d'envois de gros mails...
 
Le passage de /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal à 1 sur la passerelle pour que le suivi des connexions TCP soit plus permissif à résolu le problème