Forum Linux.général Augmentation de la latence/ping après connexion au VPN

Posté par . Licence CC by-sa
Tags :
3
16
jan.
2018

Bonjour,

je viens vous voir pour prendre un peu de hauteur sur le problème suivant, pour lequel je sèche un peu;

j'administre un serveur OpenVPN sur une instance EC2. Je n'avais jusqu'ici aucun problème particulier. Depuis que j'ai une nouvelle connexion ADSL chez Free, la connexion au VPN multiplie mon ping (jusqu'au serveur) par un facteur 1000, jusqu'a atteindre parfois plus d'un minute. Concrètement, la latence oscille entre 100ms et 600000ms. La bande passante ne semble pas à la ramasse pour autant, il est toujours possible de transférer de gros volumes, mais avec un fort délai.
En revanche, aucun problème depuis une autre ligne (l'ancienne, ou au bureau) ou pour les autres utilisateurs du serveur. Lorsque je coupe le client, la latence redevient acceptable.

Coté technique; le serveur VPN écoute sur tcp/443 et chiffre en AES-256-CBC (mais ca ne devrait pas avoir d'impact puisque camarcheailleurs®). Rien d'anormal dans les logs clients ni serveurs, notamment, pas de déconnexion du client. Pas de firewall particulieur entre client et serveur (et encore une fois, ca marche sur d'autres lignes). Le serveur pousse certaines routes spécifiques (les CIDR d'AWS en particulieur) et non tout /0.
Le client est systématiquement connecté en Wifi a un access point.
Les pings en question sont fait vers l'ip de l'interface tun du serveur, et 8.8.8.8. Je constate des latences similaires et synchronisées.
J'ai découvert l'existence du bufferblot mais mes tests n'ont pas montré de problème (j'ai notamment testé https://github.com/richb-hanover/CeroWrtScripts/blob/master/betterspeedtest.sh).

edit; extrait une trace d'un ping

64 bytes from 8.8.8.8: icmp_seq=856 ttl=57 time=491 ms
64 bytes from 8.8.8.8: icmp_seq=857 ttl=57 time=215 ms
64 bytes from 8.8.8.8: icmp_seq=858 ttl=57 time=9552 ms
64 bytes from 8.8.8.8: icmp_seq=859 ttl=57 time=8541 ms
64 bytes from 8.8.8.8: icmp_seq=860 ttl=57 time=14431 ms
64 bytes from 8.8.8.8: icmp_seq=861 ttl=57 time=13417 ms
64 bytes from 8.8.8.8: icmp_seq=862 ttl=57 time=12404 ms
64 bytes from 8.8.8.8: icmp_seq=863 ttl=57 time=12064 ms
64 bytes from 8.8.8.8: icmp_seq=864 ttl=57 time=11051 ms
64 bytes from 8.8.8.8: icmp_seq=865 ttl=57 time=10430 ms
64 bytes from 8.8.8.8: icmp_seq=866 ttl=57 time=9417 ms
64 bytes from 8.8.8.8: icmp_seq=867 ttl=57 time=8404 ms
64 bytes from 8.8.8.8: icmp_seq=868 ttl=57 time=7442 ms
64 bytes from 8.8.8.8: icmp_seq=869 ttl=57 time=6416 ms
64 bytes from 8.8.8.8: icmp_seq=870 ttl=57 time=5410 ms
64 bytes from 8.8.8.8: icmp_seq=871 ttl=57 time=5725 ms
64 bytes from 8.8.8.8: icmp_seq=872 ttl=57 time=4712 ms
64 bytes from 8.8.8.8: icmp_seq=873 ttl=57 time=4091 ms
64 bytes from 8.8.8.8: icmp_seq=874 ttl=57 time=3104 ms
64 bytes from 8.8.8.8: icmp_seq=875 ttl=57 time=3851 ms
64 bytes from 8.8.8.8: icmp_seq=876 ttl=57 time=2850 ms
64 bytes from 8.8.8.8: icmp_seq=877 ttl=57 time=2438 ms
64 bytes from 8.8.8.8: icmp_seq=878 ttl=57 time=1437 ms
64 bytes from 8.8.8.8: icmp_seq=879 ttl=57 time=1242 ms
64 bytes from 8.8.8.8: icmp_seq=880 ttl=57 time=1402 ms
64 bytes from 8.8.8.8: icmp_seq=881 ttl=57 time=569 ms
64 bytes from 8.8.8.8: icmp_seq=882 ttl=57 time=464 ms

Étant au bout de mes recherche, je requiert votre aide pour trouver de nouveaux axes d'inverstigations. Je suppute un problème dans ma freebox sans pouvoir identifié de cause.

Merci d'avance

  • # Vérification VPN

    Posté par . Évalué à 1 (+0/-0).

    Bonjour,

    Est ce que tu as connaissance des ports qu'utilise le client de ton VPN ?
    Sinon, il faut que la réponse au ping soit activé sur le serveur. Essaye de faire un test en passant l'ip de ton VPN en DMZ sachant que le DMZ est moins sécurisant. As tu également regardé coté Firewall, peut être une MAJ ?

    Merci

    • [^] # Re: Vérification VPN

      Posté par . Évalué à 1 (+0/-0).

      Bonjour,

      je ne suis pas sur de te comprendre mais néanmoins

      $sudo ss -tpan | grep vpn
      ESTAB       0      0      192.168.1.14:35046              mon.serveur.vpn.ici:443                 users:(("openvpn",pid=4543,fd=6))
      

      Sinon, il faut que la réponse au ping soit activé sur le serveur.

      Ca semble bien etre le cas puisque le ping répond, non ?

      As tu également regardé coté Firewall, peut être une MAJ ?

      Je n'ai pas de problèmes en utilisant la meme configuration depuis une autre ligne adsl (ou fibre, pour ce que ca vaut)

  • # et sans le VPN ?

    Posté par . Évalué à 2 (+0/-0).

    parce que si ca se trouve c'est ton WIFI sur cette box, ou l'ADSL de cette box qui deconne.

    tu peux essayer en filaire aussi.

    • [^] # Re: et sans le VPN ?

      Posté par . Évalué à 1 (+0/-0).

      Sans Wifi le ping vers 8.8.8.8 est «normal», autour de 100 ms, ce qui me fait exclure le wifi. Je testerai bien en filaire mais j'ai une de ces nouvelles machines sans connectique, il faut que je trouve un adaptateur avant :(

      • [^] # Re: et sans le VPN ?

        Posté par . Évalué à 2 (+1/-0).

        Tu as testé vers d'autres VPN, histoire de vérifier si ce n'est pas Free qui ralentirait volontairement le trafique?

        Donation : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat (Bitcoin | Bitcoin Cash)

      • [^] # Re: et sans le VPN ?

        Posté par . Évalué à 4 (+2/-0).

        Sans Wifi VPN le ping vers 8.8.8.8 est «normal»

        en effet, si le probleme ne vient que lorsque le VPN est ouvert,

        tu peux essayer en forcant le VPN a tout faire passer dans le VPN plutot que les routes specifiques,
        les pings qui sautent etant parfois le symptome de routage assymetrique, ca pars d'un coté (internet), ca revient de l'autre (vpn)

        il te faut aussi essayer le ping sans le VPN vers la plateforme AWS (ton serveur VPN) voir si ca fluctue,
        en effet, si ca se trouve le FAI voit que c'est vers AWS et fait de la QOS (de merde on est d'accord)

        • [^] # Re: et sans le VPN ?

          Posté par . Évalué à 2 (+1/-0).

          tu peux essayer en forcant le VPN a tout faire passer dans le VPN plutot que les routes specifiques,

          Bonne idée, je testerai ca

          il te faut aussi essayer le ping sans le VPN vers la plateforme AWS (ton serveur VPN) voir si ca fluctue,
          en effet, si ca se trouve le FAI voit que c'est vers AWS et fait de la QOS (de merde on est d'accord)

          Je n'ai jamais noté de problème vers AWS lorsque je suis hors-VPN, typiquement, l'usage de Slack est fluide (hosté chez aws), et meme l'accès à l'interface web est possible. Mais en effet ca ne veut pas dire qu'il n'y ai pas de QoS sur des tuples de (service, destination) spécifique.

          Ca me surprend malgré tout car, en utilisant (avec son accord) la freebox de mon voisin, je ne constante aucun des problèmes évoqués. Mais peut-etre que la QoS dépend aussi des abonnés. Aussi, ces perturbations se produisent a tout moment de la journée et pas uniqement en heure de pointe.

          il te faut aussi essayer le ping sans le VPN vers la plateforme AWS (ton serveur VPN) voir si ca fluctue,

          Je vais monitorer ce point oui

  • # Problème similaire non résolu

    Posté par . Évalué à 3 (+1/-0).

    En dehors de tout contexte VPN, j'ai le même problème régulièrement avec une connexion free mobile partagée sur un PC? dans une zone où ça ne capte pas avec un très bon signal (1 à 2 sur 5)
    Les ping montent de même jusqu'à une ou deux minutes, puis tout arrive d'un coup (avec la bande passante 3G du lieu et du moment, soit quelques centaines de kilo-octets par seconde tout de même) - bien sûr quand d'autres timeout n'ont pas claqué entre temps (je pingue les serveurs DNS de free et de google).

    Je n'ai pas réussi à trouver l'origine du problème mais je suis preneur des pistes. Je testerai le bufferbloat à l'occasion.

    • [^] # Re: Problème similaire non résolu

      Posté par . Évalué à 1 (+0/-0).

      Juste pour qu'on soit bien clair, il s'agit ici d'une ligne ADSL cuivrée sur la boucle locale. Mais je comprend que les symptomes puissent êtres similaire.

  • # UDP ?

    Posté par . Évalué à 1 (+0/-0).

    As-tu tenté l'UDP à la place du TCP ?

    • [^] # Re: UDP ?

      Posté par . Évalué à 1 (+0/-0).

      Non en effet, je n'ai pas testé UDP. Nous utilisons spécifiquement TCP/443 pour passer les portails captifs type Wifi Ouvert. Je testerai surement en dernier recours.

      • [^] # Re: UDP ?

        Posté par . Évalué à 1 (+0/-0).

        Tu peux laisser les 2 en écoute. Comme ça si 443/UDP passe pas ba tu te rabats sur 443/TCP en dernier recours.

  • # Crédits épuisés?

    Posté par (page perso) . Évalué à 3 (+1/-0).

    Quelle type d'instance EC2 utilises-tu ?

    Les petites instances sont sévèrement limitées en ressources, et quand tu dépasses les seuils, AWS te bride fortement. Par exemple, si tu as épuisé ton quota de CPU, c'est possible que le CPU bridé n'arrive plus à suivre pour le chiffrement. Il y a aussi des limites niveau réseau, mais je ne sais pas exactement comment ça marche.

    • [^] # Re: Crédits épuisés?

      Posté par . Évalué à 3 (+2/-0).

      Les autres utilisateurs du VPN du serveur n'ont pas les problèmes décrits ici, et moi non plus depuis une autre ligne. Du coup j'en exclue un bridage coté serveur.

      Je veux dire; si la limite viens d'AWS, tout les utilisateurs devraient la sentir en même temps. Ce n'est pas le cas.

  • # followup

    Posté par . Évalué à 1 (+0/-0).

    Ca fait quelques jours maintenant que je n'ai plus eu de problèmes, sans action de ma part.

    Je parierai que mon FAI fait de la QoS sur les nouveaux abonnés

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.