HelpMeFree (Auteur du topic), Posté le: Mer 30 Nov 2016, 20:09 Sujet du message: Freebox: Xboxlive, PS4 ... paquets fragmentés
Freebox: Xboxlive, PS4 ... paquets fragmentés136858126102
Je fais suite à un message d'il y a quelques semaines où une personne se plaignait de ne pas pouvoir se connecter correctement aux hub de jeux en ligne xboxlive lorsque la Freebox est en mode routeur, même avec le DMZ activé, l'application en ligne renvoyant l'erreur : "nat restreint"
Ce problème disparaissant si la Freebox est en mode bridge.
En naviguant un peu par hasard sur Internet je pense avoir trouvé l'explication. En effet beaucoup de gens jouant sur le hub en ligne XBoxlive mais aussi le hub de la Sony Playsation se plaignent de ce problème... et pas uniquement en France.
Il s'agirait d'un problème de "paquets" IP fragmentés.
Dans le monde Unix il est assez courant sur les passerelles d'autoriser les paquets fragmentés en réseau local car certaines applications comme le service de partage NFS sont connues pour générer des paquets fragmentés, donc bloquer ces paquets provoquent des anomalies de connexion.
Il semblerait d'après ce que j'ai lu que les services de jeux en ligne Sony et Xboxlive génèrent ces fameux paquets fragmentés, ou ce ne sont pas forcément eux directement qui en sont à l'origine mais peut-être plus les relais de données ou Content Delivery Network (cdn) dont le prestataire le plus connu est Akamai massivement utlisé par Microsoft et Apple, ainsi le problème peut se poser de façon aléatoire. Chez certains "no problem", chez d'autres qui se retrouvent derrière un mauvais CDN, ça merdoit.
Pour des raisons de sécurité les firewall par défaut rejettent les paquets IP fragmentés, car un paquet fragmenté et en quelqe sorte un paquet isolé qui peut être le fait d'un pirate qui a créé ou modifié manuellement un tel paquet à de mauvaise fins mais en réalité la majorité de ces paquets se sont fragmentés tout seul en cours de route et sont à la base licites.
Si vous utlisez un firewall personnel sophistiqué sous Windows il dispose en général d'une option qui permet d'accepter ou rejeter ces paquets fragmentés. C'est en général une option avancée bien cachée aux yeux des utlisateurs néophytes.
Sous Unix par exemple le firewall Packet filter possède différentes options : accepter rejeter ces paquets, ne les accepter que sur telle ou telle interface réseau, il y a des règles de normaliaation qui peuvent imposer au firewall de ne laisser passer les paquets que lorsqu'ils sont intégralement "reconstitués" en mémoire cache (option"reassemble")
Pour les gens qui bidouillent sous Linux et qui utilisent sans doute plus IPTable, il doit y avoir des options équivalentes. Packet filter est plus utilisé dans le monde BSD
Ma conclusion est que je soupçonne la Freebox de bloquer ces paquets fragmentés lorsqu'elle est en mode routeur.
En mode bridge le problème disparait car il n'y a probablement plus de firewall actif ou il fonctionne a minima.
Donc la solution serait que notre modérateur préféré remonte l'information aux développeurs des Freebox. Il faut absolument que sur l'interface des serveurs v6 (soft identique sur la Mini 4K) et la future v7 on propose cette fameuse option avec bien entendu un message d'avertissement, sachant que la plupart des gens utlisant un Firewall personnel en "doublure", le risque d'autoriser ces fameux paquets sur la passerelle n'est en réalité pas très élevé.
Et puis en tant que particulier les gens ne s'exposent pas aux même niveau de sophistication des attaques. Les pirates ne s'emm... pas pour rien, ils ne le font que q'ils savent qu'il y a une grosse cible derrière.
C'est une information très importante car beaucoup d'utlisateurs qui ont notamment la Fibre se trouvent réellement frustrés d'être emm... et de ne pouvoir profiter pleinement de leur connexion.
Ce développement ne coûterait pas grand chose et résoudrait de nombreux problèmes auxquels sont confrontés les gamers... mais pas seulement. Comme je l'ai dit c'est un problème plus général qui peut tout aussi bien emm... un professionnel à travers des applications spécifiques, et il y a beaucoup de petites entreprises qui utlisent Free... même si même si .... mais Free le sait parfaitement.
Je suis du reste surpris que l'option ne soit pas présente alors que l'on voit à côté des paramètres très très exotiques comme le "short gi" sur l'interface Wifi, on trouve des réglages de Fastpath.... mais pas d'option pour autorise les paquets fragmentés.... vraiment étrange de la part de Free OU personne jusqu'à présent n'a fait l'effort de remonter cette info aux développeurs.
On sait que la plupart des gamers utilisaient souvent la V5 en mode bridgé avec leur propre routeur, sauf qu'avec la V6 les gens ne veulent plus forcément basculer le serveur en mode routeur car on perd des fonctionnalités comme le Wifi domestique, le VPN... on se dit ... je paye tant par mois pour la V6 peut-être un peu plus pour la future v7 c'est pour avoir l'intégralité des services autrement ... autant prendre un abonnement le plus basique possible et gérer tout cela avec son propre routeur.
loggoi, Posté le: Mer 30 Nov 2016, 22:27 Sujet du message: Re: Freebox : xboxlive, PS4 ... paquets fragmentés
Re: Freebox : xboxlive, PS4 ... paquets fragmentés34583206
HelpMeFree a écrit:
Je fais suite à un message d'il y a quelques semaines où une personne se plaignait de ne pas pouvoir se connecter correctement aux hub de jeux en ligne xboxlive lorsque la Freebox est en mode routeur, même avec le DMZ activé, l'application en ligne renvoyant l'erreur : "nat restreint"
Ce problème disparaissant si la Freebox est en mode bridge.
En naviguant un peu par hasard sur Internet je pense avoir trouvé l'explication. En effet beaucoup de gens jouant sur le hub en ligne XBoxlive mais aussi le hub de la Sony Playsation se plaignent de ce problème... et pas uniquement en France.
Il s'agirait d'un problème de "paquets" IP fragmentés.
Dans le monde Unix il est assez courant sur les passerelles d'autoriser les paquets fragmentés en réseau local car certaines applications comme le service de partage NFS sont connues pour générer des paquets fragmentés, donc bloquer ces paquets provoquent des anomalies de connexion.
Il semblerait d'après ce que j'ai lu que les services de jeux en ligne Sony et Xboxlive génèrent ces fameux paquets fragmentés, ou ce ne sont pas forcément eux directement qui en sont à l'origine mais peut-être plus les relais de données ou Content Delivery Network (cdn) dont le prestataire le plus connu est Akamai massivement utlisé par Microsoft et Apple, ainsi le problème peut se poser de façon aléatoire. Chez certains "no problem", chez d'autres qui se retrouvent derrière un mauvais CDN, ça merdoit.
Pour des raisons de sécurité les firewall par défaut rejettent les paquets IP fragmentés, car un paquet fragmenté et en quelqe sorte un paquet isolé qui peut être le fait d'un pirate qui a créé ou modifié manuellement un tel paquet à de mauvaise fins mais en réalité la majorité de ces paquets se sont fragmentés tout seul en cours de route et sont à la base licites.
Si vous utlisez un firewall personnel sophistiqué sous Windows il dispose en général d'une option qui permet d'accepter ou rejeter ces paquets fragmentés. C'est en général une option avancée bien cachée aux yeux des utlisateurs néophytes.
Sous Unix par exemple le firewall Packet filter possède différentes options : accepter rejeter ces paquets, ne les accepter que sur telle ou telle interface réseau, il y a des règles de normaliaation qui peuvent imposer au firewall de ne laisser passer les paquets que lorsqu'ils sont intégralement "reconstitués" en mémoire cache (option"reassemble")
Pour les gens qui bidouillent sous Linux et qui utilisent sans doute plus IPTable, il doit y avoir des options équivalentes. Packet filter est plus utilisé dans le monde BSD
Ma conclusion est que je soupçonne la Freebox de bloquer ces paquets fragmentés lorsqu'elle est en mode routeur.
En mode bridge le problème disparait car il n'y a probablement plus de firewall actif ou il fonctionne a minima.
Donc la solution serait que notre modérateur préféré remonte l'information aux développeurs des Freebox. Il faut absolument que sur l'interface des serveurs v6 (soft identique sur la Mini 4K) et la future v7 on propose cette fameuse option avec bien entendu un message d'avertissement, sachant que la plupart des gens utlisant un Firewall personnel en "doublure", le risque d'autoriser ces fameux paquets sur la passerelle n'est en réalité pas très élevé.
Et puis en tant que particulier les gens ne s'exposent pas aux même niveau de sophistication des attaques. Les pirates ne s'emm... pas pour rien, ils ne le font que q'ils savent qu'il y a une grosse cible derrière.
C'est une information très importante car beaucoup d'utlisateurs qui ont notamment la Fibre se trouvent réellement frustrés d'être emm... et de ne pouvoir profiter pleinement de leur connexion.
Ce développement ne coûterait pas grand chose et résoudrait de nombreux problèmes auxquels sont confrontés les gamers... mais pas seulement. Comme je l'ai dit c'est un problème plus général qui peut tout aussi bien emm... un professionnel à travers des applications spécifiques, et il y a beaucoup de petites entreprises qui utlisent Free... même si même si .... mais Free le sait parfaitement.
Je suis du reste surpris que l'option ne soit pas présente alors que l'on voit à côté des paramètres très très exotiques comme le "short gi" sur l'interface Wifi, on trouve des réglages de Fastpath.... mais pas d'option pour autorise les paquets fragmentés.... vraiment étrange de la part de Free OU personne jusqu'à présent n'a fait l'effort de remonter cette info aux développeurs.
On sait que la plupart des gamers utilisaient souvent la V5 en mode bridgé avec leur propre routeur, sauf qu'avec la V6 les gens ne veulent plus forcément basculer le serveur en mode routeur car on perd des fonctionnalités comme le Wifi domestique, le VPN... on se dit ... je paye tant par mois pour la V6 peut-être un peu plus pour la future v7 c'est pour avoir l'intégralité des services autrement ... autant prendre un abonnement le plus basique possible et gérer tout cela avec son propre routeur.
Explication interessante sauf qu'il n'y a pas de firewall sur la Freebox. Le mode routeur n'est pas un pare-feu , il ne fait que de la translation d'adresses.
HelpMeFree (Auteur du topic), Posté le: Jeu 01 Déc 2016, 15:48 Sujet du message: Re: Freebox : xboxlive, PS4 ... paquets fragmentés
Re: Freebox : xboxlive, PS4 ... paquets fragmentés136858126102
loggoi a écrit:
Explication interessante sauf qu'il n'y a pas de firewall sur la Freebox. Le mode routeur n'est pas un pare-feu , il ne fait que de la translation d'adresses.
LA Freebox TOURNE SOUS Linux ET IL Y A UN FIREWALL SUR LA Freebox DU NOM D'IPTABLE.
SOUS Linux, BSD, LE ROUTAGE, LES REDIRECTIONS DE PORTS, COMME LA GESTION DU NAT D'AILLEURS SE FONT.... ESSENTIELLEMENT VIA LE FIREWALL.
DONC IL Y A OBLIGATOIREMENT UN FIREWALL SUR LA Freebox, à part que Free n'offre pas de possibilité actuellement de le programmer et que les règles sont en fait très basique. On peut en effet mettre en place un firewall... et tout autoriser
Comme je l'ai dit par défaut, les paquets fragmentés sont bloqués par le firewall sauf si on lui donne une insctruction en sens inverse. L'autorisation ou le refus des paquets fragmentés se situe à une couche basse donc intervient avant les règles d'autorisation de connexion. Donc même si on imagine des règles très permissives, l'absence d'instruction en amont bloque ces paquets isolés. Ainsi même sur uejn règle DMZ, ces fameux paquets seront bloqués en amont.
Voila pourquoi en mode "bridge" il n'y a pas de souci car le Firewall est probablement désactivé ou fonctionne à minima
Je suis sûr à 99,9% de cette explication... les redirections de ports c'est moi qui les fait sur ma passerelle BSD via le fameux Packet Filter et il n'y a pas d'autre moyen de faire de la redirection de port que de passer par un firewall
Et il ne peut pas y avoir d'autres explications car si on on se contente de ta réponse alors il est totalement inexplicable que des gens rencontrent de telles soucis en mode routeur même sur l'adresse DMZ. Ca signfiie bien que malgré tes affirmations.... la Freebox en mode routeur bloque OBLIGATOIREMENT des données.
D'autre part ça rejoint aussi certains commentaires de gens qui occasionnellement ont d'énormes soucis pour se connecter aux serveurs d'Apple. Par exemple il y a plein de gens qui ne parviennent pas à mettre à jour le firmlware de leurs tablettes iPad, leur iPhones via une connexion haut débit Free... mais ça passe via un autre opérateur.
Cela montre sans aucune ambiguité possible bien que le routeur Freebox n'est pas neutre.
Moi même j'ai rencontré ce problème... et au final je me rends compte que c'est très aléatoire. Il y a des périodes où je n'éprouve aucun problème pour mettre a jour le firwmare d'un iPad depuis chez moi, mais il y a des jours où c'est tout simplement impossible (je suis en Fibre donc la qualité de connexion n'entre pas en jeu), je perds systématiquement la connexion en cours de téléchargement..... l'explication à ce phénomène "aléatoirement étrange".... ce ne peut être que ces histoires de paquets fragmentés qui sont en effet un phénomène très alétaoire
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
