Latence des gateways

ronan311

Bonjour à tous et à toutes !

Voilà, je découvre l'administration réseau niveau ultra débutant, je my suis mis ya quelques semaines maintenant avec l'acquisition d'un ALIX 2D13 sur lequel un pote adminsys m'as préchargé PFSense.
Il m'as pas mal aidé pour la conf de base et la mise en place de client OpenVPN ainsi que les règles de filtrage, les interfaces, les gateways… bref, je m'y perds encore totalement là-dedans, j'avoue.

Contexte :
perso, apprentissage du réseau
Besoin :
Comprendre pour apprendre  ;)
WAN :
Un seul WAN, une Freebox Revolution bridgée
LAN :
Un seul LAN, pas de VLAN
DMZ :
non
WIFI :
non
Autres interfaces :
OPT1 (physique, non utilisée), VPN1, VPN2, OpenVPN, VPNTUNNEL, Floating
Règles NAT :
Outbound manual
Règles Firewall :
WAN : Je ne laisse passer que le ping, je bloque "RFC 1918 networks" et "Not assigned by IANA"
LAN : "Anti-Lockout Rule" (443 et 80), partage Samba, connections "en direct" depuis l'ip publique de la Freebox (Aliases), OpenVPN (pour accéder au LAN)
Packages ajoutés :
mailreport et openvpn-client-export
Autres fonctions assignées au pfSense :
Deux connections OpenVPN (si l'un tombe, l'autre prends le relais)
Question : Problème précis rencontré et questions posées :
Pour ce premier post, car il y en auras sûrement d'autres au fil de mon apprentissage, je me posais une question quand à la "stabilité" des gateways.
En fait, j'ai configuré un groupe de gateways composés de 2 clients OpenVPN et de l'interface WAN.
Les 2 clients OpenVPN sont chacun mis en tier 1 et tier 2, le WAN étant tier 3.
J'ai configuré ça pour faire en sorte de switcher si un membre était down. Ça fonctionne très bien de ce côté là, je suis content  :)
Par contre, j'ai remarqué que lorsque le réseau était beaucoup utilisé (téléchargements, vidéo, etc…) les gateways avaient tendance à prendre beaucoup de latence (plus de 600ms), voir carrément à se mettre offline.
Lorsque ça arrive, le switch se fait nickel, il y a donc réellement une perte d'un gateway.
En plus de ça, certaines fois il arrive qu'un gateway soit offline... mais que mon IP reste celle du gateway offline  ???
J'ai également remarqué que tout redevenait normal une fois le réseau un peu moins chargé.
Cela viendrais t-il de l'Alix qui n'est pas très véloce ?
D'un réglage mal bricolé ?
D'un sort qu'on m'as jeté ?

Merci par avance pour vos réponses, désolé si je suis un peu flou dans mes explications mais je n'ai pas encore les termes techniques et encore une fois je suis complètement paumé dans ce bordel  :-[

baalserv

Bonjour,

Merci d'appliquer ceci : https://forum.pfsense.org/index.php?topic=79600.0
avec le plus de détails possible de votre config

C'est pas très clair l'histoire des client ovpn en gateway ^^

chris4916

Si je comprends bien ta configuration, tu as 1 WAN qui sert de support à 2 client VPN différents, le but étant d'utiliser un VPN, puis l'autre puis enfin le WAN si aucun des 2 VPN fonctionne.

;D

Pour vivre heureux, vivons cachés, c'est ça ???  ;)

La mesure de latence dépend de la gateway (soit par défaut soit que tu défini manuellement).
Cette valeur est normalement assez constante sur un réseau "de qualité" et ne devrait pas dépendre du hardware de ton firewall (sauf si tu est vraiment très limite).

J'ai chez un de mes clients un phénomène similaire, à savoir la latence qui augmente parfois lorsque le trafic augmente, mais c'est clairement un défaut de l'infrastructure du fournisseur d'accès. (ce n'est pas via VPN car ils n'ont pas besoin de se cacher  :P)

Sur un réseau "normal", la variation de latence, chez moi, est de l'ordre de 2 à 3 ms quelque soit le trafic.

ccnet

Ce que j'observe : selon la laisin les valeurs sont différentes (parfois dans un rapport de 1 à 10 selon le support) mais les variations autour de cette valeur sont faibles. L'augmentation de cette valeur ou la perte de liaison (en supposant que le liein du FAI n'est pas tombé) sont souvent le signe d'un problème matériel (ou de bon support du matériel pour un OS donné) ou d'infrastructure.

ronan311

Merci pour vos réponses.
J'ai rééditer mon post pour le faire en un peu plus propre (merci baalserv  ;))

Les 2 VPNs, c'est parceque j'suis un gros tétu, je ne veux pas que mon FAI ou quelqu'un d'autre regarde ce que je fais, et vu que c'est possible d'autobalancer les clients si l'un tombe : ben je l'utilise.
C'est pas tant un "besoin" à proprement parler, juste une envie de pas être épié par quelqu'un… et à défaut de le savoir si oui ou non je suis épié, dans le doute... parano mode
C'est aussi très intéressant de voir les goûts musicaux des Suédois ou des Luxembourgeois sur Youtube  ;D

Du coup, ce serait soit un problème lié au réseau physique ? (c'est possible, dans la résidence ou j'habite à chaque fois que quelqu'un prends l'ascenseur j'ai ma connexion qui sursaute un peu. Ouais ouais, donc à partir de là tout est possible).
Ou alors ça viendrais de l'Alix 2D13 qui n'est pas assez véloce ?

chris4916

Le LX800 est raisonnablement assez puissant(*), surtout si tu es le seul utilisateur. La performance du CPU va principalement influer sur la bande passante que peut traiter le FW (en fonction du nombre de règles) avec bien sûr un impact sur la latence mais cela ne devrait pas engendrer de grosses variations.
Sur quel type de support (disque) écris-tu ?

Regarde la charge CPU dans les graphes de pfSense. Si celle-ci reste faible (ce qui devrait être le cas), alors la variation de latence n'est pas dû à ton équipement.

Il est également possible que les périodes pendant lesquelles tu as un usage plus important du réseau coïncident avec un usage plus important de la part des autres abonnés et donc une charge plus importante au niveau de l'infrastructure à laquelle tu te connectes.
Si tu es en ADSL, le taux d'occupation du NRA auquel tu es connecté doivent être disponibles. C'est un bon indicateur, avec la distance, du débit et niveau de performance que tu peux obtenir.

Ceci dit, sur une ligne qui serait saturée par un taux de transfert important, il n'est pas anormal que la latence augmente.
Et dans l'autre sens, pour reprendre mon exemple précédent, chez ce client qui voit sa latence varier dans des proportions importante, il y a presque toutes les nuit un pic de latence autour de 1s pendant plusieurs minutes sans qu'il y ait de transfert coté client, ce que j'attribue à des opérations sur l'infrastructure du FAI.

(*) peut-être pas si tu as un lien gigabit  ;D

ronan311

Ce LX800 ? : https://upload.wikimedia.org/wikipedia/commons/4/41/Epson-lx800.png  :D

Ben en fait je constate une latence dès lors que j'active les téléchargements (torrent, c'est pas fréquent mais j'avais besoin de 3 distribs Linux en même temps). C'est immédiat.
Pareil quand je désactive le téléchargement, ça redevient normal.
Le soucis est donc directement lié à l'utilisation de mon réseau.
La charge du CPU est faible, voir nulle.

chris4916

@ronan311:

Ce LX800 ? : https://upload.wikimedia.org/wikipedia/commons/4/41/Epson-lx800.png  :D

non, celui-là  :P

@ronan311:

Ben en fait je constate une latence dès lors que j'active les téléchargements (torrent, c'est pas fréquent mais j'avais besoin de 3 distribs Linux en même temps). C'est immédiat.
Pareil quand je désactive le téléchargement, ça redevient normal.
Le soucis est donc directement lié à l'utilisation de mon réseau.
La charge du CPU est faible, voir nulle.

La latence est liée au fait qu'il y a l'équivalent d' I/O wait quelque part entre pfSense et la gateway.
Si ce n'est pas le CPU, c'est que tu dois alors être à la limite de ta bande passante (auquel cas, effectivement, il y a un phénomène de queuing" qui induit de la latence)