Merci du retour Olivier, tu sembles avoir une grande expérience des Smartedge.
Donc au final sur l'interface multibind il faut appliquer les deux paramètres ? Et si je comprends bien le tcp mss replace s'applique aux paquets sortant et si gros paquets en entrée le clear-df permettra la fragmentation. j'ai bon ? Le 18 janvier 2018 à 14:14, Olivier Benghozi <olivier.bengh...@wifirst.fr> a écrit : > Très juste concernant le TCP, mais en réalité il faut faire les deux (sur > Smartedge), parce qu'il n'y a pas que du TCP (surtout avec les conneries de > Google à la sauce QUIC, ou l'EDNS avec DNSSEC, etc). > Ce clear-df autorise surtout le routeur à fragmenter vers le client ce qui > ne passe pas les 1492 plutôt que d'envoyer un ICMP qui sera bouffé par le > premier filtrage venu (ou tout simplement pas envoyé pour cause de > rate-limit des paquets à exception). > > Pour le "mss adjust sur template PPP", là tu parles de ton experience sur > Cisco je pense :) > Sur Smartedge c'est sur "interface multibind". > > Au fait, quand on fait du L2TP sur Smartedge, le MSS adjust n'est appliqué > que dans un seul sens, à savoir sur les SYN client-PPP vers Internet, et > pas l'inverse (en réalité le code est malfichu, le paquet L2TP est vu comme > "un paquet UDP" et donc ça passe à travers). > Donc il y a intérêt à ce que le CPE du client renvoie bien des ICMP must > fragment au client, ou qu'il fasse du mss adjust lui-même. > Ou faire aussi du MSS adjust sur les interfaces core du Smartedge. > > > Le 18 janv. 2018 à 12:44, David Ponzone <david.ponz...@gmail.com> a > écrit : > > > > La solution élégante consiste généralement à mettre un TCP MSS à 1420 > sur le template PPP du LNS. > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/