Est-ce que tu crois que c'est un rate-limit ? je vois pas d'autre explication.
Michel. -----Original Message----- From: David Ponzone [mailto:david.ponz...@gmail.com] Sent: Thursday, August 30, 2018 5:15 PM To: Michel Py Cc: Toussaint OTTAVI; frnog@frnog.org Subject: Re: [FRnOG] [MISC] Fortigate et traceroute : la honte Non mais par contre j’ai fait ce test depuis un PC qui arrive dans un VDOM qui a comme default route le VDOM root, sans NAT, juste un peu d’application control. Je referai si je peux un essai depuis un PV derrière un Forti en conf plus classique. David Ponzone Le 31 août 2018 à 02:09, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : >> David Ponzone a écrit : >> Hmm je pige pas ta spécificité. Je fais un tracert depuis un PC derrière un >> Forti, et il est nickel. > > C'est clair qu'il y en a une. Transparent mode ? > > Michel. > > > Le 30 août 2018 à 23:14, Michel Py <mic...@arneill-py.sacramento.ca.us> a > écrit : > >>> David Ponzone a écrit : >>> Ok t’as un exemple pour illustrer la gravité de la chose ? >> >> De mon ordi (1 source) je peux même pas faire UN tracert vers l'extérieur >> sans que le Fortigate me bouffe entre la moitié et les deux-tiers des hops >> (voir plus bas). >> >>> Parce qu’à part si tu passes ton temps à faire des traceroute simultanés... >> >> Ce n'est pas le cas. >> >>> Et encore, c’est juste le hop du Forti qui répond des *. >> >> Non c'est plus de la moitié des hops au milieu. >> >> - Ca vient du Fortigate (aucun des autres vendeurs n'ont le problème, mêmes >> pas ceux que tout le monde évite). >> - Ca vient pas de tracert.exe, WinMTR fait la même chose. >> - Quand on fait des pings des hops individuels on a 100%. >> - On a enlevé antivirus et autres, mis des règles qui laissent tout entrer >> et tout sortir, pareil. >> >> AMHA c'est un rate-limit à la con dans le style 1 PPS. >> >> Pour l'histoire de fous, voir plus bas. >> >> With Fortigate >> |------------------------------------------------------------------------------------------| >> | WinMTR statistics >> | >> | Host - % | Sent | Recv | Best | Avrg >> | Wrst | Last | >> |------------------------------------------------|------|------|------|------|------|------| >> | crc30r1.rv.am.necel.com - 0 | 54 | 54 | 0 | 0 >> | 8 | 0 | >> | crt-edge1.rv.am.necel.com - 0 | 54 | 54 | 0 | 0 >> | 12 | 0 | >> | crt-border1-v925.tsisemi.com - 0 | 54 | 54 | 0 | 2 >> | 74 | 1 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | prs-bb4-link.telia.net - 14 | 37 | 32 | 170 | 171 >> | 182 | 170 | >> | prs-b5-link.telia.net - 0 | 55 | 55 | 146 | 147 >> | 157 | 146 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | craftix.gasmi.net - 0 | 55 | 55 | 152 | 153 >> | 154 | 153 | >> |________________________________________________|______|______|______|______|______|______| >> >> >> Without Fortigate or with another brand : >> |------------------------------------------------------------------------------------------| >> | WinMTR statistics >> | >> | Host - % | Sent | Recv | Best | Avrg >> | Wrst | Last | >> |------------------------------------------------|------|------|------|------|------|------| >> | crc30-63.rv.am.necel.com - 0 | 51 | 51 | 0 | 0 >> | 12 | 1 | >> | crt-edge1.rv.am.necel.com - 0 | 51 | 51 | 0 | 0 >> | 13 | 0 | >> | crt-border1-v925.tsisemi.com - 0 | 51 | 51 | 0 | 1 >> | 40 | 1 | >> | 241.dsl6660136.sub-29.surewest.net - 0 | 51 | 51 | 1 | 1 >> | 13 | 1 | >> | 204.154.217.20 - 0 | 51 | 51 | 2 | 2 >> | 14 | 2 | >> | 204.154.217.245 - 0 | 51 | 51 | 2 | 2 >> | 14 | 2 | >> | 204.154.217.196 - 0 | 51 | 51 | 2 | 4 >> | 41 | 2 | >> | sjo-b21-link.telia.net - 0 | 51 | 51 | 6 | 9 >> | 16 | 11 | >> | nyk-bb4-link.telia.net - 0 | 51 | 51 | 75 | 75 >> | 77 | 76 | >> | prs-bb4-link.telia.net - 0 | 51 | 51 | 143 | 143 >> | 158 | 143 | >> | prs-b5-link.telia.net - 0 | 51 | 51 | 146 | 146 >> | 158 | 146 | >> | lostoasis-ic-310624-prs-b5.c.telia.net - 0 | 51 | 51 | 147 | 147 >> | 158 | 147 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | No response from host - 100 | 11 | 0 | 0 | 0 >> | 0 | 0 | >> | sdv-plurimedia.customers-sfr-str.ielo.net - 0 | 51 | 51 | 152 | 153 >> | 158 | 153 | >> | craftix.gasmi.net - 0 | 51 | 51 | 152 | 152 >> | 153 | 153 | >> |________________________________________________|______|______|______|______|______|______| >> >> >>> Oliver Varenne a écrit : >>> A mon avis, (Michel confirmera ou infirmera), le problème n'est pas tant la >>> gravité de la chose, mais >>> surement le fait qu'il a du passer plusieurs heures/jours à chercher >>> pourquoi il avait des "*" comme >>> tu dis, pour se rendre compte qu'il a perdu beaucoup de temps sur une >>> connerie... Et le pire dans ce >>> genre de cas, c'est que quand la connerie est désactivable via une option, >>> tu te dis "j'ai appris quelque >>> chose", mais quand c'est imposé, tu te sens vraiment floué par des >>> décisions qui semblent arbitraires. >> >> Je sais même pas combien d'heures/hommes on a perdu avec cette connerie mais >> c'est en centaines. J'ai un ingé et un fournisseur qui se sont cassé la tête >> pendant des jours à chercher un problème là ou il n'y était pas, parce >> qu'ils ont fait trop confiance au tracert et qu'ils se sont pas rendus >> compte que le Fortigate bouffait la ligne du hop qu'ils étaient en train de >> troubleshooter. Quand on a enlevé le Fortigate et obtenu un traceroute qui >> marchait çà leur a immédiatement montré ou était le problème. >> >>> Soyons honnêtes, dans ce genre de cas ça devrait être sous forme d'option: >>> - limiter les paquets à 1 par seconde pour protéger blablablablabla : >>> oui/non >> >> Oui, mais en plus 1 PPS en 2018 c'est débile. Ils auraient mis 10 PPS je >> m'en serais pas aperçu, et 100 PPS çà aurait pas tué leur machin non plus. >> >> Plomber les outils de l'ingé qui cherche un problème, c'est grave. Me faire >> perdre encore plus de temps pour essayer de m'expliquer que c'est pas leur >> faute, c'est pire. Payer des vrais gros sous en plus du temps perdu pour >> avoir le privilège de tous ces emmerdements, faut être con. J'ai été con, >> mea culpa, je le referai plus. >> >> Michel. >> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
