Hello Baptiste, Merci pour ton retour ! C’est intéressant cette solution frugale, notamment le tunnel TLS avec stunnel + bidouilles. J’avais vu cet article de Marc Bevand dans le genre : http://blog.zorinaq.com/my-experience-with-the-great-firewall-of-china/ <http://blog.zorinaq.com/my-experience-with-the-great-firewall-of-china/> Lui ajoutait du padding sur ses paquets TCP. Est-ce tes tunnels sont stables ? Quid aussi de la latence et du débit ? Ca marche aussi en période “sensible” quand les Chinois resserrent encore davantage les boulons (e.g. anniversaire de Tiananmen) ?
Guillaume > On 10 Sep 2020, at 17:23, Baptiste Chappe <baptiste.cha...@gmail.com> wrote: > > Hello, > Tout dépends de ton besoin et surtout du débit. A noter, c'est une solution > de pauvre mais idéal pour une startup... > J'ai pas trouvé mieux que le cloud Aliyun à HK pour mes petits besoins > (environ 250 équipements dans la vraie Chine. 2 à 3 giga de trafic/day avec > quelques update quotidien des équipes de markéteux. > Pour passer le GFW, du openvpn/mikrotik/pfsense avec du stnunel pour être > légitime. Important de bien custom le stunel et la MTU pour pas être > déconnecté tout le temps. > Pour que ca marche mieux : > - Avoir une infra sur HK. Faire pointer les devices chinois sur tes IP à HK. > Oublie le DNS coté China continental, ca juste ne marche pas si tu n'es pas > autorisé ICP. > - Pour avoir une latence correct pour toucher HK, tu peux utiliser quelques > serveurs Aliyun sur Brux, Dubai et Tokyo avec un crontab pour monter les > tunnels VPN et rerouter le trafic selon les heures creuses. Débit correct > garantie (10 à 12 Mbit/s). Ca coute pratiquement rien sur un petit VPS. > > Baptiste > > Le jeu. 10 sept. 2020 à 16:43, Guillaume Khayat <guillaume.kh....@gmail.com > <mailto:guillaume.kh....@gmail.com>> a écrit : > Bonjour à tous, > > Je découvre dernièrement les saveurs un peu particulières de l’internet > chinois. Au menu, sur toutes les connections traversant le Great Firewall > chinois (GFW), en désordre et non-exhaustif : > - forte latence et pertes de paquet importante > - TCP RST aléatoires > - pans entiers d’IPv4 redirigés aux oubliettes > - DNS menteurs > - bloquage du TLS 1.3 + ESNI > - throttling/bloquage des principaux VPNs > - throttling/bloquage des tunnels SSH > - FAIs chinois mal/peu interconnectés en eux > - barrières administratives (numéro ICP) > > Ma petite PME ayant de plus en plus de clients en Chine continentale, nous > essayons de trouver des solutions pour fiabiliser le trafic IP entre nos > clients et notre infra hébergée essentiellement en Europe, et bientôt > répliqué à Hong-Kong. > > Nous avons 2 problématiques à résoudre : > 1) trouver un tuyau fiable pour interconnecter notre infra à Hong-Kong et > notre infra continentale sans passer par le GFW. > 2) trouver un CDN en Chine continentale avec suffisamment de PoP chez chaque > FAI (cf pbs d’interconnections mentionnés plus haut) > > #1 Transit > J'ai sollicité China Telecom et China Unicom qui m'ont proposé des solutions > de type SD-WAN (les solutions de type MPLS ou IPLC dépassent nos besoins). > Avez-vous des retours d’expérience avec ces opérateurs ? Quid de China Mobile > ou des opérateurs non-chinois (e.g. BSO ou Aryaka) ? Quelques recommandations > peut-être ? Nous avons des requirements assez modestes, que ce soit en > latence ou en débit. > > #2 CDN > Les FAIs chinois étant peu/mal interconnectés, l’usage d’un CDN de qualité > semble primordial en Chine continentale. Avez-vous des retours d’expérience > sur des CDNs opérants sur place (e.g. Chinacache, CDnetworks, Verizon, > Akamai, Cloudfront, Alibaba, Tencent…) ? Quelques recommandations peut-être ? > > —————— > > Guillaume > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
