Accès internet impossible avec squid sur ipcop

[Mob]

6- Si proxy activé - Transparent + Squiguard = accès normal au net mais sans filtrage SquidGuard
Mob.

Petite précision :

Si tu configures ton proxy comme ceci (cf ci-dessus), il faut alors que tu configures Internet Explorer (par ex, ou Mozilla ou autre) pour utiliser ton proxy IPCOP via le port 800 (port du proxy d'IPCOP utilisé par défaut), et là (j'ai le même type de connexion que toi ND ADSL 2Mo) rien ne fonctionne de mon côté.

Si uniquement "proxy activé - Transparent + Squiguard" sans configuration d'Internet Explorer, autant ne rien configurer du tout, car tes paquets envoyés sur le net ne passeront pas à travers ton proxy qui ne servira donc à rien.

CCL : rien ne fonctionne.

Oui merci tu as raison j'ai d'ailleurs ajouté le point 7 à l'instant.

Je ne sais plus quoi faire en fait (changé de FAI ou attendre la fin "officiel" des modifs chez Free) car hier matin c'était revenu à la normale pendant quelques heures avant de retombé dans la même mouise.

En fait le problème pour moi est d'avoir un routeur pour 25 postes (donc celui de la Freebox pas possible) et un filtre type SquidGuard.

Mob

[patrick-f]

Une autre manière de résoudre le problème.

Le proxy devient fonctionnel sans mettre la freebox en mode routeur.


passer le MTU de l'interface red à un MTU de 1460 (au lieu du MTU réglé à 1500 d'origine)

voici la commande pour changer le MTU en mode console sur l'interface eth1 ( l'interface ou se trouve le red chez moi)

Code: Tout sélectionner

ifconfig eth1 mtu 1460

[Franck78]

Si tout le monde valide que le MTU résoud ce problème, il y a des chances que le GUI d'IPCop intègre rapidement l'option...!

[Mob]

Re,

Je viens de changer le MTU pour 1640, activé le Proxy + transparent + suidguard et quelques tests de surf après je témoigne que c'est ok pour le moment. Le ping "à l'air" d'être plus lent mais c'est peut être une fausse impression.

Je reste comme cela pour le moment et on va voir ce que cela donne.

Peux tu m'expliquer pourquoi le MTU influe sur ce problème ?

Merci pour l'astuce !!

Mob.

[erreipnaej]

Bonjour,

Je vais tenter le changement de MTU ce soir en rentrant.
Je reposterais pour les résultats.
Par contre cette commande est elle persistante ou doit on la relancer aprés un reboot d'IpCop?
Pour éviter des problémes lors de la reconnection journaliére de ma FB, j'ai paramétré un reboot journalier d'IpCop à 4h du mat. Cela me permet d'éviter environ 50 à 60% des plantage de reconnection.
Si je dois relancer la commande tous les matins, il faut que je l'intégre au crontab.
Merci de l'info.
@+

[patrick-f]

Cette commande pour changer le MTU est à lancer à chaque démarrage


On peut la placer dans le fichier
etc/rc.d/rc.local
pour qu'elle se lance à chaque démarrage



Je ne sais pas si cette valeur de 1460 est le meilleur choix, mais une valeur supérieure ne marche pas.

[erreipnaej]

Bonsoir,

Avec la MTU réglée à 1460, le proxy transparent fonctionne, de même que le BOT.
Donc il y a eu des changements importants chez Free.

@ Patrick-f
Merci de l'info, je vais rajouter cette commande dans mon rc.local pour qu'a chaque reboot cette valeur de MTU soit fonctionnelle.
@+

[athlon.one]

Merci patrick-f !

La modif du mtu fonctionne parfaitement aussi sur nos reseaux.

tout fonctionne comme avant la mise à jour de la FB.

(Advproxy+Urlfilter+BOT, proxy transparent activé.)

Commande placée dans le rc.local pour prise ne compte à chaque reboot.

[Mob]

Bjr,

Pardon d'insister mais je n'ai toujours pas compris pourquoi le MTU débloque la situation.

Puisse une bonne âme me l'expliquer ?

Merci

Mob.

[SLCR]

Bonjour,

Moi non plus j'ai pas compris pourquoi il faut modifier le MTU.

Par contre je confirme que ça fonctionne.

Merci patrick-f

[neo_hijacker]

Je confirme que ca marche chez moi. Apres pourquoi il faut faire ca, j'en sais rien. Une explication serait la bienvenue

[Franck78]

Faudrait savoir ce qi se passe chez eux. Réduire la taille du datagramme IP évite qu'il soit fragmenté plus tard par un routeur. Peut-être que free à mis en place tout un système de traçage des datagrammes IP sur leur réseau? Une _merde_ bugguée quoi!
Faudrait pourvoir se brancher derrière la fb pour voir...

[neo_hijacker]

Veux-tu un acces en SSH a mon IPCOP ?

[micjack]

Salut à tous, juste une remarque sur le MTU...

Un MTU ne se change pas au pif, il faut faire des tests d'envoie de paquet.
De plus si la connexion est en pppoa ou en pppoe la taille du MTU peut avoir 40 de difference.

Pour connaitre la taille maximale que peut accepter une connexion faire des ping avec un paquet de 1460 pour commencer et grimper à 1461, 1462 ,etc... jusqu' à une erreur du genre
Message too long, mtu=1465

Et relever la meilleur valeur... Attention de tenir compte d'une taille de 28 qui corrspond à l'entete IP.
Par exemple si le ping passe à un maximumu de 1464 la valeur MTU sut la carte reseau doit etre à 1492

A noter que le MTU est donné entre parenthses dans le résultat:

Code: Tout sélectionner

ping -M do -s 1464 tiscali.fr
PING tiscali.fr (213.36.119.29) 1464(1492) bytes of data.
1472 bytes from 213.36.119.29: icmp_seq=1 ttl=253 time=175 ms

Le mieux est de fair les tests sur votre FAI, donc
ping -M do -s 1460 @IP_du_FAI

Sur le reseau local c'est pareil, c'est juste les parametres ping qui changent. Donc, aprés avoir réglé le MTU sur l'IPCop, passer sur Windows afin de passer par toutes les interfaces.

ping -f -l 1460 192.168.x.x
ping -f -l 1460 192.@IP_du_FAI

En general sur Windows il n'y a rien à faire, le MTU est de 1500 sur un reseau local.
Le test devrait renvoyer la meme chose que sur IPCop pour le ping sur l'IP du FAI

Par contre, ce qui se passe entre la Freebox et le FAI, ca on ne sait pas car le MTU est mesuré surtout entre la carte réseau et la Freebox---> FAI et comme on ne peut pas faire des ping depuis la FB, c'est rapé.. Mais c'est déja pas un mal d'avoir un MTU correct entre la carte et la connexion internet.

On peut metre le MTU trouvé directement dans le routeur et sur la carte reseau. Refaire les memes tests pour verification. Puis un test final depuis l'exterieur
---> http://www.speedguide.net/analyzer.php
Attention de ne pas trop tenir compte des infos, c'est juste à titre indicatif mais dans le vrais.

Il y avait un long débat sur Ixus concernant le MTU, une recherche devrait le retrouver.

Voili

[patrick-f]

Le problème se retrouve auusi sur certains routeurs Netgear , D-link
Sur un forum, une persone utilisant un D-LINK à dù descendre à un MTU de 1452 pour que des poste en cartes 10Mb puissent surfer.


Pour les changements chez Free:

Free est en train d'installer une nouveau mode de collecte.

http://www.freenews.fr/index.php?itemid=3165

Free utiliserait un nouveau mode de Collecte IPADSL à certains endroits : la CIPA serait désormais récupérée à certains endroits directement là où sont localisés les BAS de France Télécom.

Leur methode de QOS à changer aussi.
Ils peuvent filtrer directement les flux p2p, les flux de newsgroup quelques soit les ports utilisés.