Fibre Genève : pas de connectivité entre abonnés sur le même subnet

[patrick]

Bonjour,

Rapide présentation pour un premier message : abonné fibre chez k-sys (=k-net suisse si j'ai bien compris) depuis ~1 mois à Genève, sur le réseau des SIG (services industriels de Genève), quartier des Avanchets. Il n'y a pas de forum sur le site de k-sys, donc je m'inscris ici.

J'ai constaté la chose suivante sur ma connexion fibre : il est impossible de communiquer avec les autres abonnés du même réseau (plus exactement je pense : avec les abonnés sur le même subnet). D'après quelques essais et traces que j'ai fait, il semblerait qu'il n'y ait pas de connectivité layer 2 entre abonnés, mais seulement entre chaque abonné et l'uplink (passerelle, DHCP, ...?).
Spécifiquement, la trace en amont du routeur montre que les demandes de résolution ARP d'une adresse sur le même subnet restent sans réponse. Après quelques secondes le routeur répond au client un ICMP 3/1 (destination unreachable/host unreachable) (ce qui est normal). L'adresse est online, puisque accessible depuis l'extérieur du subnet.

Le comportement semble similaire à celui mentionné dans un autre sujet ("[Résolu] : probleme pour jeu online sur même NRO" - http://forum.k-net.fr/index.php/topic,898.0.html) ; il est à mon sens plausible que la cause soit la même : "Le SIEA dans sa construction du réseau est parti de l'idée que chaque abonné devait communiquer avec son FAI pour aller sur le net".
Apparemment (dernier post de benho du 9 janvier 2013), quelque chose à changé pour lui et son partenaire de jeu, mais difficile de savoir quoi (configuration au niveau réseau SIEA ?).

J'ai fait une demande au mail de support de k-sys, et apparemment ça n'a pas été testé, et il n'y a pas de solution pour rétablir la connectivité. Pourtant, le problème aurait été résolu dans le réseau SIEA. Est-ce qu'il y a d'autres abonnés de Genève sur le forum et est-ce que quelqu'un est dans le même cas, ou en sait plus ?

Merci !

[Arnaud]

bonjour Patrick,

il n'est pas exclu que le problème ait été corrigé ce matin. pouvez vous me le confirmer svp ?

[patrick]

Bonjour,

Effectivement, quelque chose a été modifié dans la journée d'hier sur le réseau K-sys à Genève et le problème a disparu.
(Confirmé par e-mail au support technique mais pas eu le temps de compléter sur le forum hier soir).

Pour les intéressés et ceux qui ont lu la description spécifique dans mon premier message :
D'après ce que j'ai essayé hier soir (wireshark), il apparaît que c'est la passerelle / routeur uplink de K-SYS qui fait du proxy ARP et qui bridge les abonnés entre eux. Au niveau 2, mon routeur ne parle qu'avec l'adresse MAC du default gateway, et n'a que son adresse dans la table ARP.
Ping, http, ssh, ou autres protocoles vers d'autres adresses du même subnet => aucun problème maintenant.

Les infos que j'ai obtenues de SIG, c'est que les clients ne sont pas censés discuter entre eux, mais toujours passer par leur provider pour "aller sur internet". Ça semble donc être la responsabilité du FAI de bridger les clients entre eux, s'il le juge utile et pertinent.

Question donc : où commence et ou finit "internet" si je n'en fais pas partie ?
Pour moi, un réseau dans lequel je ne peux pas communiquer avec mes proches voisins (ah si, en mettant des conneries sur leur mur facebook bien sûr), ce n'est tout simplement pas de l'internet. Ceux qui ont déjà entendu l'expression "Minitel 2.0" comprennent mon état d'esprit. On touche ici je pense la question de la neutralité du réseau.

Je suis content que K-Sys ait reconnu et corrigé aussi rapidement le problème. Je ne sais pas quelle est la position et quelle aurait été la réaction d'un "gros" FAI sur le sujet. Ceux qui ont leur site web, qui font des jeux online, qui ont besoin de VPN, de remote desktop, de chat ou autres, choisissez bien votre opérateur

Merci pour la résolution rapide du problème (problème identifié jeudi, résolu lundi...)


Patrick

[Arnaud]

Effectivement, quelque chose a été modifié dans la journée d'hier sur le réseau K-sys à Genève et le problème a disparu.

Ok, donc ca confirme ce que je pensais. Merci pour ce retour.

D'après ce que j'ai essayé hier soir (wireshark), il apparaît que c'est la passerelle / routeur uplink de K-SYS qui fait du proxy ARP et qui bridge les abonnés entre eux. Au niveau 2, mon routeur ne parle qu'avec l'adresse MAC du default gateway, et n'a que son adresse dans la table ARP.
Ping, http, ssh, ou autres protocoles vers d'autres adresses du même subnet => aucun problème maintenant.

Oui c'est précisément ça.

Les infos que j'ai obtenues de SIG, c'est que les clients ne sont pas censés discuter entre eux, mais toujours passer par leur provider pour "aller sur internet". Ça semble donc être la responsabilité du FAI de bridger les clients entre eux, s'il le juge utile et pertinent.

Mwai, le SIEA nous fait la même chose. En fait c'est bien dans les STAS de leur réseau.

Question donc : où commence et ou finit "internet" si je n'en fais pas partie ?
Pour moi, un réseau dans lequel je ne peux pas communiquer avec mes proches voisins (ah si, en mettant des conneries sur leur mur facebook bien sûr), ce n'est tout simplement pas de l'internet. Ceux qui ont déjà entendu l'expression "Minitel 2.0" comprennent mon état d'esprit. On touche ici je pense la question de la neutralité du réseau.

Question intéressante que je ne manqua  pas d'échanger avec mon « bisounours hémiplégique » [1] de combat a moi que j'ai

D'un coté, il est tout au juste « compréhensible » pour l'opérateur d'opérateur de demander que l'ensemble du trafic soit routé par l'opérateur commercial. Il ne veut en aucune manière devoir être responsable d'autre chose que le transport d'un port abonné a un opérateur. En fait il vend précisément ce qu'il dit vendre, un lien entre l'abonné et l'opérateur commercial.

Par ailleurs, tout problèmes de transport deviendrait de son ressort unique et il n'en a pas envie d'une part, et le trafic d'un abonné a un autre ne le regarde pas d'autre part. Pour le coup, il y'aurait une vrai violation de la neutralité qu'il se doit d'assurer. On va du coup considérer que de son coté l'opérateur d'opérateur est assez clean sur la question. 

De l'autre, y'a le coté de casser Layer2 pour le forcer a remonter du trafic de l'abonné A vers un routeur, potentiellement loin de lui, pour le ré-acheminer vers l'abonné B.  Certes n'est non optimal et une curieuse façon de faire du réseau, mais ca revient en fait a faire du PPP entre l'abonné et son ISP.

Du coup, qu'en est il de notre propre neutralité par rapport a la chose ?

Si elle est plus que chère a mon cœur, sur ce coup, vous devez bien me croire sur parole en espérant que je sois gentil. Hors ça c'est bien de l'affirmer mais c'est mieux de le prouver. Problème j'en suis bien incapable.

Soit:

• je refuse de forcer le local arp proxy sur le réseau, et donc j'empêche mes abonnés d'échanger entre eux, mais j'assure ne pas être capable de faire d'interception de trafic (vu qu'il n'est pas transporter ça serait moyen simple)
• j'accepte de proxyser l'ARP vu que je n'ai pas le choix et que pour permettre a mes abonnés d'échanger entre eux il faut que je route le trafic

Après quand on y réfléchit mieux, le routage inter abonné, je l'assure déjà pour deux abonnés situés dans 2 area de broadcast différentes, ce n'est pas différent. Du coup j'ai bien tendance a penser que coté neutralité on (K-Sys/K-Net) est pas si mal que ça même si la question peut chatouiller quand même.

On est donc tombé assez d'accord sur le fait que la vrai question est plutôt : Qu'est ce qu'il vous annonce faire votre ISP et quelle garantie vous apporte t'il de ne pas faire certaines cochonnerie dans le milieu ?

Et du coup, vous, vous en pensez quoi ?

Je suis content que K-Sys ait reconnu et corrigé aussi rapidement le problème.

Ca m'aide pas a savoir de quel coté de la neutralité vous nous rangez ça.

Je ne sais pas quelle est la position et quelle aurait été la réaction d'un "gros" FAI sur le sujet. Ceux qui ont leur site web, qui font des jeux online, qui ont besoin de VPN, de remote desktop, de chat ou autres, choisissez bien votre opérateur Merci pour la résolution rapide du problème (problème identifié jeudi, résolu lundi...)

Alors ils auraient commencé par demander au juridique ce qu'il y'a dans les CGV, y'a pas de raison de changer une méthode gagnante .

Pour leur avoir dans le passé vendu beaucoup de mon temps de travail, je doute qu'il n'ai changé d'avis sur la question. Internet, c'est de plus en plus définit par ce qu'en comprend le marketing, et je pense pouvoir sans trop de mal assurer que le marketing ne comprend pas « mon » internet. A force j'avais fini par conclure qu'il devait en exister probablement 2. L'un construit autours d'IP avec des techno fiables et rigolotes. L'autre construit autour de ... je sais pas bien quoi au juste mais des cochonneries a n'en pas douter.

Les vieux réflexes de la facturation de demi circuits, d'occupation de circuit, et de la capacité du lawfull intercept restent tout de même bien ancrés dans le milieu et il y'aura encore beaucoup de boulot pour expliquer qu'internet c'est pas après moi, c'est d'abord chez toi.  Qu'un paquet c'est un paquet et que moi mon boulot, c'est avant tout un boulot de transporteur.

Une chose est sure, tant que je m'occuperais de ce réseau, les vendeurs de sandwine, CacheLogic et autre bluecoat peuvent passer leur chemin. Chez nos confrères par contre, il y'a peut être plus de business à faire.

[1] : http://blog.fdn.fr/?post/2009/12/08/Un-temps-de-retard

[patrick]

D'un coté, il est tout au juste « compréhensible » pour l'opérateur d'opérateur de demander que l'ensemble du trafic soit routé par l'opérateur commercial. Il ne veut en aucune manière devoir être responsable d'autre chose que le transport d'un port abonné a un opérateur. En fait il vend précisément ce qu'il dit vendre, un lien entre l'abonné et l'opérateur commercial.

Par ailleurs, tout problèmes de transport deviendrait de son ressort unique et il n'en a pas envie d'une part, et le trafic d'un abonné a un autre ne le regarde pas d'autre part. Pour le coup, il y'aurait une vrai violation de la neutralité qu'il se doit d'assurer. On va du coup considérer que de son coté l'opérateur d'opérateur est assez clean sur la question.

Compréhensible en effet. Je manque de connaissance des infrastructures FTTH et des pratiques habituelles et je me demande s'il y a quelque chose à ce sujet dans les accords entre opérateur et exploitant de réseau ; de plus j'imagine que ça dépend aussi des technologies utilisées pour le raccordement des bâtiments ?

J'ai connu un immeuble administratif à Genève où un opérateur fournissait du réseau pour les connexions à internet, sous la forme d'un LAN distribué dans le bâtiment. Sur le réseau, en amont de notre firewall, c'était l'arbre de Noël : machines infectées et scan de ports, requêtes ARP pour des adresses RFC1918 ou IPv4LL, et bien sûr des broadcasts netbios entre machines windows à la pelle (je pense qu'avec un net view on aurait vu la moitié du bâtiment).
Effectivement, il faut bien faire quelque part une interface propre entre le réseau customer et l'opérateur, et en y réfléchissant le 802.3 classique manque de moyens pour garantir la sécurité entre clients (customer isolation ?).

De l'autre, y'a le coté de casser Layer2 pour le forcer a remonter du trafic de l'abonné A vers un routeur, potentiellement loin de lui, pour le ré-acheminer vers l'abonné B.  Certes n'est non optimal et une curieuse façon de faire du réseau, mais ca revient en fait a faire du PPP entre l'abonné et son ISP.

Au layer 2, effectivement ça fait bizzare.
Sur le principe, c'est pas si mal : ça évite l'overhead d'une encapsulation. C'est effectivement meilleur que les alternatives mentionnées dans un autre post : L2TP ou un /30 par client.

On est donc tombé assez d'accord sur le fait que la vrai question est plutôt : Qu'est ce qu'il vous annonce faire votre ISP et quelle garantie vous apporte t'il de ne pas faire certaines cochonnerie dans le milieu ?

Et du coup, vous, vous en pensez quoi ?

Du point de vue neutralité, je ne me fais pas de souci avec K-sys.

J'ai rencontré deux personnes de K-sys dans un showroom à Genève, le jour ou j'ai signé l'abonnement.
Quand j'ai demandé si K-sys bloquait des ports style VoIP vers d'autres fournisseurs de téléphonie, ils se sont marrés.
Quand j'ai demandé la position de K-sys par rapport à un serveur web ou mail chez moi, on m'a dit aucun souci, et on m'a même encouragé à le faire.
Quand j'ai dit que je n'avais que du linux à la maison : oui, et alors ? (d'autres opérateurs en sont presque restés à l'époque ou ils distribuaient un CD et où il fallait "installer" l'opérateur sur le PC).
Quand j'ai demandé où K-sys en était du côté IPv6 : tu fais un e-mail et on te donne un /64, un /56 si tu as besoin de plusieurs subnets. (mon opérateur ADSL "mène une étude stratégique pour l'implémentation d'IPv6", depuis 2009).

K-sys/K-net joue la transparence avec le public et avec ses clients, de visu, sur ce forum, sur lafibre.info, ...
L'échange de messages de ce post en est un exemple.


Dans la situation initiale, deux voisins de palier ne pouvaient pas se causer entre eux, sauf éventuellement en allant se proxy-iser / VPNiser ou je ne sais quoi à l'extérieur de leur subnet. Un comportement normal et attendu du réseau était cassé. Quand j'ai écrit neutralité du réseau, c'est exactement de ça que je parlais : casser un comportement normal des protocoles.
Naturellement, aujourd'hui quand on parle de neutralité du réseau, on pense plutôt à ceux qui filtrent bittorent ou la VoIP, donc une motivation tout à fait différente que le manque d'une parade à une limitation technique, qui n'était pas un choix délibéré du FAI. Mais quand même, être coupé d'un /23 dans la même ville, ça aurait été désagréable.
Comme j'ai écrit, je ne sais pas ce qui se passe sur d'autres réseaux et chez d'autres opérateurs FTTH. Si cette limitation au niveau du réseau fibre est courante, la parade (proxyarp) devrait aller de soi pour les opérateurs.

Alors ils auraient commencé par demander au juridique ce qu'il y'a dans les CGV, y'a pas de raison de changer une méthode gagnante .

Et le juridique, il répond quoi quand on lui parle layer 2, adresses mac, proxy arp, etc Parce que, à moins de tomber sur un ingénieur réseau qui en avait marre de faire des trucs rigolos et qui a décidé de faire du droit ...

Pour ce qui est des CGV, j'en ai vu qui :

- interdisent les "communications de machine à machine". J'ai du mal à en comprendre le sens : un serveur et un laptop par exemple étant deux machines, cette expression, prise littéralement, interdit d'utiliser sa connexion internet autrement qu'en se plantant une RJ45 dans le nez.
- interdisent les "téléchargements". Tout aussi grandiose : si par exemple on m'envoie une pièce jointe sur mon adresse gmail je l'ai dans le baba, je n'ai pas le droit de la rapatrier sur mon PC.
Désolé s'il y a des docteurs en droit qui lisent ça, mais heureusement que les gars qui ont écrit les premiers RFC n'avaient pas de juristes dans les pattes.


Merci pour les explications et la discussion intéressante...

Patrick

[Arnaud]

je me demande s'il y a quelque chose à ce sujet dans les accords entre opérateur et exploitant de réseau ; de plus j'imagine que ça dépend aussi des technologies utilisées pour le raccordement des bâtiments ?

Bah dans ce cas précis, il n'y à pas vraiment d'accord juste un contrat auquel est joint une description technique des méthodes de livraison. On signe et on l'accepte ou on ne signe pas et on fibre nous même. C'est pas tout à fait les mêmes budgets.

Typiquement Swisscom (AMHA pour d'autres raisons) a décidé d'éclairer lui même les fibres et de co-investir avec le SIG. En général les opérateurs n'aiment pas beaucoup devoir être dépendant d'un service activé. Ils l'ont en général beaucoup trop
supporté avec l'ADSL (avant le dégroupage) et n'entendent pas vraiment recommencer avec l'optique.

Par ailleurs, avec l'optique, il y'a en ce moment autant d'acteur que de réseau et donc autant de méthode de livraison que de réseau. Du coup pour l'opérateur industriel qui cherche a dupliquer les mêmes méthodes partout, ça devient compliqué.

Au layer 2, effectivement ça fait bizzare.
Sur le principe, c'est pas si mal : ça évite l'overhead d'une encapsulation.

Bah non parceque le trafic est bien encapsulé dans le réseau de transport, pour être détaggué au moment de la collecte. Sinon ça serait, disons, trop accueillant. Et par ailleurs on tag de notre coté aussi le trafic data pour le séparer d'autre chose. Donc du 802.1q il y'en a de partout de toute façon.

C'est effectivement meilleur que les alternatives mentionnées dans un autre post : L2TP ou un /30 par client.

Bah L2TP est pas vraiment un problème coté LNS, par contre coté box, faut trouver un modèle avec suffisamment de puissance pour tenir 100, 200 ou 1G symétrique et ça curieusement on a pas trouvé (ou alors a des tarifs totalement hors budget).

Le /30 c'était bien envisageable dans les années 90, plus trop maintenant

Du point de vue neutralité, je ne me fais pas de souci avec K-sys.

Cool moi non plus.

Merci pour les explications et la discussion intéressante...

C'est normal, K-Sys c'est ça aussi