Lors du déploiement d’un réseau Wi-Fi utilisant les technologies Ruckus et Ucopia, un problème complexe de connectivité a été identifié. Malgré une configuration initiale apparemment correcte, plusieurs symptômes problématiques ont été signalés par les utilisateurs et observés lors des tests. Cet article revient sur l’analyse, le diagnostic, et la résolution de cet incident, avec un accent particulier sur le rôle critique de la MTU (Maximum Transmission Unit).
Table of Contents
Contexte et Symptômes
Le réseau déployé utilisait des points d’accès Ruckus connectés à un portail captif Ucopia, configuré pour gérer l’authentification des utilisateurs. Voici les symptômes observés :
- Ruckus et Ucopia semblaient fonctionner normalement :
- Les points d’accès étaient bien détectés par le contrôleur Ruckus.
- Les SSID étaient visibles par les appareils utilisateurs.
- Les appareils récupéraient correctement une adresse IP attribuée par le portail Ucopia.
- Différents problèmes d’accès :
- Les utilisateurs déjà connus et authentifiés sur le portail n’arrivaient pas à naviguer sur le web, bien que certaines applications fonctionnent (indiquant que le trafic n’était pas totalement bloqué).
- Les nouveaux utilisateurs ne pouvaient pas accéder au portail captif Ucopia, empêchant toute tentative de connexion ou d’utilisation.
Investigation et Diagnostic
Étape 1 : Vérification de la Configuration Réseau
Les configurations des points d’accès Ruckus, du contrôleur, et du portail Ucopia ont été vérifiées :
- Les points d’accès fonctionnaient correctement et remontaient bien leurs informations au contrôleur.
- Les utilisateurs recevaient des adresses IP via DHCP, et leurs sessions étaient visibles sur Ucopia.
- Les SSID étaient correctement configurés pour diriger le trafic vers le dataplane Ruckus, qui gérait l’acheminement des données vers les ressources réseau et le portail.
Étape 2 : Analyse des Flux Réseau et Tests
En analysant les flux réseau entre les différents composants, plusieurs anomalies ont été identifiées :
- Les utilisateurs connectés récupéraient bien une adresse IP, mais certains paquets semblaient se perdre, ou leur livraison était retardée.
- Les nouveaux utilisateurs n’atteignaient pas le portail captif Ucopia, ce qui indiquait un problème de transmission des paquets dans le réseau.
Étape 3 : Identification d’un Problème de MTU
L’analyse approfondie des flux a montré que certains paquets étaient fragmentés ou totalement perdus. Ces comportements sont typiques d’un problème de MTU. En particulier :
- Les paquets GRE (utilisés pour l’encapsulation du trafic entre les points d’accès et le dataplane Ruckus) étaient trop grands pour passer sans fragmentation.
- Les réponses envoyées par le dataplane Ruckus aux utilisateurs avaient une taille dépassant la MTU maximale permise par les segments du réseau.
Résolution : Modification de la MTU
Pour résoudre le problème, les paramètres de MTU des points d’accès Ruckus ont été ajustés manuellement.
Paramètres Changés
- MTU pour les Paquets GRE :
set mtu gre 1338Cette commande réduit la taille des paquets GRE utilisés pour encapsuler le trafic entre les points d’accès et le dataplane. Une taille plus petite permet d’éviter la fragmentation lors de leur transmission. - MTU pour les Paquets WAN :
set mtu wan 1400Cette commande ajuste la taille des paquets émis par le dataplane vers les utilisateurs. Cela garantit que les paquets envoyés respectent les limites de MTU sur le chemin réseau, évitant les pertes dues à des fragments non gérés. - Désactivation des Règles MSS et DF (Don’t Fragment) :
- Sur le pare-feu Mikrotik, toutes les règles modifiant le MSS (Maximum Segment Size) et appliquant l’option DF ont été désactivées. Ces réglages peuvent entraîner des incompatibilités dans la gestion de la fragmentation des paquets, amplifiant les problèmes liés à une MTU mal configurée.
Explications Techniques : Pourquoi la MTU Cause des Problèmes
1. Fragmentation des Paquets
- La MTU définit la taille maximale des paquets pouvant être transmis sans fragmentation sur un segment réseau.
- Si un paquet dépasse cette taille, il est fragmenté en plusieurs parties, ce qui peut poser des problèmes si les équipements intermédiaires (comme les pare-feu ou routeurs) ne gèrent pas correctement la fragmentation ou si l’option DF (Don’t Fragment) est active.
2. Paquets GRE et Problèmes de Fragmentation
- Les paquets GRE encapsulent d’autres paquets réseau, augmentant leur taille totale.
- Si la MTU sur les points d’accès ou les équipements intermédiaires n’est pas ajustée, ces paquets fragmentés peuvent être rejetés, causant des pertes.
3. MTU WAN et Réponses du Dataplane
- Lorsqu’un utilisateur envoie une requête au dataplane, ce dernier répond avec des paquets dont la taille peut dépasser les limites de certains segments réseau.
- Une MTU WAN trop élevée peut entraîner des pertes de paquets, bloquant ainsi l’accès au portail Ucopia ou à la navigation web.
Résultats et Validation
Après avoir modifié les paramètres de MTU et désactivé les règles MSS et DF sur le pare-feu :
- Les utilisateurs pouvaient accéder au portail captif Ucopia et s’authentifier normalement.
- Les utilisateurs déjà authentifiés pouvaient naviguer sur le web sans problème.
- Aucune perte de paquet ni fragmentation n’a été observée lors des tests.
Recommandations et Meilleures Pratiques
- Configurer les Paramètres de MTU Correctement :
- Ajuster la MTU des points d’accès en fonction des besoins spécifiques du réseau, en particulier pour les paquets GRE et WAN.
- Éviter les Modifications Inutiles de MSS :
- Les règles MSS sur les pare-feu doivent être soigneusement configurées pour éviter les conflits avec les tailles de paquets.
- Surveiller les Flux Réseau :
- Utiliser des outils de capture de paquets (comme Wireshark) pour identifier les pertes ou fragmentations dues à des problèmes de MTU.
- Documenter les Configurations Spécifiques :
- Centraliser et automatiser autant que possible les configurations spécifiques (comme les paramètres MTU des points d’accès) pour éviter des modifications manuelles sujettes à erreur.
Conclusion
Le problème de connectivité dans ce déploiement Ruckus/Ucopia illustre l’importance de la MTU dans la performance des réseaux Wi-Fi. Une mauvaise configuration peut entraîner des pertes de paquets, bloquer l’accès au portail captif, ou perturber la navigation web. En ajustant correctement la MTU sur les points d’accès et en désactivant les règles MSS inadaptées sur le pare-feu, nous avons pu restaurer un réseau stable et performant pour les utilisateurs.
