Client VPN XP – la fin d’une galère

Je viens de trouver un truc vraiment très que pénible (je suis poli) avec le firewall de Windows XP SP2 et suivants.

Il faut dire que je n’ai jamais aimé ce firewall, ou du moins ses réglages par défaut. Entre-autres, le filtrage du « ping » m’a bien énervé depuis longtemps. Mais voila, ICMP, ce n’est pas que ping, c’est aussi d’autres messages qui sont utiles…

Mais pour mettre en place des accès VPN pour des utilisateurs mobiles (oui je me prépare à la pandémie galopante), ces fichus réglages par défaut m’ont fait perdre un temps dingue. Dans le contexte, le serveur VPN est un Netasq qui fait déjà du VPN IPSEC. Je lui ajoute du vpn PPTP qui ne nécessite aucune installation sur le poste client et traverse bien le NAT. Ce n’est pas parfait pour la sécurité, mais nous ne sommes ni une banque, ni dans un secteur très sensible, donc, on accepte le PPTP.

Symptôme : Une fois le client XP connecté en VPN, le ping fonctionne, je peut pinguer un serveur web interne, mais jamais le consulter. La page par défaut d’apache « It works » s’affiche, mais une autre page ne s’affiche pas. Dingue!
Après avoir trituré les réglages dans tous les sens,  j’ai compris le problème : la taille des paquets doit être réduite. A coup de ping -f -l xxxx j’ai trouvé la taille maxi de paquet au delà de laquelle le paquet se perd. Mais triturer les MTU et MMS n’arrange rien. En fait, c’est normalement géré automatiquement par le protocole ICMP : le paquet trop grand se perd ou est rejeté, l’envoyeur reçoit un avertissement qui lui permet de le fragmenter…. ça marchait bien dans 2000 et jusque XP SP1, mais le firewall d’XP SP2 a introduit le filtrage d’ICMP par défaut, donc, ce genre de message ICMP ne parvient plus.

La raison : la sécurité. D’anciennes versions de Windows on été affectées par la faille ping of death,  dans ICMP ECHO avec un paquet très gros on faisait un débordement de tampon. Plutôt que de sécuriser correctement ICMP, les concepteurs de Windows ont donc rajouté un firewall qui bloque l’ICMP – et si le quidam en a besoin, il l’ouvre, « mais on ne pourra pas dire que c’est la faute de windows ! ». Je ne trouve pas cette réponse intelligente.

La solution pour XP * : autoriser ces messages ICMP. Tout simple, mais pour trouver cette info – rien. Il y a des bidouilles de base de registre pour autoriser le NAT, mais ce blocage, je ne l’ai pas trouvé, et ce n’est pas faute d’avoir chercher.

On peut même le faire en ligne de commande : par exemple

netsh firewall set icmpsetting type = 2 mode = ENABLE

la doc Microsoft associe ce type 2 à IPv6, je suis en IPv4, mais  c’est ce paramètre à l’air  d’agir.

* sous vista il faut faire netsh advfirewall firewall…

______
François, quand je touche la fenètre, j’ai l’impression de me salir les doigts

Publicités

Effet curieux de Google Chrome

Après avoir participé au buzz autour de Google Chrome, je dois signaler un effet inattendu : j’ai installé Opera 9.5.

Alors, que penser d’Opera ?

Ce qui me plait:

  • la rapidité au lancement
  • une partie de l’apparence

Ce qui me déplait:

  • le blocage de tout le navigateur à cause d’une page (javascript ou flash ?).
    J’ai souvent ce problème avec Opera 9.64 Linux, mon comparatif montre qu’il n’est pas rapide en javascript.
  • l’autre partie de l’apparence
    En fait, c’est l’interface d’Opera qui n’est pas homogène : les barres d’outils sont plutôt jolies, les panneaux sur le côté ne prennent pas trop de place une fois repliés, les barres d’onglets, de navigation, tout cela c’est bien.
    MAIS, le menu Fichier, moche, en haut, ça fait vraiment tâche. Et pas moyen de le masquer !

    Après une recherche dans les forums, on peut le cacher :
    Il faut éditer ~/.opera/opera6.ini
    et ajouter Show menu=0 dans la section [User Prefs]

    Bon, ça n’est pas très pratique… un masquage automatique serait drôlement mieux.

Question compatibilité, mes applis web fonctionnent, Gmail fonctionne, mais Zimbra n’accepte pas Opera.

J’ai aussi installé Opera Mini 4.2 sur mon HTC Dream sous Android : Nul.

  • pas pratique d’utilisation: il faut appuyer sur la touche menu pour pouvoir saisir un champ de formulaire qui s’affiche de façon difforme,
  • pas joli : pas de zoom,  ou alors tellement mal placé que je ne l’ai pas trouvé.

Opéra Mini, je l’ai viré au bout d’une heure. Même si le site Opera l’annonce avec un tonitruant « le navigateur pour téléphones mobiles le plus populaire », c’est vraiment une nullité sans intérêt. Le navigateur natif d’Android est vraiment beaucoup plus adapté.

Conclusion: je ne vois pas Opera gagner des parts de marché en continuant comme cela.

_______
François.
une nuit à l’Opera.

brevets logiciels, la folie continue

Encore un bon télescopage d’actualités:

  1. Microsoft se voit attribuer un brevet sur les traitements de texte utilisant XML

    Le Bureau américain des brevets et des marques de commerce (USPTO) viens d’accorder à Microsoft un brevet logiciel sur l’utilisation d’un fichier XML contenant un document de traitement de texte qui peut être manipulé par des applications qui comprennent XML.

  2. Un juge ordonne à Microsoft de cesser la commercialisation de Word, à cause d’un brevet sur XML

    Extrait traduit par mes soins :
    Le Juge Leonard Davis du « U.S. District Court for the Eastern District of Texas »  a prononcé une injonction permanente qui « interdit à Microsoft de vendre ou d’importer aux Etats-Unis aucun logiciel Word capable de lire un document .XML .DOCX ou .DOCM contenant des balises XML personnalisées » selon une déclaration des avocats du plaignant :  i4i Inc.
    En fait, cette société canadienne a déposé le brevet en 1998, enregistré sous le No 5787449 et a déjà obtenu une condamnation de Microsoft en Mai, pour un montant de 200 M $.

Quand vont-ils comprendre que les brevet logiciels sont contre-productifs ?

______
François, non breveté

Firefox en utilisation profesionnelle

Je suis un utilisateur de Firefox depuis la version 1, et avant, j’utilisais déjà Netscape v2 v3 v4 v6 v7 puis Mozilla suite. Alors, les problèmes de sites construits uniquement pour Internet Explorer, je connais depuis toujours, ce qui ne m’a jamais posé de problème insurmontable.

Mais je trouve que pour une utilisation profesionnelle, une option par défaut de Firefox 3.5 est problématique : le prefetching.

Quésaquo ? Pour accélérer la navigation, le navigateur précharge certaines informations, en utilisant les liens présents dans la page affichée. On peut précharger plusieurs choses, mais à chaque fois il faut comprendre que ce n’est pas anodin : précharger toutes les pages de tous les liens présents dans une page consomme énormément de bande passante, et une extension de Firefox 2 qui permettait cela s’attirait les foudres de beaucoup de serveurs à cause de cela.

Pour Firefox 3.5, c’est juste au niveau de la requette DNS qu’il y a pré-chargement, mais cela provoque tout de même quelques soucis :

  1. La charge imposée au serveur DNS est grandement multipliée. Ce n’est pas de la bande passante qui est consommée, c’est le nombre de requêtes qui est gênant. Imaginez ce qui ce passe à chaque fois que vous recherchez quelque chose sur Google : le navigateur, après avoir affiché la page de réponse, va faire 10, 20, 50 requêtes au serveur DNS. Pour peut qu’il n’y ait pas de cache local, le DNS du FAI doit sentir la différence. Le fonctionnement du DNS a beau être réparti, hiérarchisé, redondant ou tout ce qu’on veut, une multiplication par 20 ou 50 de la demande a forcément des conséquences.
  2. Une recherche anodine peut obtenir des réponses « inadéquates »: site érotiques/pornographiques, liens vers de vidéo youtube/dailymotion, etc… Si jamais dans l’entreprise, les requêtes DNS sont analysées, l’employé qui n’a consulté aucun de ces sites se verra accusé à tord par ses requêtes DNS.

à savoir : On peut contrôler le fonctionnement du prefetching en faisant about:config au moyen de la variable network.dns.disablePrefetch

______
François, membre de la Ligue de Protection des Pauvres Serveurs DNS qui bossent comme des malades pour de requêtes inutiles 🙂