{"id":1329,"date":"2025-10-22T00:54:57","date_gmt":"2025-10-21T22:54:57","guid":{"rendered":"https:\/\/dyb.fr\/?p=1329"},"modified":"2025-10-22T00:54:57","modified_gmt":"2025-10-21T22:54:57","slug":"bug-reseau-bouygues-perturbation-wireguard-entre-ipv6-publique-et-ipv4-fixe","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/bug-reseau-bouygues-perturbation-wireguard-entre-ipv6-publique-et-ipv4-fixe\/","title":{"rendered":"Bug r\u00e9seau Bouygues \u2013 perturbation WireGuard entre IPv6 publique et IPv4 fixe"},"content":{"rendered":"\n<h3 class=\"wp-block-heading\">\ud83d\udcc5 Constat depuis mi-octobre 2025<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Depuis environ deux semaines, plusieurs utilisateurs \u2014 dont certains de nos clients connect\u00e9s via des Bbox Wi-Fi 6 ou Wi-Fi 6E de Bouygues Telecom \u2014 rencontrent une instabilit\u00e9 importante sur leurs connexions VPN de type <strong>WireGuard<\/strong>.<br>Le ph\u00e9nom\u00e8ne touche principalement les configurations suivantes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tunnel <strong>entre un client en IPv6 publique (Bbox)<\/strong> et un <strong>serveur en IPv4 fixe<\/strong><\/li>\n\n\n\n<li>Acc\u00e8s via <strong>pont WireGuard \/ r\u00e9seau local rout\u00e9<\/strong><\/li>\n\n\n\n<li>Protocole <strong>UDP encapsulant du trafic TCP (SMB, SSH, RDP, HTTPS)<\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83d\udea8 Sympt\u00f4mes observ\u00e9s<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ping<\/strong> fonctionnel (ICMP non impact\u00e9)<\/li>\n\n\n\n<li><strong>RDP, SSH, SMB<\/strong> ou <strong>interfaces web<\/strong> qui se connectent puis se figent ou se d\u00e9connectent<\/li>\n\n\n\n<li><strong>Fortes pertes de paquets<\/strong>, latence anormale sur les flux TCP lourds<\/li>\n\n\n\n<li>Aucun blocage firewall apparent, ni reset TCP<\/li>\n\n\n\n<li>Probl\u00e8me limit\u00e9 aux <strong>clients derri\u00e8re Bbox Bouygues<\/strong>, les autres connexions (Free, Orange, SFR, Bouygues 5G, etc.) restant stables<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83d\udd0d Cause probable<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les analyses r\u00e9seau r\u00e9alis\u00e9es par DYB indiquent une <strong>r\u00e9duction effective de la MTU<\/strong> sur les interfaces WAN des Bbox Bouygues Wi-Fi 6 depuis la derni\u00e8re mise \u00e0 jour firmware.<br>Cette mise \u00e0 jour semble \u00e9galement <strong>forcer l\u2019activation d\u2019IPv6 (SLAAC \/ DHCPv6-PD)<\/strong>, cr\u00e9ant un m\u00e9lange IPv6\/IPv4 non transparent pour les tunnels WireGuard.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">R\u00e9sultat :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les paquets UDP WireGuard d\u00e9passant <strong>~1408 octets<\/strong> sont fragment\u00e9s ou perdus<\/li>\n\n\n\n<li>Le <strong>ping (petits paquets)<\/strong> continue de fonctionner<\/li>\n\n\n\n<li>Les <strong>flux TCP encapsul\u00e9s<\/strong> deviennent instables, particuli\u00e8rement sur les connexions vers des serveurs IPv4 fixes.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83e\uddf0 Solution temporaire<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Aucune communication officielle n\u2019a encore \u00e9t\u00e9 publi\u00e9e par Bouygues Telecom, mais la solution est simple et efficace :<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">\u2705 Sur le poste client WireGuard (derri\u00e8re la Bbox)<\/h4>\n\n\n\n<p class=\"wp-block-paragraph\">Modifier le fichier de configuration :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&#91;Interface]\nMTU = 1380\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">Puis red\u00e9marrer le tunnel.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cette seule ligne force la taille maximale des paquets WireGuard \u00e0 un seuil compatible avec la nouvelle MTU Bouygues (~1408 octets effectifs), supprimant imm\u00e9diatement les pertes et ralentissements.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">\ud83d\udca1 En compl\u00e9ment<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>D\u00e9sactiver IPv6<\/strong> sur la Bbox (ou c\u00f4t\u00e9 client) si possible (non possible sur les bbox grand public, pas de retex cot\u00e9 pro)<\/li>\n\n\n\n<li>V\u00e9rifier que le <strong>DNS utilis\u00e9<\/strong> est bien en IPv4<\/li>\n\n\n\n<li>Ne <strong>pas modifier le MTU c\u00f4t\u00e9 serveur<\/strong> (pfSense ou Proxmox) si les autres clients fonctionnent correctement<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83e\udde9 Exemple typique<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Un poste client avec l\u2019adresse WireGuard <code>10.61.0.10<\/code> derri\u00e8re une Bbox Bouygues tentant d\u2019acc\u00e9der \u00e0 un serveur Proxmox <code>10.172.41.1<\/code> voyait :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ping stable<\/li>\n\n\n\n<li>mais interface web (<code>:8006<\/code>) et SMB gel\u00e9es.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Apr\u00e8s avoir ajout\u00e9 <code>MTU = 1380<\/code>, le trafic est redevenu fluide imm\u00e9diatement.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83e\udde0 En r\u00e9sum\u00e9<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>\u00c9l\u00e9ment<\/th><th>Statut<\/th><\/tr><\/thead><tbody><tr><td>FAI concern\u00e9<\/td><td>Bouygues Telecom (Bbox Wi-Fi 6 \/ Wi-Fi 6E)<\/td><\/tr><tr><td>Impact<\/td><td>Fortes pertes de paquets sur tunnels WireGuard IPv6\u2192IPv4<\/td><\/tr><tr><td>Cause probable<\/td><td>R\u00e9duction de la MTU et activation IPv6 auto via firmware<\/td><\/tr><tr><td>Solution<\/td><td>Forcer <code>MTU = 1380<\/code> c\u00f4t\u00e9 client WireGuard<\/td><\/tr><tr><td>Correctif Bouygues<\/td><td>Non communiqu\u00e9 \u00e0 ce jour<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">\ud83d\udee1\ufe0f Recommandation DYB<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">DYB conseille \u00e0 tous ses clients utilisant des tunnels WireGuard sur infrastructures Bouygues de :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>v\u00e9rifier la stabilit\u00e9 du tunnel via <code>ping -f -l 1472<\/code><\/strong>,<\/li>\n\n\n\n<li><strong>ajuster le MTU \u00e0 1380<\/strong> si n\u00e9cessaire,<\/li>\n\n\n\n<li><strong>d\u00e9sactiver temporairement IPv6<\/strong> si des instabilit\u00e9s persistent.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Nos \u00e9quipes r\u00e9seau suivent de pr\u00e8s ce comportement et mettront \u00e0 jour cette note d\u00e8s qu\u2019un correctif officiel Bouygues ou une \u00e9volution de firmware sera confirm\u00e9e.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\">\ud83d\udcac <strong>Besoin d\u2019assistance ?<\/strong><br>Nos ing\u00e9nieurs r\u00e9seau peuvent auditer gratuitement votre tunnel WireGuard ou votre interconnexion multi-site.<br>\ud83d\udc49 Contactez-nous sur <a href=\"https:\/\/dyb.eu\/blog\/contact\/\" data-type=\"page\" data-id=\"544\">dyb.fr\/contact<\/a> ou par email \u00e0 <strong><a href=\"mailto:contact@dyb.fr\" data-type=\"mailto\" data-id=\"mailto:contact@dyb.fr\">contact@dyb.fr<\/a><\/strong>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ud83d\udcc5 Constat depuis mi-octobre 2025 Depuis environ deux semaines, plusieurs utilisateurs \u2014 dont certains de nos clients connect\u00e9s via des Bbox Wi-Fi 6 ou Wi-Fi 6E de Bouygues Telecom \u2014 rencontrent une instabilit\u00e9 importante sur leurs connexions VPN de type WireGuard.Le ph\u00e9nom\u00e8ne touche principalement les configurations suivantes : \ud83d\udea8 Sympt\u00f4mes observ\u00e9s \ud83d\udd0d Cause probable Les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1331,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[37,24],"tags":[50],"class_list":["post-1329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-reseaux","tag-network"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1329"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1329\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1331"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}