On a le soucis aussi. En solution propre, on s'est naïvement dit qu'il suffisait d'ajouter un AAAA sur notre domain vpn.corp.truc, et de faire du dual stack propre de bout en bout. Effectivement, ça fonctionne. Le tunnel forti monte. Mais quelques jours/heures plus tard, les plaintes d'utilisateurs arrivent.
Après des heures à debug, il s'avère que quand le tunnel est monté over IPv6, des paquets disparaissent. Soit au niveau fortigate, soit forticlient. Difficile à dire. C'est particulièrement visible sur les sessions RDP. Et transfert de fichier samba. Le bug a été reproduit par Forti. On a un ticket ouvert depuis 11/2021 à ce sujet (5593529). Et Internal engineering ticket 0763611. Mais ça n'avance pas malgré les relances régulières. Florent -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Alarig Le Lay Envoyé : mercredi 4 mai 2022 23:36 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Blocage VPN SSL sur 4G On Wed 04 May 2022 20:15:38 GMT, David Ponzone wrote: > J'ai un cas de figure bizarre avec du VPN SSL Forti (je précise, sur > un port non-standard, donc pas 443). > > Quand un client est en WIFI: aucun souci. > Dès qu'il passe sur le partage 4G de son mobile (Bouygues à priori): > ça passe plus (la connexion arrive à 98%, se fige puis échec, ce qui > est un truc assez classique avec Forticlient, mais dont les causes > sont multiples) Pour ma part, quand j'essaye avec mon partage 4G chez > Orange: ça passe. > > Donc avant de passer un temps de dingue à chercher la petite bête côte > Forti ou client, je me demandais si certains avaient déjà constaté un > comportement bizarre de certains opérateurs mobiles avec le traffic > VPN SSL, sur un port non-standard en plus ? > > UPDATE de moi-même: je crois que j'ai trouvé la solution, il faudrait > désactiver IPv6 sur la connexion 4G du mobile. > > Dommage, Michel P est plus là pour nous faire une bonne tirade sur > IPv6 et son merveilleux apport à Internet. > > David J'ai eu le souci avec le VPN du taff, le traff ipv4 est encapsulé dans ipv6 chez bytel et ils ont pas pensé au mtu... Passer par un domaine pour que le nat64 fasse son taff, ou baisser la mtu côté pc contourne le souci. -- Alarig --------------------------- Liste de diffusion du FRnOG https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7Cfguillot%40fltechno.scc.com%7C80401dd42ff74666f76f08da2e162f9f%7Cc69c7e2fa16841088187675b5c936b5a%7C0%7C0%7C637872970195329959%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=xzJDVnYW0VHMeaMhkRj2XIFaJB4uCr1ajK5hx9quYH4%3D&reserved=0 __________________________________________________________________ Ce message contient des informations dont le contenu est susceptible d' etre confidentiel. Il est destine au(x) destinataire(s) indique(s) exclusivement. A moins que vous ne fassiez partie de la liste des destinataires, ou que vous soyez habilite a recevoir le mail a leur place, il vous est interdit de le copier, de l'utiliser ou de devoiler son contenu a un tiers. Si vous avez recu cet email par erreur, merci de prendre contact avec l'emetteur. Les opinions exprimees dans cet e-mail sont celles de l'emetteur et ne refletent pas necessairement celles de l'entreprise. Ce e-mail peut contenir des pieces jointes dont certaines pourraient contenir des virus qui pourraient endommager votre systeme informatique. La compagnie a pris toutes dispositions afin de minimiser ce risque et decline toute responsabilite pour toute perte ou dommage resultant directement ou indirectement de l'utilisation de cet email ou de son contenu. Il vous appartient d'effectuer vos propres controles anti-virus avant d'ouvrir la ou les pieces jointes. __________________________________________________________________ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
