Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
distants sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
clients Forti selon les cas, mais pas eu beaucoup de soucis.

Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device 
ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis n’importe quel 
autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro mobiles, 
aucun problème, le tunnel est établie en 150 ms à peine.

Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.


Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
pourrait me donner des pistes…
Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait juste 
marcher comme chez les autres opérateurs, ça me soulagerait des plaintes 
récurrentes et justifiées du client)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à