Bonjour Philippe, Constaté le même phénomène la semaine dernière entre un partage de connexion 4G Orange Pro et un firewall utilisé sur une FFTH Free pour monter un VPN L2TP... Suis pas allé plus loin car je n'étais pas le revendeur de la carte SIM - je sais c'est pas beau mais pas le temps ! J'ai montré au client que cela fonctionnait sur d'autres FAI 4G ou fixe et lui ai suggéré de prendre attache avec ses fournisseurs... Je n'avais même pas de trace de connexion IKE sur le firewall comme si c'était filtré en amont.
Ludovic -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Philippe ASTIER via frnog Envoyé : jeudi 2 mai 2024 12:49 À : frnog-tech <frnog-t...@frnog.org> Objet : [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile Salut à tous ! Je rencontre un souci très pénible. J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites distants sans aucun souci, fiables, ça monte très vite en IKEv2. La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de soucis. Depuis quelques mois (dur à retracer), chez un seul client, impossible de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device ou en partage de connexion). Avec la même configuration, la connexion en wifi/ethernet depuis n’importe quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro mobiles, aucun problème, le tunnel est établie en 150 ms à peine. Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer normalement, puis j’ai quasi dans la foulée un message du type « recv ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas. Comme je viens de manger du log de debug depuis des jours en m’arrachant la tête, je me suis dit que soumettre ça à la brillante sagacité de la liste pourrait me donner des pistes… Any idea ? (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait juste marcher comme chez les autres opérateurs, ça me soulagerait des plaintes récurrentes et justifiées du client) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
