Salut, Remplace le fqdn par l’ipv4 sur le client :-) c’est crade mais ca marche (tête fortinet 7.2 et 7.4) …
Baptiste Le jeu. 2 mai 2024 à 13:24, David Ponzone <david.ponz...@gmail.com> a écrit : > Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire: > > > https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089 > < > https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089 > > > > Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom > avec: > > https://support.apple.com/apple-configurator < > https://support.apple.com/apple-configurator> > > David > > > Le 2 mai 2024 à 13:08, Philippe ASTIER <phili...@astier-consulting.fr> > a écrit : > > > > OK, why not, on va faire ça sur le Mac, pas possible sur iOS. > > > > (Chez Free, pas besoin de désactiver IPv6 en tout cas.) > > > > > > Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis > le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire > sur aucun tunnel VPN. > > > > > > Ce qui me choque, c’est que le seul fait de passer par Orange Mobile > casse le fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a > changé sa configuration. > > > > > > > >> Le 2 mai 2024 à 12:56, David Ponzone <david.ponz...@gmail.com> a écrit > : > >> > >> Désactive IPv6 sur le client pour voir. > >> > >> David > >> > >>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog <frnog@frnog.org> a > écrit : > >>> > >>> Salut à tous ! > >>> > >>> Je rencontre un souci très pénible. > >>> > >>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants > et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange > Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec > entre les sites distants sans aucun souci, fiables, ça monte très vite en > IKEv2. > >>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, > IPSec, clients Forti selon les cas, mais pas eu beaucoup de soucis. > >>> > >>> Depuis quelques mois (dur à retracer), chez un seul client, impossible > de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le > device ou en partage de connexion). > >>> Avec la même configuration, la connexion en wifi/ethernet depuis > n’importe quel autre opérateur fonctionne sans souci. J’ai essayé via Free > et FreePro mobiles, aucun problème, le tunnel est établie en 150 ms à peine. > >>> > >>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se > passer normalement, puis j’ai quasi dans la foulée un message du type « > recv ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne > monte pas. > >>> > >>> > >>> Comme je viens de manger du log de debug depuis des jours en > m’arrachant la tête, je me suis dit que soumettre ça à la brillante > sagacité de la liste pourrait me donner des pistes… > >>> Any idea ? > >>> > >>> > >>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on > est en train de mettre une solution ZTNA basée sur Wireguard, mais si ça > pouvait juste marcher comme chez les autres opérateurs, ça me soulagerait > des plaintes récurrentes et justifiées du client) > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
