Bonjour ! En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une honte absolue. Intéressant intellectuellement pour comprendre, mais inadmissible en production. Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques centaines de millisecondes.
Je suis en discussion avec le client pour savoir ce qu’on met en priorité: accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM d’opérateurs alternatifs pour qu’on puisse terminer le projet. > Le 6 mai 2024 à 11:46, Thierry Chich <thierry.ch...@ac-clermont.fr> a écrit : > > Bonjour > > > Moi je ferais quand même une capture sur un qui qui marche et un qui marche > pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en > revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, > et une maj d'un ios cisco avait décidé qu'il fallait droppé. Alors oui, la > phase 1 est sensé fonctionner, mais bon. > > > Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit : >> Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé >> ce qui se passe en wifi vs 4G/5G Orange. >> >> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la >> négociation a l’air vraiment identique. >> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un >> truc qui m’échappe. >> >> Mais bon sang, qu’est-ce que ça cause ces logs !…. >> >> Le 2 mai 2024 à 19:30, David Ponzone<david.ponz...@gmail.com> a écrit : >> >> Vincent, >> >> Ca bloque pas chez Orange puisque Philippe dit que la négociation >> Phase1/Phase2 semble bien se passer et puis paf! >> >> Philippe, >> >> Tu vas devoir entrer dans le monde du debug Forti :) >> >> David >> >> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog<frnog@frnog.org> a >> écrit : >> >> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote: >> ... >> >> - sur la partie « split-tuneling », je ne vois pas trop le rapport. >> >> Aucun, c'est la description du bug de David en SSL qui y ressemble >> >> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur >> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben >> ça juste fonctionne sans aucun souci. >> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais il >> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et >> c’est pénible. >> >> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange >> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only. >> C'est en tout cas ce que je constate. >> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien. >> >> Vincent. >> >> >> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog<frnog@frnog.org> a >> écrit : >> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote: >> On doit pas parler du même problème. >> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à >> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur >> n’est pas dispo en IPv6. >> Je ne connais pas fortinet, mais la description ressemble a un problème de >> split tunneling. >> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp. >> « A good IPv6 is a disabled one ». >> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la >> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web >> simple. >> IPv6, lui, fonctionne correctement. >> Vincent. >> ... >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > -- > > Thierry CHICH > > x...@ac-clermont.fr <mailto:dsi-rese...@ac-clermont.fr> > > <http://www.ac-clermont.fr> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
