Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone 
Ouais, c’est pas le point fort de Forti.

David Ponzone



> Le 2 mai 2024 à 20:53, Philippe ASTIER  a 
> écrit :
> 
>  Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé 
> ce qui se passe en wifi vs 4G/5G Orange.
> 
> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
> négociation a l’air vraiment identique.
> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
> qui m’échappe.
> 
> Mais bon sang, qu’est-ce que ça cause ces logs !….
> 
>>> Le 2 mai 2024 à 19:30, David Ponzone  a écrit :
>>> 
>>> Vincent,
>>> 
>>> Ca bloque pas chez Orange puisque Philippe dit que la négociation 
>>> Phase1/Phase2 semble bien se passer et puis paf!
>>> 
>>> Philippe,
>>> 
>>> Tu vas devoir entrer dans le monde du debug Forti :)
>>> 
>>> David
>>> 
>>> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a 
>>> écrit :
>>> 
>>> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
>>> ...
>>> 
 - sur la partie « split-tuneling », je ne vois pas trop le rapport.
>>> 
>>> Aucun, c'est la description du bug de David en SSL qui y ressemble
>>> 
 Ce que je trouve désolant, c’est que quand le client qui se connecte est 
 sur n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / 
 FreePro, ben ça juste fonctionne sans aucun souci.
 Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
 n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
 c’est pénible.
>>> 
>>> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
>>> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
>>> C'est en tout cas ce que je constate.
>>> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
>>> 
>>> Vincent.
>>> 
 
> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
> écrit :
> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le 
>> serveur n’est pas dispo en IPv6.
> Je ne connais pas fortinet, mais la description ressemble a un problème 
> de split tunneling.
> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
>> « A good IPv6 is a disabled one ».
> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du 
> web simple.
> IPv6, lui, fonctionne correctement.
> Vincent.
>> ...
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog 
Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce 
qui se passe en wifi vs 4G/5G Orange.

Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
négociation a l’air vraiment identique.
Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
qui m’échappe.

Mais bon sang, qu’est-ce que ça cause ces logs !….

Le 2 mai 2024 à 19:30, David Ponzone  a écrit :

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit :

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le rapport.

Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.

C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.


Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit :
On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.
Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.
Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
« A good IPv6 is a disabled one ».
Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
IPv6, lui, fonctionne correctement.
Vincent.
...
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Jérôme Marteaux 

Le 02/05/2024 à 19:34, Toussaint OTTAVI a écrit :


Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit :

Depuis quelques mois (dur à retracer), chez un seul client, impossible
de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur
le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis
n’importe quel autre opérateur fonctionne sans souci.


J'utilise une autre marque de firewalls, mais il m'arrive parfois de 
constater ce phénomène. Parfois, çà se produit sur certaines connexions 
en partage 4G/5G (pas toutes). D'autres fois, derrière une Livebox, çà 
passe en Ethernet, mais çà ne passe pas en WiFi. Il n'y a pas de règle 
absolue...


Il y a longtemps, je m'étais amusé à faire des captures de paquets :
- IKE, c'est de l'UDP. Lorsque le premier paquet est trop gros, il est 
fragmenté
- Coté destination, les fragments arrivent "dans le mauvais ordre" (mais 
pourquoi ???)
- Le ré-assemblage des fragments ne se fait pas, et cela empêche la 
négociation IKE de démarrer


Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
vraiment.  En revanche, dans mon client VPN logiciel (d'une autre 
marque, je le rappelle), il y a une option "Restrict the size of the 
first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
an ou deux), lorsque le problème se produit, elle permet de le résoudre.


Hope this helps...


Peut-être est-ce une application précoce de:
https://www.lemonde.fr/pixels/article/2024/04/22/europol-s-oppose-au-chiffrement-des-messageries_6229195_4408996.html

Le VPN ne fonctionnant plus, il faut passer que ça passe en clair ! :)

--
Jérôme Marteaux



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Toussaint OTTAVI 




Le 02/05/2024 à 19:30, David Ponzone a écrit :

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!


J'avais lu un peu trop rapidement. Donc, cela ne ressemble pas à mon 
problème de paquet ISAKMP initial fragmenté qui arrive dans le désordre...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Toussaint OTTAVI 



Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit :

Depuis quelques mois (dur à retracer), chez un seul client, impossible
de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur
le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis
n’importe quel autre opérateur fonctionne sans souci.


J'utilise une autre marque de firewalls, mais il m'arrive parfois de 
constater ce phénomène. Parfois, çà se produit sur certaines connexions 
en partage 4G/5G (pas toutes). D'autres fois, derrière une Livebox, çà 
passe en Ethernet, mais çà ne passe pas en WiFi. Il n'y a pas de règle 
absolue...


Il y a longtemps, je m'étais amusé à faire des captures de paquets :
- IKE, c'est de l'UDP. Lorsque le premier paquet est trop gros, il est 
fragmenté
- Coté destination, les fragments arrivent "dans le mauvais ordre" (mais 
pourquoi ???)
- Le ré-assemblage des fragments ne se fait pas, et cela empêche la 
négociation IKE de démarrer


Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
vraiment.  En revanche, dans mon client VPN logiciel (d'une autre 
marque, je le rappelle), il y a une option "Restrict the size of the 
first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
an ou deux), lorsque le problème se produit, elle permet de le résoudre.


Hope this helps...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone 
Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit 
> :
> 
> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
> ...
> 
>> - sur la partie « split-tuneling », je ne vois pas trop le rapport. 
> 
> Aucun, c'est la description du bug de David en SSL qui y ressemble
> 
>> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
>> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben 
>> ça juste fonctionne sans aucun souci.
>> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
>> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
>> c’est pénible.
> 
> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
> C'est en tout cas ce que je constate.
> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
> 
> Vincent.
> 
>> 
>>> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
>>> écrit :
>>> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
 On doit pas parler du même problème.
 Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
 priori, et se déclenche quand le client a accès à IPv6 alors que le 
 serveur n’est pas dispo en IPv6.
>>> Je ne connais pas fortinet, mais la description ressemble a un problème de 
>>> split tunneling.
>>> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
 « A good IPv6 is a disabled one ».
>>> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
>>> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
>>> simple.
>>> IPv6, lui, fonctionne correctement.
>>> Vincent.
 ...
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog 

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le 
rapport. 


Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se 
connecte est sur n’importe quel autre réseau, avec ou sans IPv6, 
ou chez Free / FreePro, ben ça juste fonctionne sans aucun 
souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez 
Forti, mais  il n’y a que chez Orange (offre Orange Pro) que ça 
semble se déclencher, et c’est pénible.


C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.

C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.



Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog 
 a écrit :


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un 
problème de split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 
est la plupart du temps cassé (CGNAT, DNS64 et autre) pour 
autre chose que du web simple.

IPv6, lui, fonctionne correctement.

Vincent.


 ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog 
Désolé de ne pas être revenus vers vous avant ! Après-midi chargée et 
impossible d’avoir le client pour test avant demain.

Alors, je confirme :

- les clients se connectent en IPSec (IKEv1 ou v2, a priori, ça fait pareil) 
sur un FQDN IPv4-only,
- les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me troller, je 
suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
- les Forti sont sur la branche 7.2 pour le moment.

- Je n’ai pas encore pu toucher à leurs réglages d’APN, que je peux contrôler 
par un profil de configuration, y compris la version, v4 vs v6. (David, Apple 
Configurator, ça existe encore, mais on n’y touche plus depuis un moment, c’est 
trop basique)
On a les réglages à utiliser chez Orange ? 

- sur la partie « split-tuneling », je ne vois pas trop le rapport. Le tunnel 
s’établit, et tombe quasi immédiatement, uniquement via le réseau data d’Orange 
Pro. Par n’importe quel autre réseau qu’on a pu tester, ça fonctionne. 
- j’avoue que le coup de l’IP à la place du FQDN, ça coûte pas cher à tester, 
mais ça me choque ! 

- IPv6 n’est pas désactivable sur iOS. On peut le désactiver manuellement sur 
un SSID donné en Wifi ou une connexion Ethernet, mais pas de manière générale, 
et pas en cellulaire. 

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.



> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit 
> :
> 
> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
> 
> Je ne connais pas fortinet, mais la description ressemble a un problème de 
> split tunneling.
> 
> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
> 
>> « A good IPv6 is a disabled one ».
> 
> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
> du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
> IPv6, lui, fonctionne correctement.
> 
> Vincent.
> 
>> 
>>> Le 2 mai 2024 à 14:46, Vincent Tondellier  a 
>>> écrit :
>>> Bonjour,
>>> On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...
>> 
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog 

On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
simple.

IPv6, lui, fonctionne correctement.

Vincent.



Le 2 mai 2024 à 14:46, Vincent Tondellier 
 a écrit :


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone 
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.

« A good IPv6 is a disabled one ».

David

> Le 2 mai 2024 à 14:46, Vincent Tondellier  a écrit 
> :
> 
> Bonjour,
> 
> On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:
>> Désactive IPv6 sur le client pour voir.
> 
> C'est le contraire qu'il faut faire. En IPv6 ca passe, en IPv4 non 
> (probablement CGNAT ou autre mécanisme de transition a la con qui fout la 
> merde).
> 
> (Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
> sur android.
> "Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
> (avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).
> 
> Ca fait de mes souvenirs plus d'un an que c'est comme ça.
> 
> Vincent.
> 
> On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:
>> Salut à tous !
>> 
>> Je rencontre un souci très pénible.
>> 
>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
>> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
>> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les 
>> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>> 
>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>> device ou en partage de connexion).
>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>> 
>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>> pas.
>> 
>> 
>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>> pourrait me donner des pistes…
>> Any idea ?
>> 
>> 
>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>> plaintes récurrentes et justifiées du client)
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog 

Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:

Désactive IPv6 sur le client pour voir.


C'est le contraire qu'il faut faire. 
En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de 
transition a la con qui fout la merde).


(Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
sur android.

"Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
(avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).

Ca fait de mes souvenirs plus d'un an que c'est comme ça.

Vincent.

On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites 
distants et des Fortigate. Lignes fibres pour la plupart 
aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, 
peu importe. J’ai des tunnels IPSec entre les sites distants 
sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. 
SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de 
soucis.


Depuis quelques mois (dur à retracer), chez un seul client, 
impossible de monter un tunnel IPSec via iOS ou macOS quand ils 
sont en 4G/5G (sur le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet 
depuis n’importe quel autre opérateur fonctionne sans souci. 
J’ai essayé via Free et FreePro mobiles, aucun problème, le 
tunnel est établie en 150 ms à peine.


Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble 
se passer normalement, puis j’ai quasi dans la foulée un message 
du type «  recv ISAKMP SA delete » dans les logs de debug du 
Forti, et le tunnel ne monte pas.



Comme je viens de manger du log de debug depuis des jours en 
m’arrachant la tête, je me suis dit que soumettre ça à la 
brillante sagacité de la liste pourrait me donner des pistes…

Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire 
même on est en train de mettre une solution ZTNA basée sur 
Wireguard, mais si ça pouvait juste marcher comme chez les 
autres opérateurs, ça me soulagerait des plaintes récurrentes et 
justifiées du client)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Baptiste Chappe 
Salut,
Remplace le fqdn par l’ipv4 sur le client :-) c’est crade mais ca marche
(tête fortinet 7.2 et 7.4) …

Baptiste


Le jeu. 2 mai 2024 à 13:24, David Ponzone  a
écrit :

> Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire:
>
>
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> <
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> >
>
> Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom
> avec:
>
> https://support.apple.com/apple-configurator <
> https://support.apple.com/apple-configurator>
>
> David
>
> > Le 2 mai 2024 à 13:08, Philippe ASTIER 
> a écrit :
> >
> > OK, why not, on va faire ça sur le Mac, pas possible sur iOS.
> >
> > (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
> >
> >
> > Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis
> le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire
> sur aucun tunnel VPN.
> >
> >
> > Ce qui me choque, c’est que le seul fait de passer par Orange Mobile
> casse le fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a
> changé sa configuration.
> >
> >
> >
> >> Le 2 mai 2024 à 12:56, David Ponzone  a écrit
> :
> >>
> >> Désactive IPv6 sur le client pour voir.
> >>
> >> David
> >>
> >>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a
> écrit :
> >>>
> >>> Salut à tous !
> >>>
> >>> Je rencontre un souci très pénible.
> >>>
> >>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants
> et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange
> Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec
> entre les sites distants sans aucun souci, fiables, ça monte très vite en
> IKEv2.
> >>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL,
> IPSec, clients Forti selon les cas, mais pas eu beaucoup de soucis.
> >>>
> >>> Depuis quelques mois (dur à retracer), chez un seul client, impossible
> de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le
> device ou en partage de connexion).
> >>> Avec la même configuration, la connexion en wifi/ethernet depuis
> n’importe quel autre opérateur fonctionne sans souci. J’ai essayé via Free
> et FreePro mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
> >>>
> >>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se
> passer normalement, puis j’ai quasi dans la foulée un message du type «
> recv ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne
> monte pas.
> >>>
> >>>
> >>> Comme je viens de manger du log de debug depuis des jours en
> m’arrachant la tête, je me suis dit que soumettre ça à la brillante
> sagacité de la liste pourrait me donner des pistes…
> >>> Any idea ?
> >>>
> >>>
> >>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on
> est en train de mettre une solution ZTNA basée sur Wireguard, mais si ça
> pouvait juste marcher comme chez les autres opérateurs, ça me soulagerait
> des plaintes récurrentes et justifiées du client)
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone 
Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire:

https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
 


Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom avec:

https://support.apple.com/apple-configurator 


David

> Le 2 mai 2024 à 13:08, Philippe ASTIER  a 
> écrit :
> 
> OK, why not, on va faire ça sur le Mac, pas possible sur iOS.
> 
> (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
> 
> 
> Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le 
> PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire sur 
> aucun tunnel VPN.
> 
> 
> Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le 
> fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa 
> configuration.
> 
> 
> 
>> Le 2 mai 2024 à 12:56, David Ponzone  a écrit :
>> 
>> Désactive IPv6 sur le client pour voir.
>> 
>> David
>> 
>>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
>>> 
>>> Salut à tous !
>>> 
>>> Je rencontre un souci très pénible.
>>> 
>>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et 
>>> des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, 
>>> Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre 
>>> les sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>>> 
>>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>>> device ou en partage de connexion).
>>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>>> 
>>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>>> pas.
>>> 
>>> 
>>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>>> pourrait me donner des pistes…
>>> Any idea ?
>>> 
>>> 
>>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>>> plaintes récurrentes et justifiées du client)
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog 
OK, why not, on va faire ça sur le Mac, pas possible sur iOS.

(Chez Free, pas besoin de désactiver IPv6 en tout cas.)


Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le PMTU 
il est sensé être négocié proprement, je n’ai jamais eu à le faire sur aucun 
tunnel VPN.


Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le 
fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa 
configuration.



> Le 2 mai 2024 à 12:56, David Ponzone  a écrit :
> 
> Désactive IPv6 sur le client pour voir.
> 
> David
> 
>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
>> 
>> Salut à tous !
>> 
>> Je rencontre un souci très pénible.
>> 
>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
>> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
>> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les 
>> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>> 
>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>> device ou en partage de connexion).
>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>> 
>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>> pas.
>> 
>> 
>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>> pourrait me donner des pistes…
>> Any idea ?
>> 
>> 
>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>> plaintes récurrentes et justifiées du client)
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone 
Désactive IPv6 sur le client pour voir.

David

> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
> 
> Salut à tous !
> 
> Je rencontre un souci très pénible.
> 
> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
> distants sans aucun souci, fiables, ça monte très vite en IKEv2.
> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
> clients Forti selon les cas, mais pas eu beaucoup de soucis.
> 
> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
> device ou en partage de connexion).
> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
> 
> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
> normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
> SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.
> 
> 
> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
> pourrait me donner des pistes…
> Any idea ?
> 
> 
> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
> plaintes récurrentes et justifiées du client)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Ludovic de Bélair 
Bonjour Philippe,

Constaté le même phénomène la semaine dernière entre un partage de connexion 4G 
Orange Pro et un firewall utilisé sur une FFTH Free pour monter un VPN L2TP... 
Suis pas allé plus loin car je n'étais pas le revendeur de la carte SIM - je 
sais c'est pas beau mais pas le temps ! J'ai montré au client que cela 
fonctionnait sur d'autres FAI 4G ou fixe et lui ai suggéré de prendre attache 
avec ses fournisseurs... Je n'avais même pas de trace de connexion IKE sur le 
firewall comme si c'était filtré en amont.

Ludovic

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Philippe 
ASTIER via frnog
Envoyé : jeudi 2 mai 2024 12:49
À : frnog-tech 
Objet : [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
distants sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
clients Forti selon les cas, mais pas eu beaucoup de soucis.

Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device 
ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis n’importe quel 
autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro mobiles, 
aucun problème, le tunnel est établie en 150 ms à peine.

Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.


Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
pourrait me donner des pistes… Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait juste 
marcher comme chez les autres opérateurs, ça me soulagerait des plaintes 
récurrentes et justifiées du client)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog 
Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
distants sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
clients Forti selon les cas, mais pas eu beaucoup de soucis.

Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device 
ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis n’importe quel 
autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro mobiles, 
aucun problème, le tunnel est établie en 150 ms à peine.

Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.


Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
pourrait me donner des pistes…
Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait juste 
marcher comme chez les autres opérateurs, ça me soulagerait des plaintes 
récurrentes et justifiées du client)
---
Liste de diffusion du FRnOG
http://www.frnog.org/