Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
Au passage, en debug, je vois 2 trucs bizarres: -le CGNAT d’Orange présente mon mobile avec les ports 500 et 4500 sur l’IP Publique CGNAT (92.184.116.219), ce qui parait invraisemblable, donc leur CGNAT doit avoir un IPSEC-ALG, et comme tout bon ALG (ou presque), il doit faire de la merde (Hypothèse2: y a pas d’IPSEC-ALG, et seul le premier mobile derrière l’IP publique profite des ports 500/4500) -la déco semble provoquer par une demande du client: ike 0: comes 92.184.116.219:4500->X.X.X.X:4500,ifindex=5 ike 0:TestIPsec_0:25093: recv ISAKMP SA delete eeebca155dd89958/0aeba54063d5e433 (Peut-être une conséquence de la non-réception de certains paquets envoyés par le FG vers le port 4500 du client) Bref, un beau merdier. Vive SSL. David > Le 3 mai 2024 à 09:16, Philippe ASTIER via frnog a écrit : > > >> Le 3 mai 2024 à 08:54, Dev Mart a écrit : >> >> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? > > Salut, > > Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et > joliment vert. > > Non, les vrais logs, tu les as en CLI : > > diag debug application ike -1 > diag debug enable > > Et aussi diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les > logs des autres tunnels VPN qui ne t’intéressent pas. > > Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et > digérer. > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
Philippe, Si ça peut te rassurer (….), j’ai exactement le même comportement que toi avec un FG en 6.2.X en IPv4-only, et le client natif IPsec IOS (en mode Cisco IPsec): -en wifi (Bouygues Tel, IPv6 actif): ça monte -en 4G (Orange par MVNO-light, IPv6 actif): ça monte pas J’ai essayé de mettre le nattraversal en forced côté FG, pas mieux. Ca semble donc plus être un problème avec Orange que d’IPv6. David > Le 3 mai 2024 à 09:16, Philippe ASTIER via frnog a écrit : > > >> Le 3 mai 2024 à 08:54, Dev Mart a écrit : >> >> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? > > Salut, > > Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et > joliment vert. > > Non, les vrais logs, tu les as en CLI : > > diag debug application ike -1 > diag debug enable > > Et aussi diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les > logs des autres tunnels VPN qui ne t’intéressent pas. > > Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et > digérer. > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
> Le 3 mai 2024 à 08:54, Dev Mart a écrit : > > Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Salut, Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et joliment vert. Non, les vrais logs, tu les as en CLI : diag debug application ike -1 diag debug enable Et aussi diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les logs des autres tunnels VPN qui ne t’intéressent pas. Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et digérer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: >> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me >> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) > > Pourquoi ? > Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja > suppose etre globalement joignable en v4). C’est juste une conf historique d’un temps où leur FTTO (et SDSL avant) n’avait pas d’IPv6. Un truc vient de jaillir dans ma tête… J’ai cru voir hier dans les logs que le NAT-T n’était pas bien détecté en 4G/5G… Comme si quand le client est en IPv6, il ne se voit pas derrière un NAT (ce qui d’un point de vue v6 est juste, mais faux en v4…). Ca irait dans le sens de s’activer l’APN v6. Je vais me retaper les 3000 lignes de logs et en refaire avec le client… Happy Friday. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
> On Thu, May 2, 2024, at 12:56, David Ponzone wrote: >> Désactive IPv6 sur le client pour voir. > > ??? En 2024 AD ??? Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de tester. > Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour > voir" ? Oui, ok, pour voir ça me va, ça ne coûte pas grand chose, et ça ne changera rien à mes confs. > Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc > qui va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble > des ressources exposes aient des IP publiques - plus simple en v6 qu'en v4) Comme dit précédemmentt, on devrait implanter d’ici l’été une solution de ZTNA (JAMF Private Access), qui établit un tunnel wireguard avec l’infra JAMF, et on est en IKEv2 fixe vers l’infra du client. Je teste depuis quelques semaines chez moi, ça marche rudement bien, avec contrôle d’accès depuis le client (identité, conformité et ce qu’on veut), et possible traffic vectoring, DNS privé. Du coup aucune exposition publique de l’infra du client. Je ne voulais pas révolutionner la conf des Forti avant ça. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Cordialement Le ven. 3 mai 2024, 08:20, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > > - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me > > troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) > > Pourquoi ? > Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja > suppose etre globalement joignable en v4). > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me > troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) Pourquoi ? Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja suppose etre globalement joignable en v4). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile
On Thu, May 2, 2024, at 12:56, David Ponzone wrote: > Désactive IPv6 sur le client pour voir. ??? En 2024 AD ??? Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour voir" ? Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc qui va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble des ressources exposes aient des IP publiques - plus simple en v6 qu'en v4) --- Liste de diffusion du FRnOG http://www.frnog.org/