Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Jérôme Marteaux 
Si tu as accès au support du MVNO-light, remonte-leur le problème, il 
est possible qu'il y ai un firewall sur le chemin dont l'ALG ou 
l'inspection de paquet pose problème.


Jérôme

Le 06/05/2024 à 21:42, David Ponzone a écrit :

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
Orange, c’est même normalement plus propre).
Par contre, mon APN, aucune idée :)

David



Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

Bonjour !
En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.
Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :

Bonjour



Par curiosité c'est Orange en direct ou via un revendeur ?
L'IP publique appartient à Orange ?
Quel est le nom de l'APN ?

Jérôme



--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet David Ponzone 
Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
Orange, c’est même normalement plus propre).
Par contre, mon APN, aucune idée :)

David


> Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :
> 
> Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :
>> Bonjour !
>> En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
>> Mobile.
>> Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est 
>> une honte absolue. Intéressant intellectuellement pour comprendre, mais 
>> inadmissible en production.
>> Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
>> centaines de millisecondes.
>> Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
>> accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
>> d’opérateurs alternatifs pour qu’on puisse terminer le projet.
>>> Le 6 mai 2024 à 11:46, Thierry Chich  a écrit 
>>> :
>>> 
>>> Bonjour
>>> 
>>> 
> Par curiosité c'est Orange en direct ou via un revendeur ?
> L'IP publique appartient à Orange ?
> Quel est le nom de l'APN ?
> 
> Jérôme
> 
> -- 
> Jérôme Marteaux
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Forticlient VPN SSL

2024-05-06 Par sujet Stephane Miguel 
Bonjour

Je constate avec l’un de mes clients en tshoot que lors de l’établissement
d’un vpn ssl avec une passerelle distante

Le client forticlient tente de se synchroniser vers d’autres adresses avant
même de se connecter à la target

Par moment sa fail et je vois même pas de trafic quand je filtre vers
l’adresse wan du  concentrateur vpn

En revanche je vois en pagaille des ip ou certaine semble être des ip
portant le fqdn de maj forti

Lorsque je claque l’adresse du concentrateur sur un navigateur je vois bien
du trafic
Mais lorsque je passe par le client forti rien !!

Par moment j’ai des failed update et je suis obligé d’ouvrir large alors
que j’aime juste pas ça !

La topologie :

pc hors domaine mais secure car gère par la compagnie

rupture protocolaire (bastion )

Machine jump à double interface

Cette dernière a deux interface
L’une pour le maintient rdp domaine etc

La seconde interface pour la wan

Des routes statiques pour la première

Et une route par défaut pour la wan natté

Pour l’usage d’internet il y’a ssl intercept qui redirige vers mon portail
captif de mon firewall pour la seconde gestion d’identité pour Allow
uniquement des users d’un groupe de sécurité spécifique


Ça marche parfaitement bien

Sauf ce client vpn qui semble bien décidé à me rendre chèvre à dialoguer
avec lui même (serveur de mise à jour forti) avant même d’établir quoi que
ce soit !

J’ai déjà mis les url que j’ai vu sur le net mais j’ai toutes les deux
semaines un t-shoot à faire car leur client vpn n’envoie plus rien et
semble garder pour lui le trafic pas avant que forti update lui donne le go

Avez vous eu ce genre xp full cancer ?

Merci bien

Stéphane

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Jérôme Marteaux 

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

Bonjour !

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.

Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.


Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :

Bonjour



Par curiosité c'est Orange en direct ou via un revendeur ?
L'IP publique appartient à Orange ?
Quel est le nom de l'APN ?

Jérôme

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] 4 Mikrotik CCR2004-1G-12S+2XS d'occasion à vendre

2024-05-06 Par sujet beno...@enki-multimedia.eu 
Bonjour à tous,

J'ai 4 Microtik CCR2004-1G-12S+2XS achetés sur les 3 dernières années à vendre:

Description:

- Ports : 12 x 10G SFP+, 2x 25G SFP28
- Port de gestion : 1x 1G RJ 45, 1 port de console série RJ45
- Alimentation : entrées CA 100-240 V
- Refroidissement : 2 ventilateurs
- Consommation électrique maximale : 49 W
- Facteur de forme : 1U 442,4 x 43,7 x 285,6 mm (17,4 x 1,7 x 11,2")
- Poids : 3,4 kg

État : utilisé, très bon
Inclus dans la livraison : routeur avec alimentation, et tous les accessoires 
(vis, supports de montage en rack). Carton d'origine.
URL du produit : 
https://mikrotik.com/product/ccr2004_1g_12s_2xs#fndtn-specifications

Si vous êtes intéressés, merci de me faire une offre en privé.

Benoit Chesneau, Enki Multimedia.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Vente matériel informatique, téléphonique, rack et câblage divers

2024-05-06 Par sujet Azwaw OUSADOU 
Bonjour à tous,

J'ai pas mal de matériel à vendre:
  - Tout est vendu en l'état et sans garantie.
  - Le matériel ne sera ni repris, ni échangé
  - Les paiements se feront par virement bancaire ou paypal uniquement
  - Je peux vous envoyer vos commandes via UPS ou vous pouvez venir les
retirer sur place. Dans ce cas, les articles sont à récupérer à
Pierrefitte-Sur-Seine (93) et seulement après réception du paiement
  - Je peux vous fournir une facture si vous le souhaitez

Je privilégie les ventes en lots, n'hésitez pas à me faire vos offres.
N'hésitez pas à me contacter si vous souhaitez des photos.

Voici la liste :

Servers 1U:
  - HP ProLiant DL160 G6 :
* CPU 2x Intel Xeon X5650 Six core 2.66 GHz
* 48 GB DDR3 RAM
* Disque Dur 2x 1000 GB SATA 7.2KRPM
* 1x Network Card with 2 SFP+ 10Gbps ports
* 2 ports RJ45

 - IBM X3550 M4 :
* CPU 2x Intel Xeon E5-2670 2.60Ghz
 * 24*192GB RAM (1066 Mhz)
 * M5110 1GB FBWC RAID
 * 2 x PSU 550W
 * Emulex 10GB SFP+ Dual Port Card
 * 8*600GB SAS 10K in IBM M4 2.5"" Caddy"

   - HP ProLiant DL360p G8 ne boot pas (freeze sur l’écran ProLiant)
  * CPU: 2x Intel Xeon Processor E5-2680 @ 2.70 GHz, 8 cores/16
threads, 20MB Cache
  * Memory: 64GB (8x8GB) DDR3 ECC
  * 1x 120GB SSD
  * 3x 2TB HDD
  * 1x 460W Power Supply
  * 1x Ethernet/RJ45 1Gbps Network Card
  * 1x Network Card with 2 SFP+ 10Gbps ports

   - IBM X3550 M4 : Motherboard endommagée ? Clavier USB ne répond pas et
serveur s'éteint au bout d’un moment
* CPU 2x Intel Xeon E5-2670 2.60Ghz
 * 24*192GB RAM (1066 Mhz)
 * M5110 1GB FBWC RAID
 * 2 x PSU 550W
 * Emulex 10GB SFP+ Dual Port Card
 * 8*600GB SAS 10K in IBM M4 2.5"" Caddy"

Ecrans :
  - Dell 21,5" VGA, DVI, HDMI, sortie audio et USB

Disques Durs :
  - 9 x Disque Dur SAS 2.5” SAS 600Gb Hitachi HUC106060CSS60
  - 1 x SSD Micron RealSSD C400 2.5” 256Go

RAM :
  - 22 x RAM Noname 4Go DDR3 10600R-9-10-NP Registered
  - 16 x RAM Hynix 4Go DDR3 10600R-9-10-N0 Registered
  - 1x RAM Corsair CML16GX3M2A1600C10 8Gb DDR3L-1600 UDIMM 1.50V 10-10-10-27
  - 1X Ram Crucial CT102464BD160B.M16FP 8Gb DDR3L-1600 UDIMM 1.35V CL11

Carte PCI :
  - 2x Carte PCI-Express Fiber Channel 8/4/2Gbps Dual Port Brocade 825
  - 4x Carte PCI-Express Fiber Channel 4/2/1 Gbps QLogic Finisar
FTLF8524E2KNL 850nm dont une où l’avant est parti
  - 2x Carte graphique NVIDIA Quadro NVS 295

CPU :
  - 2x Intel xeon 5140 2.33 Ghz

Switch :
  - Point d’accès wifi D-Link DAP-2310 Sans alimentation

Téléphonie IP :
  - 4X Pieuvres PolyCom SoundStation IP 5000, je n'ai que 2 alimentations
sur les 4 (c'est de l'alimentation via ethernet)

Téléphones Portables :
  - Sony Xperia Z1 : s’allume, fonctionne mais chauffe beaucoup, ne peux
plus être immergé dans l’eau car le cache du port USB n’est plus présent
  - Téléphone Samsung GT-S5230 + Chargeur : Écran et bouton fonctionne mais
tactile ne fonctionne pas, cache batterie ne tient pas
  - Tablette Tablette Samsung SM-T210R : ne charge pas, ne s’allume pas
  - Sony Xperia modèle inconnu : ne s’allume pas, ne charge pas
  - Motorola MOTO G7 Power XT1955-4 M3C94 : Ecran ne marche plus suite à
changement de batterie (la batterie est neuve)

Câblage divers et disponible en grande quantitée :
  - DVI
  - HDMI
  - DisplayPort
  - DisplayPort <-> HDMI
  - VGA
  - Ethernet
  - Câbles d'alimentations

Autres :
  - Adaptateur VGA/DVI/HDMI/DisplayPort divers
  - Rack 48U sur roulette
  - Ventilateur GPU : BFB1012M 12V
  - Alimentation Cooler Master 650W GX Bronze
  - Ventirad cooler master v8 tourne mais détecté en défaut
  - Rétroprojecteur SceneLights Technologies PX-1247-678 Sans alimentation
(12V - 8A)
  - Perche à selfie
  - Chromecast-like TVPeCee MMS-884 Quad

Cordialement,
Azwaw OUSADOU

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Toussaint OTTAVI 




Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.


C'est sans doute un peu plus complexe que çà. Je pense que si IPSec ne 
passait plus du tout sur Orange Mobile, on serait beaucoup plus nombreux 
à l'avoir constaté :-)


On serait plutôt à priori sur un cas particulier (on a un petit mot en 3 
lettres pour désigner çà) d'une interaction entre l'opérateur, le 
fournisseur de la solution VPN, et, peut-être, un matériel spécifique, 
ou toute autre particularité liée à l'installation. Cà peut s'avérer 
complexe et chronophage à diagnostiquer. Et, quand bien même tu arrives 
à déterminer une cause exacte, et à l'imputer à un intermédiaire précis, 
encore faut-il que tu ne tombes pas sur quelqu'un en face qui pense que 
Wireshark est un requin bleu dans un célèbre dessin animé Français qui 
veut empêcher Zig de bouffer sa copine ;-) Donc, même si tu finis par 
trouver, tu n'auras pas forcément la main pour résoudre le problème seul !


Par pragmatisme, dans ce genre de situation, il est souvent préférable 
de rechercher une solution de contournement, une combinaison "qui 
fonctionne" afin de ne pas être bloqué coté client . Car le client se 
fout que çà vienne d'Orange, de Fortinet, de Poutine ou des phases de la 
lune ;-)  Il a un interlocuteur, c'est toi; et pour lui, c'est *ta* 
solution qui ne fonctionne pas ;-)


Ensuite, si l'impact client est important, rien n'empêche de creuser le 
problème par la suite, histoire de comprendre ce qui cloche, et pouvoir 
mieux anticiper. Mais si c'est sur un cas à la c**, pardon, un cas 
particulier d'un seul mec qui a 5 postes,  qui a insisté pour mettre le 
firewall en DMZ derrière une box en tissu, qui n'a pas voulu attendre 
l'installation d'un deuxième lien chez un opérateur différent, qui sait 
tout faire tout seul mieux que toi, et chez qui ton SSLVPN ne fonctionne 
pas sur terminaux Apple alors qu'il fonctionne très bien sur Android, 
mieux vaut laisser le client aller voir ailleurs  ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Philippe ASTIER via frnog 
Bonjour !

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile. 
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.

Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

> Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :
> 
> Bonjour
> 
> 
> Moi je ferais quand même une capture sur un qui qui marche et un qui marche 
> pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en 
> revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, 
> et une maj d'un ios cisco avait décidé qu'il fallait droppé. Alors oui, la 
> phase 1 est sensé fonctionner, mais bon.
> 
> 
> Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit :
>> Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé 
>> ce qui se passe en wifi vs 4G/5G Orange.
>> 
>> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
>> négociation a l’air vraiment identique.
>> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un 
>> truc qui m’échappe.
>> 
>> Mais bon sang, qu’est-ce que ça cause ces logs !….
>> 
>> Le 2 mai 2024 à 19:30, David Ponzone  a écrit :
>> 
>> Vincent,
>> 
>> Ca bloque pas chez Orange puisque Philippe dit que la négociation 
>> Phase1/Phase2 semble bien se passer et puis paf!
>> 
>> Philippe,
>> 
>> Tu vas devoir entrer dans le monde du debug Forti :)
>> 
>> David
>> 
>> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a 
>> écrit :
>> 
>> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
>> ...
>> 
>> - sur la partie « split-tuneling », je ne vois pas trop le rapport.
>> 
>> Aucun, c'est la description du bug de David en SSL qui y ressemble
>> 
>> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
>> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben 
>> ça juste fonctionne sans aucun souci.
>> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
>> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
>> c’est pénible.
>> 
>> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
>> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
>> C'est en tout cas ce que je constate.
>> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
>> 
>> Vincent.
>> 
>> 
>> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
>> écrit :
>> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
>> Je ne connais pas fortinet, mais la description ressemble a un problème de 
>> split tunneling.
>> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
>> « A good IPv6 is a disabled one ».
>> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
>> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
>> simple.
>> IPv6, lui, fonctionne correctement.
>> Vincent.
>> ...
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> -- 
> 
> Thierry CHICH
> 
> x...@ac-clermont.fr 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Thierry Chich 

Bonjour


Moi je ferais quand même une capture sur un qui qui marche et un qui 
marche pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du 
forti en revanche. Le certif était gros, le paquet isakmp passait pas en 
1500 octets, et une maj d'un ios cisco avait décidé qu'il fallait 
droppé. Alors oui, la phase 1 est sensé fonctionner, mais bon.



Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit :

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce 
qui se passe en wifi vs 4G/5G Orange.

Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
négociation a l’air vraiment identique.
Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
qui m’échappe.

Mais bon sang, qu’est-ce que ça cause ces logs !….

Le 2 mai 2024 à 19:30, David Ponzone  a écrit :

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit :

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le rapport.

Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.

C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.


Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit :
On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.
Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.
Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
« A good IPv6 is a disabled one ».
Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
IPv6, lui, fonctionne correctement.
Vincent.
...
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--

Thierry CHICH

x...@ac-clermont.fr 



---
Liste de diffusion du FRnOG
http://www.frnog.org/