Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet (et non simplement de la vérification de certificat). Et cela, les applications comme M365 notamment ne l'apprécient guère. Un test à réaliser serait de faire une policy aussi de celles pour le surf, qui cible

Re: [FRnOG] [TECH] Switch Alcatel - Perte de licence 6450

Bonjour, Les switchs Alcatel-Lucent sont upgradable en 10G via une licence logiciel qu’il faut update dans le répertoire /flash/ via FTP sur chaque switch (Lié à la mac-address + numéro de série). Chassis 3 Model Name:OS6450-P48, Description: 48 POE

Re: [FRnOG] [TECH] Bgp sous FRR

. On 17/05/2024 13:19, Nicolas de Brou wrote: Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. Sans aucune donnée réelle, je dirais

Re: [FRnOG] [TECH] Bgp sous FRR

Bonjour J’ai identifié mon interface Que je force ou pas l’ip source, je passe toujours par ce Un traceroute montre que je passe à travers 4 routeurs supplémentaires de cet opérateur avant de perdre la suite. > Le 17 mai 2024 à 07:36, Willy Manga a écrit : > > Bonjour, > >> On 16/05/2024

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 23:03, Jérôme Marteaux a écrit : Ce n'est pas une bonne idée. Exemple avec ce schéma: CPE <--> PE Si la MTU du PE est à 1500 et celle du CPE est à 1492: lorsque le PE va envoyer des paquets à 1500 le CPE va les dropper. Tu es sûr de çà ? Moi, j'ai plutôt l'impression

Re: [FRnOG] [TECH] Bgp sous FRR

Bonjour, On 16/05/2024 20:04, Nicolas de Brou wrote: Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Il faudrait

Re: [FRnOG] [TECH] Problème FortiGate

Salut, Désolé ca va pas t'aider mais attention, 2 PCs dans un même réseau/navigateur ne signifie pas du tout forcément la même requête réseau.. Juste en parlant de proxy HTTP tu peux avoir: - un poste qui sera configuré via son DHCP pour utiliser un proxy HTTP via un proxy.pac: - Les

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 09:34, Toussaint OTTAVI a écrit : Le 15/05/2024 à 14:48, Hugues Voiturier a écrit : Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, Je suppose que cela dépend des équipements. MSS = MTU moins les headers (IP, TCP, IPsec...). Par défaut, le

Re: [FRnOG] [TECH] Bgp sous FRR

Hello, Certains opérateurs te fournissent des blocs d'interco IP non routables. Ainsi tu peux te connecter sur ton routeur avec les IPs de ton asn, mais si le linux essaye de sortir sur internet via cette interco, possible qu'il utilise la mauvaise IP source. Dans ce cas, tente un ping et

Re: [FRnOG] [TECH] Bgp sous FRR

Le 16/05/2024 à 18:04, Nicolas de Brou a écrit : Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Cela m'évoque un

Re: [FRnOG] [TECH] Bgp sous FRR

Hello Je me suis mal exprimé, désolé On a deux transitaire et ça fonctionne Le routeur « route » et les majs bgp fonctionne C’est le Linux qui lui n’accède pas à internet Alors que je peux me connecter dessus à distance… Merci > Le 16 mai 2024 à 17:41, Raphael Mazelier a écrit : > > Hello

Re: [FRnOG] [TECH] Bgp sous FRR

Hello la liste, Quand tu dis fait bien son travail que veut tu dire ? Il route ? parce que bon si ton FRR/guagge est vautré mais qu'il te reste des routes et une default il va router. Mais tu n'auras pas trop d'update :) -- Raph On 16/05/2024 16:53, Nicolas de Brou wrote: > Bonjour, > > Je

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Le 16/05/2024 à 13:35, Dominique Rousseau a écrit : Le Thu, May 16, 2024 at 12:30:28PM +0200, Pierre DOLIDON [sn...@sn4ky.net] a écrit: Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Il faut récupérer initialement le certificat (ça se fait directement avec la commande openfortivpn ) et

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Le Thu, May 16, 2024 at 12:30:28PM +0200, Pierre DOLIDON [sn...@sn4ky.net] a écrit: > Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : > >Il faut récupérer initialement le certificat (ça se fait directement > >avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de >

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Il faut récupérer initialement le certificat (ça se fait directement avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de configuration. aurais tu un exemple à ce sujet ? Je galère de mon côté... et ai poussé le client a

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Merci Dominique, je viens de noter tes conseils dans le dossier du client. Pas si vieux, en fait :) Effectivement, ça semblerait dater de 2015... C'était plutôt 'affectueux' au sens où le style de codage et les choix (vites vus)

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Le Thu, May 16, 2024 at 10:57:00AM +0200, Stéphane Rivière [s...@genesix.org] a écrit: > Merci pour vos réponses rapides > > https://github.com/adrienverge/openfortivpn > > Et paquet direct pour Ubuntu  : openfortivpn > > Un bon vieux bidule codé très proprement en C et des retours positifs,

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Ancien utilisateur d'openfortivpn maintenant passé sur openconnect pour la gestion du DTLS et autres options avancées. Bonne journée à tous -- Arnaud On Thu, 16 May 2024 at 10:57, Stéphane Rivière wrote: > Merci pour vos réponses rapides > > https://github.com/adrienverge/openfortivpn > > Et

Re: [FRnOG] [TECH] Problème FortiGate

Pas fait ce test Toussaint, je vais voir ca. Adrien, au niveau des DNS, nous utilisons les DNS FortiGuard, environ 10ms de latence. Les tests "sans filtrage" sont fait pour l'ensemble du LAN vers le WAN. Le jeu. 16 mai 2024 à 09:54, Toussaint OTTAVI a écrit : > > > Le 16/05/2024 à 09:42,

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Merci pour vos réponses rapides https://github.com/adrienverge/openfortivpn Et paquet direct pour Ubuntu  : openfortivpn Un bon vieux bidule codé très proprement en C et des retours positifs, ça sent bon... Donc quand ça va ressortir le mois prochain, je vais suivre votre conseil ! Encore

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Bonjour, On Thu, 16 May 2024 10:23:34 +0200 David Ponzone wrote: > Qui a fait la conf côté FG ? > Quelqu’un qui sait un peu ce qu’il fait ? > > Et ça marche avec un Forticlient Win ou Mac ? J'ai des acces remote Forti depuis un Nux, mais je fais ca avec "openfortivpn"... c'est triste a dire,

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Bonjour. J'utilise openfortivpn sous Ubuntu 22.04 et cela fonctionne. Je ne connais pas le modèle Forti de l'autre extrémité. Le 16/05/2024 à 10:20, Stéphane Rivière a écrit : Bonjour à tous, Puisqu'on parle beaucoup de fortigate sur la liste... un truc en attente depuis un an en mode pas

Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL

Qui a fait la conf côté FG ? Quelqu’un qui sait un peu ce qu’il fait ? Et ça marche avec un Forticlient Win ou Mac ? David > Le 16 mai 2024 à 10:20, Stéphane Rivière a écrit : > > Bonjour à tous, > > Puisqu'on parle beaucoup de fortigate sur la liste... un truc en attente > depuis un an en

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 09:42, Florian VANNIER a écrit : Nous avons également fait ce test en utilisant des règles SDWAN pour forcer sur l'un puis l'autre, même constat  Comme l'a dit Hugues dans une des toutes premières réponses, les symptômes "certains trucs fonctionnent et d'autres pas"

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 15:22, Nicolas VUILLERMET a écrit : On avait dit que le vendredi… Should I block ICMP? shouldiblockicmp.com Bah, c'est un sujet classique de

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour Toussaint, Nous avons également fait ce test en utilisant des règles SDWAN pour forcer sur l'un puis l'autre, même constat  Oui changer la MTU je ne sais pas si ca va changer qqch, on verra. Le jeu. 16 mai 2024 à 09:35, Toussaint OTTAVI a écrit : > > > Le 15/05/2024 à 14:48, Hugues

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 14:48, Hugues Voiturier a écrit : Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, Je suppose que cela dépend des équipements. MSS = MTU moins les headers (IP, TCP, IPsec...). Par défaut, le matériel que j'utilise calcule la MSS tout seul

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, Je rebondis sur ce message pour solliciter l'expertise de nombre d'entre vous. Je pense que comme Florian (et moi ;) ), une part des ASR lisant cette liste ont à charge des systèmes divers et variés, les empêchant d'être à la fois experts Forti + AD + Virtu + ... Avez vous à

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 14:46, Florian VANNIER a écrit : Nous avons 2 WAN, un chez Colt, l'autre chez Orange. Un truc simple à faire, c'est de forcer tout le trafic sur l'un, puis sur l'autre. Cà permet déjà de cibler le problème : en amont (coté Fortinet / réseau local) ou en aval (chez un

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 15:10, Xavier Beaudouin via frnog a écrit : Hello, A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a enlevé ce paramètre. On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille sur pas mal de sujets/problématiques mais on fait appel aux

Re: [FRnOG] [TECH] Problème FortiGate

Salut, J’ai eu un soucis similaire suite à un upgrade de forti. En 7.2 tu as une nouvelle features qui vient checker la validité des certificats distants même quand tu es en défaut. *Event-Sub-Type : certificate-probe-failed »* Ça se désactive en cli via la création d’un nouveau template…

Re: [FRnOG] [TECH] Problème FortiGate

Pour répondre à Richard KLEIN, non, nous n'en avons plus ... Aller si, juste un "certificate inpection" ... [image: image.png] Le mer. 15 mai 2024 à 15:22, Nicolas VUILLERMET a écrit : > On avait dit que le vendredi… > > Should I block ICMP? > shouldiblockicmp.com

Re: [FRnOG] [TECH] Problème FortiGate

On avait dit que le vendredi…Should I block ICMP?shouldiblockicmp.comJe dirai que l’icmp se filtre et se rate-limit.Ça fait parti des sujets sensibles avec le NAT, palliatif d’une pénurie d’IPv4, qui est devenu un moyen de sécurité car « l’extérieur peut pas joindre l’intérieur sans règle

Re: [FRnOG] [TECH] Problème FortiGate

Autre questions sur les fortigates , avez-vous du filtrage de sécurité ? En désactivant le problème persiste? Richard > Le 15 mai 2024 à 15:10, Xavier Beaudouin via frnog a écrit : > > Hello, > >> A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a >> enlevé ce

Re: [FRnOG] [TECH] Problème FortiGate

Hello, > A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a > enlevé ce paramètre. > > On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille > sur pas mal de sujets/problématiques mais on fait appel aux supports quand > on en a besoin ... > >> Mais

Re: [FRnOG] [TECH] Problème FortiGate

A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a enlevé ce paramètre. On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille sur pas mal de sujets/problématiques mais on fait appel aux supports quand on en a besoin ... Le mer. 15 mai 2024 à 14:48, Hugues

Re: [FRnOG] [TECH] Problème FortiGate

Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-) Hugues Voiturier Consultant en architecture réseau AS2027 > On 15 May 2024, at 14:46, Florian VANNIER wrote: > > Oui, nous venons de changer la MTU sur

Re: [FRnOG] [TECH] Problème FortiGate

Oui, nous venons de changer la MTU sur notre interface WAN. On a demandé aux utilisateurs un retour sur plusieurs jours. Nous avons 2 WAN, un chez Colt, l'autre chez Orange. Le mer. 15 mai 2024 à 14:39, Toussaint OTTAVI a écrit : > > > Le 15/05/2024 à 13:46, Florian VANNIER a écrit : > > On va

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 13:46, Florian VANNIER a écrit : On va regarder et remonter cela au support de l'intégrateur pour le MSS. En attendant, fais simplement des essais en réduisant le MTU sur ton  interface WAN, et regarde si çà change quelque chose. Si tu as possibilité de faire une levée de

Re: [FRnOG] [TECH] Problème FortiGate

Hello, Avant de déléguer la patate chaude à un autre niveau du support, et quitte à être dans une démarche technique, pour valider ou invalider la thèse de la mss, il est possible de forcer une valeur de mss sur Fortinet pour que les paquets SYN TCP soit corrigés avec une bonne valeur de

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour à tous Merci pour vos réponses. On va regarder et remonter cela au support de l'intégrateur pour le MSS. Pour le FortiOS, nous sommes en 7.0.15 Nous sommes en Flow mode. Pour les postes, et bien pour 2 postes sur le même LAN, même navigateur, l'un fonctionne l'autre non et l'inverse est

Re: [FRnOG] [TECH] Problème FortiGate

Salut, j'ai eu ce genre de probleme que j'ai mis de temps à débugguer. Les sites httpS avaient une grande latence à la permiere connexion, (voir certains ne passaient pas) en passant par notre proxy Squid. Le meme ¨PC vers le meme site en bypassant le SQUID yavait pas de probleme. C'était en

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour Florian, Je suis d'accord avec Hugues, cela me fait également penser à un souci MSS. Cependant, tu indiques que cela fonctionne sur un poste sans problème. Quelle est la différence entre le poste qui fonctionne et ceux qui ne fonctionnent pas ? Par exemple : la version du navigateur, ce

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, La comme ça, les symptômes que tu décris me font penser a un souci de MTU / MSS. Tu as regardé en ce sens ? Hugues Hugues Voiturier Consultant en architecture réseau AS2027 > On 15 May 2024, at 11:59, Florian VANNIER wrote: > > Bonjour à tous, > Je me permets de jeter une

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Il me semble que c’est la raison que j’avais évoquée pour expliquer la popup :) Néanmoins, si on considérait l’intérêt de l’utilisateur: -l’appel devrait passer en VoWIFI direct -en envoyant au passage au MNO la loc GPS du téléphone si disponible (si le tel a un GPS et s’il est localisé), sans

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Bonjour, Je propose une piste d’analyse un peu différentes D’abord les téléphones ne remonte pas forcément les informations GPS quand on passe un coup de fil. Donc la triangulation du signal GSM reste la solution pour les opérateurs de fournir la localisation du téléphone aux services

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

> Le 14 mai 2024 à 09:43, Maximus . a écrit : > > Je ne connais pas la manip avec un Android, mais pour iPhone, si tu es > connecté au WiFi, l’activation du mode avion ne le coupe pas > Il coupe juste le cellulaire+data mobile > Non c’est plus compliqué, il se rappelle de la dernière

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Le 14/05/2024 à 09:27, David Ponzone a écrit : Ok tu gagnes :) C’est vrai que ce popup est perturbant. Je pense que l’idée est justement qu’avec le cellulaire désactivé, la localisation sera impossible (ou du moins imparfaite/obsolète), mais la popup est clairement de trop. Je viens d’essayer

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

> On 12 May 2024, at 12:56, Clement Cavadore wrote: > > Hello, > > Je pense que les opérateurs pourront trouver toutes les excuses du > monde pour justifier de ne pas autoriser la VoWifi à l'étranger, mais > en vrai, clairement, la problématique de base doit être de protéger > leurs intérêts

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Je ne connais pas la manip avec un Android, mais pour iPhone, si tu es connecté au WiFi, l’activation du mode avion ne le coupe pas Il coupe juste le cellulaire+data mobile Effectivement peu de personnes concernés, car pas un cas très courant Par chance la 2G porte quand même vachement bien, le

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Hello, > Ok tu gagnes :) > > C’est vrai que ce popup est perturbant. > Je pense que l’idée est justement qu’avec le cellulaire désactivé, la > localisation sera impossible (ou du moins imparfaite/obsolète), mais la popup > est clairement de trop. > Je viens d’essayer avec Siri, c’est pareil, 3

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Ok tu gagnes :) C’est vrai que ce popup est perturbant. Je pense que l’idée est justement qu’avec le cellulaire désactivé, la localisation sera impossible (ou du moins imparfaite/obsolète), mais la popup est clairement de trop. Je viens d’essayer avec Siri, c’est pareil, 3 sec de

Re: [FRnOG] [TECH] impots.gouv.fr / AS 34177 (Celeste)

> Le 14 mai 2024 à 08:35, jehan procaccia INT a > écrit : > > A propos des DNS impots.gouv.fr ce n'est pas le moment qu'ils se plantent, je > suis surpris qu'ils ne soient hebergés que dans un seul AS d'operateur privé > . Cela ne depend pas de la DINUM les services numeriques des impots ?

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Car tu es à la limite de couverture La VoWiFi fonctionne donc du coupe le cellulaire pour ne pas vider ta batterie en 4h, sans avoir allumé le téléphone Car pour pouvoir capter cette pauvre barre de réseau et envoyer, il émet à fond la patate Et donc si tu laisses le cellulaire, c’est un

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Ok mais pourquoi tu aurais coupé le cellulaire avant de tailler ta haie ? Ou alors, ça tient du Darwin award…. David > Le 13 mai 2024 à 21:16, Alarig Le Lay via frnog a écrit : > > On Sun 12 May 2024 15:52:57 GMT, David Ponzone wrote: >> Mode avion mais WIFI actif: appel vers un numéro normal

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

On Sun 12 May 2024 15:52:57 GMT, David Ponzone wrote: > Mode avion mais WIFI actif: appel vers un numéro normal passe en Wi-Fi > Direct, mais appel vers le 112 provoque une popup pour demander si on > veut activer le cellulaire ou passer l’appel en wifi Nickel ça, de devoir répondre à une popup

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

l correspondant.. avec "juste du sip" > je vois pas comment c'est réalisé.. Notamment sur les appareils VoLTE, qui ne > sont ni des iphone, ni basés sur android (ex librem). > > alors que normalement, juste une triangu, ca passait.. > > >> From: David Ponz

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

appareils VoLTE, qui ne sont ni des iphone, ni basés sur android (ex librem). alors que normalement, juste une triangu, ca passait.. From: David Ponzone To: Xavier Claude Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger Date: 12/05/2024 15:52:57 Europe/Paris Cc: FRNOG Vérifié à

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

justement, free. From: David Ponzone To: l...@netc.fr Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger Date: 12/05/2024 16:17:57 Europe/Paris Cc: clem...@cavadore.net;    Xavier Claude ;    FRNOG Et donc tu gardes qui ? Parce qu’officiellement, je ne trouve que Free qui

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

couragerais > volontier aux résiliations massives). > > >> From: Clement Cavadore >> To: David Ponzone ; >>Xavier Claude >> Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger >> Date: 12/05/2024 12:56:45 Europe/Paris >> Cc: FRNOG >> &

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Vérifié à l’instant: Wifi et cellulaire activés : appel vers le 112 passe en cellulaire Mode avion mais WIFI actif: appel vers un numéro normal passe en Wi-Fi Direct, mais appel vers le 112 provoque une popup pour demander si on veut activer le cellulaire ou passer l’appel en wifi David

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

j'encouragerais volontier aux résiliations massives). From: Clement Cavadore To: David Ponzone ;    Xavier Claude Subject: Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger Date: 12/05/2024 12:56:45 Europe/Paris Cc: FRNOG Hello, Je pense que les opérateurs pourront trouver toutes les

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Ça dépend des pays et des opérateurs. Aux US c'est souvent obligatoire de fournir une address E911 pour pouvoir faire de la VoWifi, ça sert d'adresse par défaut si un appel au 911 via VoWifi n'est pas localisable autrement (sachant que le ng911 fait, quand c'est possible, suivre des metadatas de

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Je n'en suis pas sûr, parce que justement, l'intérêt du VoWifi, c'est justement de palier à des problèmes de couverture. Mais même sans ça, il y a des numéros d'urgence par pays autre que le 112 qui seront routé directement par l'opérateur local. Le dimanche 12 mai 2024 à 12:46, David Ponzone

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Hello, Je pense que les opérateurs pourront trouver toutes les excuses du monde pour justifier de ne pas autoriser la VoWifi à l'étranger, mais en vrai, clairement, la problématique de base doit être de protéger leurs intérêts commerciaux.  Je dois partir à l'autre bout du monde dans quelques

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Hmm pas bête mais même connecté en WIFI avec VoWIFI activé, je pense que le 112 est acheminé en GSM. David > Le 12 mai 2024 à 12:25, Xavier Claude a écrit : > > Est-ce que ce ne serait pas pour pouvoir gérer les cas d'appels d'urgence. Si > tu es connecté à une antenne on sait où router

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Est-ce que ce ne serait pas pour pouvoir gérer les cas d'appels d'urgence. Si tu es connecté à une antenne on sait où router l'appel d'urgence, si tu es à l'étranger, c'est à l'opérateur local de faire ce routage, donc pas possible si tu pas par le Wifi. Xavier Le dimanche 12 mai 2024 à

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Merci pour la confirmation, c’est donc bien une histoire de HLR. Ceci dit, je vois pas bien comment concurrencer (sérieusement) un opérateur mobile en se répondant sur le WIFI gratuit dispo dans un pays…. David > Le 12 mai 2024 à 04:09, Maximus . a écrit : > > Bonjour, > > J’ai un cas

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Bonjour, J’ai un cas pratique qui illustre parfaitement l’explication. 2 mobiles, 1 Orange Caraïbe et 1 Orange France On va faire l’exemple avec 1, mais ça fonctionne aussi avec l’autre dans le sens inverse. Je suis aux Antilles avec le téléphone Caraïbes. La VoWiFi fonctionne. Je prends

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

-La première réponse est que les restrictions IP sont là pour la sécurité. Donc pourquoi d'autre opérateurs le font? -La seconde non officiel est qu il y avait tellement de prestas que plus personne ne sait comment cela juste marche Donc pourquoi chercher a révolutionner le monde et faire de

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Ok Pour revenir à la question de départ, au delà du comment, y a le pourquoi. Cela pourrait-il être une raison pécuniaire ? Une petite entente cordiale pour bloquer la VoWIFI en roaming et que tout le monde continue à se gaver avec le roaming GSM ? Je sais, c’est un peu conspi, mais on a vu

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Non c est volontaire car dans tous les cas c est ton mobile qui s'enregistre sur l'IMS en SIP. C est un gros raccourci car seul le media de transport change (cellulaire/wifi) et je suppose que les mécanisme d'autorisations et d'authentifications sont similaires. Sur le support N2 mobile j avais un

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Tu as pas un peu interverti à plusieurs reprises les mots LTE et WIFI dans ton message ? Car j’ai du mal à y retrouver mon latin :) David Ponzone > Le 11 mai 2024 à 15:51, Richard Klein a écrit : > > Le cas de la VoWifi est similaire . > Il y a aussi les plages IP avec des ACL prochent de

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Le cas de la VoWifi est similaire . Il y a aussi les plages IP avec des ACL prochent de L’IMS qui gère la VoLTE. Deux exemples: 1)Il y a 15 mois environs lorsque j étais en support N2 pour un opérateur mobile ,un client n’arrivait pas à faire de la VOWIFI via starlink. Après 2 à 3 semaines de

Re: [FRnOG] [TECH] VoWifi : appels depuis l'étranger

Au hasard, tu es connecté en 4G à l’opérateur local, donc ton opérateur français sait sur son HLR que tu n’es pas en France. David > Le 11 mai 2024 à 15:21, Erwan David a écrit : > > Mon nouvel opérateur me met que je ne peux pas appeler en VoWifi depuis > l'étranger. En pratique comment le

Re: [FRnOG] [TECH] Certificat Android pfx

Bonjour Théophile Merci pour tes réponses En gros j’ai un serveur web qui permet aux utilisateurs admin de générer des certificats Android afin de faire signer en premier lieu la csr avec les infos dans un inputbox fourni par ces derniers Ensuite de récupérer le p7b au format base64 et la cer

Re: [FRnOG] [TECH] Certificat Android pfx

Bonjour Stephane, Je constate qu’après génération de certificat wifi 802.1x certain mobile > comme les crosscall ou galaxy tab m’empêche d’installer le pfx avec le bon > password pourtant ces mêmes certificats s’installe correctement sur > d’autres modèle d’androïdes toute version confondu Les

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 07/05/2024 à 11:08, David Ponzone a écrit : J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou même répondre. Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Hello, On Tue, 7 May 2024 11:08:19 +0200 David Ponzone wrote: > Ca pourrait donc être lié aussi au MTU négocié par IOS avec Orange. Pour info, je fais du partage de connection via un iPhone sur mon Nux quand je suis hors zone Wifi, et j'ai eu des problemes de MTU a une epoque qui m'avait

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou même répondre. Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra complète Orange Mobile, dans le contexte

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Si tu as accès au support du MVNO-light, remonte-leur le problème, il est possible qu'il y ai un firewall sur le chemin dont l'ALG ou l'inspection de paquet pose problème. Jérôme Le 06/05/2024 à 21:42, David Ponzone a écrit : Comme je l’ai posté il y a quelques jours, j’ai reproduit le

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT Orange, c’est même normalement plus propre). Par contre, mon APN, aucune idée :) David > Le 6 mai 2024 à 19:49, Jérôme Marteaux a écrit : > >

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit : Bonjour ! En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une honte absolue. Intéressant intellectuellement pour comprendre,

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit : En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. C'est sans doute un peu plus complexe que çà. Je pense que si IPSec ne passait plus du tout sur Orange Mobile, on serait beaucoup plus nombreux à

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour ! En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une honte absolue. Intéressant intellectuellement pour comprendre, mais inadmissible en production. Tu changes d’opérateur ou

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour Moi je ferais quand même une capture sur un qui qui marche et un qui marche pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, et une maj d'un ios cisco avait décidé qu'il fallait

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour Toussaint, On Thu, 2 May 2024 19:34:29 +0200 Toussaint OTTAVI wrote: > Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté > et/ou les paquets arrivent dans le désordre,  je ne les connais pas > vraiment. - Éviter la fragmentation au niveau IP. Les paquets

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Au passage, en debug, je vois 2 trucs bizarres: -le CGNAT d’Orange présente mon mobile avec les ports 500 et 4500 sur l’IP Publique CGNAT (92.184.116.219), ce qui parait invraisemblable, donc leur CGNAT doit avoir un IPSEC-ALG, et comme tout bon ALG (ou presque), il doit faire de la merde

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Philippe, Si ça peut te rassurer (….), j’ai exactement le même comportement que toi avec un FG en 6.2.X en IPv4-only, et le client natif IPsec IOS (en mode Cisco IPsec): -en wifi (Bouygues Tel, IPv6 actif): ça monte -en 4G (Orange par MVNO-light, IPv6 actif): ça monte pas J’ai essayé de mettre

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> Le 3 mai 2024 à 08:54, Dev Mart a écrit : > > Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Salut, Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et joliment vert. Non, les vrais logs, tu les as en CLI : diag debug application ike -1

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: >> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me >> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) > > Pourquoi ? > Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> On Thu, May 2, 2024, at 12:56, David Ponzone wrote: >> Désactive IPv6 sur le client pour voir. > > ??? En 2024 AD ??? Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de tester. > Pourquoi

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Cordialement Le ven. 3 mai 2024, 08:20, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > > - les Forti sont exclusivement en IPv4 (eh

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me > troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) Pourquoi ? Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On Thu, May 2, 2024, at 12:56, David Ponzone wrote: > Désactive IPv6 sur le client pour voir. ??? En 2024 AD ??? Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour voir" ? Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc qui va plutot

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Ouais, c’est pas le point fort de Forti. David Ponzone > Le 2 mai 2024 à 20:53, Philippe ASTIER a > écrit : > >  Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé > ce qui se passe en wifi vs 4G/5G Orange. > > Pour le moment, à part le fait que ça coupe dans le

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce qui se passe en wifi vs 4G/5G Orange. Pour le moment, à part le fait que ça coupe dans le deuxième cas, la négociation a l’air vraiment identique. Je vais tâcher de faire du vrai diff entre les deux, il y a forcément

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 19:34, Toussaint OTTAVI a écrit : Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit : Depuis quelques mois (dur à retracer), chez un seul client, impossible de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device ou en partage de connexion).

Re: [SPAM] Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 19:30, David Ponzone a écrit : Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 semble bien se passer et puis paf! J'avais lu un peu trop rapidement. Donc, cela ne ressemble pas à mon problème de paquet ISAKMP initial fragmenté qui arrive

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit : Depuis quelques mois (dur à retracer), chez un seul client, impossible de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device ou en partage de connexion). Avec la même configuration, la connexion en

  1   2   3   4   5   6   7   8   9   10   >