subject:"\[FRnOG\] \[TECH\] Problèmes IPSec sur Orange Mobile"

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-07 Par sujet Jérôme Marteaux


Le 07/05/2024 à 11:08, David Ponzone a écrit :

J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou 
même répondre.

Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des 
cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra complète 
Orange Mobile, dans le contexte Fortinet/Forticlient.


Détrompe toi, chaque MVNO-light a ces propres règles de firewalling chez 
Orange qu'il peut faire évoluer.
Orange Pro et MVNO-light ne partage pas la même infra, mais probablement 
les mêmes modèles d'équipements avec les mêmes versions d'où les 
problèmes identiques.




J’ai de nombreux Mikrotik qui montent des tunnels IKEv2 à travers les mêmes 
cartes MVNO-Light vers du Fortinet, sans problème.


Probablement un ALG qui se déclenche spécifiquement sur le trafic fortinet ?


Ca pourrait donc être lié aussi au MTU négocié par IOS avec Orange.

Si Philippe peut tester avec Android pour voir….

David


Le 6 mai 2024 à 22:15, Jérôme Marteaux  a écrit :

Si tu as accès au support du MVNO-light, remonte-leur le problème, il est 
possible qu'il y ai un firewall sur le chemin dont l'ALG ou l'inspection de 
paquet pose problème.

Jérôme

Le 06/05/2024 à 21:42, David Ponzone a écrit :

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
Orange, c’est même normalement plus propre).
Par contre, mon APN, aucune idée :)
David

Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

Bonjour !
En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.
Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :

Bonjour



Par curiosité c'est Orange en direct ou via un revendeur ?
L'IP publique appartient à Orange ?
Quel est le nom de l'APN ?


--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-07 Par sujet Paul Rolland (ポール・ロラン)

Hello,

On Tue, 7 May 2024 11:08:19 +0200
David Ponzone  wrote:

> Ca pourrait donc être lié aussi au MTU négocié par IOS avec Orange.

Pour info, je fais du partage de connection via un iPhone sur mon Nux quand
je suis hors zone Wifi, et j'ai eu des problemes de MTU a une epoque qui
m'avait oblige a baisser la MTU sur le Nux pour reussir a utiliser mon
partage... 
Mais depuis, j'ai pu supprimer ce hack.
Il reste peut-etre des endroits ou ca ne marche tjrs pas... 
Est-ce OP a le probleme partout (geographiquement) ?

Paul


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-07 Par sujet David Ponzone

J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou 
même répondre.

Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des 
cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra complète 
Orange Mobile, dans le contexte Fortinet/Forticlient.

J’ai de nombreux Mikrotik qui montent des tunnels IKEv2 à travers les mêmes 
cartes MVNO-Light vers du Fortinet, sans problème.
Ca pourrait donc être lié aussi au MTU négocié par IOS avec Orange.

Si Philippe peut tester avec Android pour voir….

David

> Le 6 mai 2024 à 22:15, Jérôme Marteaux  a écrit :
> 
> Si tu as accès au support du MVNO-light, remonte-leur le problème, il est 
> possible qu'il y ai un firewall sur le chemin dont l'ALG ou l'inspection de 
> paquet pose problème.
> 
> Jérôme
> 
> Le 06/05/2024 à 21:42, David Ponzone a écrit :
>> Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
>> Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
>> Orange, c’est même normalement plus propre).
>> Par contre, mon APN, aucune idée :)
>> David
>>> Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :
>>> 
>>> Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :
 Bonjour !
 En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
 Mobile.
 Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est 
 une honte absolue. Intéressant intellectuellement pour comprendre, mais 
 inadmissible en production.
 Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
 centaines de millisecondes.
 Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
 accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
 d’opérateurs alternatifs pour qu’on puisse terminer le projet.
> Le 6 mai 2024 à 11:46, Thierry Chich  a 
> écrit :
> 
> Bonjour
> 
> 
>>> Par curiosité c'est Orange en direct ou via un revendeur ?
>>> L'IP publique appartient à Orange ?
>>> Quel est le nom de l'APN ?
>>> 
>>> Jérôme
>>> 
> 
> -- 
> Jérôme Marteaux
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Jérôme Marteaux

Si tu as accès au support du MVNO-light, remonte-leur le problème, il 
est possible qu'il y ai un firewall sur le chemin dont l'ALG ou 
l'inspection de paquet pose problème.


Jérôme

Le 06/05/2024 à 21:42, David Ponzone a écrit :

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
Orange, c’est même normalement plus propre).
Par contre, mon APN, aucune idée :)

David



Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

Bonjour !
En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.
Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :

Bonjour



Par curiosité c'est Orange en direct ou via un revendeur ?
L'IP publique appartient à Orange ?
Quel est le nom de l'APN ?

Jérôme



--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet David Ponzone

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de 
Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT 
Orange, c’est même normalement plus propre).
Par contre, mon APN, aucune idée :)

David


> Le 6 mai 2024 à 19:49, Jérôme Marteaux  a écrit :
> 
> Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :
>> Bonjour !
>> En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
>> Mobile.
>> Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est 
>> une honte absolue. Intéressant intellectuellement pour comprendre, mais 
>> inadmissible en production.
>> Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
>> centaines de millisecondes.
>> Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
>> accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
>> d’opérateurs alternatifs pour qu’on puisse terminer le projet.
>>> Le 6 mai 2024 à 11:46, Thierry Chich  a écrit 
>>> :
>>> 
>>> Bonjour
>>> 
>>> 
> Par curiosité c'est Orange en direct ou via un revendeur ?
> L'IP publique appartient à Orange ?
> Quel est le nom de l'APN ?
> 
> Jérôme
> 
> -- 
> Jérôme Marteaux
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Jérôme Marteaux


Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

Bonjour !

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.

Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.


Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :

Bonjour



Par curiosité c'est Orange en direct ou via un revendeur ?
L'IP publique appartient à Orange ?
Quel est le nom de l'APN ?

Jérôme

--
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Toussaint OTTAVI





Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit :

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile.


C'est sans doute un peu plus complexe que çà. Je pense que si IPSec ne 
passait plus du tout sur Orange Mobile, on serait beaucoup plus nombreux 
à l'avoir constaté :-)


On serait plutôt à priori sur un cas particulier (on a un petit mot en 3 
lettres pour désigner çà) d'une interaction entre l'opérateur, le 
fournisseur de la solution VPN, et, peut-être, un matériel spécifique, 
ou toute autre particularité liée à l'installation. Cà peut s'avérer 
complexe et chronophage à diagnostiquer. Et, quand bien même tu arrives 
à déterminer une cause exacte, et à l'imputer à un intermédiaire précis, 
encore faut-il que tu ne tombes pas sur quelqu'un en face qui pense que 
Wireshark est un requin bleu dans un célèbre dessin animé Français qui 
veut empêcher Zig de bouffer sa copine ;-) Donc, même si tu finis par 
trouver, tu n'auras pas forcément la main pour résoudre le problème seul !


Par pragmatisme, dans ce genre de situation, il est souvent préférable 
de rechercher une solution de contournement, une combinaison "qui 
fonctionne" afin de ne pas être bloqué coté client . Car le client se 
fout que çà vienne d'Orange, de Fortinet, de Poutine ou des phases de la 
lune ;-)  Il a un interlocuteur, c'est toi; et pour lui, c'est *ta* 
solution qui ne fonctionne pas ;-)


Ensuite, si l'impact client est important, rien n'empêche de creuser le 
problème par la suite, histoire de comprendre ce qui cloche, et pouvoir 
mieux anticiper. Mais si c'est sur un cas à la c**, pardon, un cas 
particulier d'un seul mec qui a 5 postes,  qui a insisté pour mettre le 
firewall en DMZ derrière une box en tissu, qui n'a pas voulu attendre 
l'installation d'un deuxième lien chez un opérateur différent, qui sait 
tout faire tout seul mieux que toi, et chez qui ton SSLVPN ne fonctionne 
pas sur terminaux Apple alors qu'il fonctionne très bien sur Android, 
mieux vaut laisser le client aller voir ailleurs  ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Philippe ASTIER via frnog

Bonjour !

En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro 
Mobile. 
Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une 
honte absolue. Intéressant intellectuellement pour comprendre, mais 
inadmissible en production.
Tu changes d’opérateur ou tu essaies en Wifi, et hop, connecté en quelques 
centaines de millisecondes.

Je suis en discussion avec le client pour savoir ce qu’on met en priorité: 
accélération du déploiement de la solution ZTNA, quitte à mettre de eSIM 
d’opérateurs alternatifs pour qu’on puisse terminer le projet.

> Le 6 mai 2024 à 11:46, Thierry Chich  a écrit :
> 
> Bonjour
> 
> 
> Moi je ferais quand même une capture sur un qui qui marche et un qui marche 
> pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en 
> revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, 
> et une maj d'un ios cisco avait décidé qu'il fallait droppé. Alors oui, la 
> phase 1 est sensé fonctionner, mais bon.
> 
> 
> Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit :
>> Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé 
>> ce qui se passe en wifi vs 4G/5G Orange.
>> 
>> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
>> négociation a l’air vraiment identique.
>> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un 
>> truc qui m’échappe.
>> 
>> Mais bon sang, qu’est-ce que ça cause ces logs !….
>> 
>> Le 2 mai 2024 à 19:30, David Ponzone  a écrit :
>> 
>> Vincent,
>> 
>> Ca bloque pas chez Orange puisque Philippe dit que la négociation 
>> Phase1/Phase2 semble bien se passer et puis paf!
>> 
>> Philippe,
>> 
>> Tu vas devoir entrer dans le monde du debug Forti :)
>> 
>> David
>> 
>> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a 
>> écrit :
>> 
>> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
>> ...
>> 
>> - sur la partie « split-tuneling », je ne vois pas trop le rapport.
>> 
>> Aucun, c'est la description du bug de David en SSL qui y ressemble
>> 
>> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
>> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben 
>> ça juste fonctionne sans aucun souci.
>> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
>> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
>> c’est pénible.
>> 
>> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
>> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
>> C'est en tout cas ce que je constate.
>> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
>> 
>> Vincent.
>> 
>> 
>> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
>> écrit :
>> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
>> Je ne connais pas fortinet, mais la description ressemble a un problème de 
>> split tunneling.
>> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
>> « A good IPv6 is a disabled one ».
>> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
>> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
>> simple.
>> IPv6, lui, fonctionne correctement.
>> Vincent.
>> ...
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> -- 
> 
> Thierry CHICH
> 
> x...@ac-clermont.fr 
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-06 Par sujet Thierry Chich


Bonjour


Moi je ferais quand même une capture sur un qui qui marche et un qui 
marche pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du 
forti en revanche. Le certif était gros, le paquet isakmp passait pas en 
1500 octets, et une maj d'un ios cisco avait décidé qu'il fallait 
droppé. Alors oui, la phase 1 est sensé fonctionner, mais bon.



Le 02/05/2024 à 20:53, Philippe ASTIER via frnog a écrit :

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce 
qui se passe en wifi vs 4G/5G Orange.

Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
négociation a l’air vraiment identique.
Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
qui m’échappe.

Mais bon sang, qu’est-ce que ça cause ces logs !….

Le 2 mai 2024 à 19:30, David Ponzone  a écrit :

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit :

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le rapport.

Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.

C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.


Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit :
On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.
Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.
Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
« A good IPv6 is a disabled one ».
Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
IPv6, lui, fonctionne correctement.
Vincent.
...
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--

Thierry CHICH

x...@ac-clermont.fr 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-04 Par sujet Philou via frnog

Bonjour Toussaint,

On Thu, 2 May 2024 19:34:29 +0200
Toussaint OTTAVI  wrote:

> Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
> et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
> vraiment.

- Éviter la fragmentation au niveau IP. Les paquets fragmentés pourraient être 
filtrés en chemin par certains routeurs
- En IKEv2, la fragmentation IKE sera utilisée la plupart du temps dans la 
phase IKE_AUTH, en particulier lors de l'utilisation de certificats SSL
- En IKEv1 (ou v2), cela peut être dû à une clé PSK très/trop longue
- La raison pour laquelle les paquets arrivent dans le désordre, je ne saurais 
dire (autrement que le "U" dans "UDP" ;)

> En revanche, dans mon client VPN logiciel (d'une autre 
> marque, je le rappelle), il y a une option "Restrict the size of the 
> first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
> an ou deux), lorsque le problème se produit, elle permet de le résoudre.

Je ne connais pas le logiciel utilisé mais cela ressemble à l'activation de la 
fragmentation IKE avec une éventuelle détection du PMTU afin d'éviter la 
fragmentation IP.

My 2 cents,

Philou


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet David Ponzone

Au passage, en debug, je vois 2 trucs bizarres:

-le CGNAT d’Orange présente mon mobile avec les ports 500 et 4500 sur l’IP 
Publique CGNAT (92.184.116.219), ce qui parait invraisemblable, donc leur CGNAT 
doit avoir un IPSEC-ALG, et comme tout bon ALG (ou presque), il doit faire de 
la merde
(Hypothèse2: y a pas d’IPSEC-ALG, et seul le premier mobile derrière l’IP 
publique profite des ports 500/4500)

-la déco semble provoquer par une demande du client:

ike 0: comes 92.184.116.219:4500->X.X.X.X:4500,ifindex=5
ike 0:TestIPsec_0:25093: recv ISAKMP SA delete eeebca155dd89958/0aeba54063d5e433

(Peut-être une conséquence de la non-réception de certains paquets envoyés par 
le FG vers le port 4500 du client)

Bref, un beau merdier. Vive SSL.

David

> Le 3 mai 2024 à 09:16, Philippe ASTIER via frnog  a écrit :
> 
> 
>> Le 3 mai 2024 à 08:54, Dev Mart  a écrit :
>> 
>> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ?
> 
> Salut,
> 
> Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et 
> joliment vert.
> 
> Non, les vrais logs, tu les as en CLI :
> 
> diag debug application ike -1
> diag debug enable
> 
> Et aussi  diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les 
> logs des autres tunnels VPN qui ne t’intéressent pas.
> 
> Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et 
> digérer.
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet David Ponzone

Philippe,

Si ça peut te rassurer (….), j’ai exactement le même comportement que toi avec 
un FG en 6.2.X en IPv4-only, et le client natif IPsec IOS (en mode Cisco IPsec):
-en wifi (Bouygues Tel, IPv6 actif): ça monte
-en 4G (Orange par MVNO-light, IPv6 actif): ça monte pas

J’ai essayé de mettre le nattraversal en forced côté FG, pas mieux.

Ca semble donc plus être un problème avec Orange que d’IPv6.

David

> Le 3 mai 2024 à 09:16, Philippe ASTIER via frnog  a écrit :
> 
> 
>> Le 3 mai 2024 à 08:54, Dev Mart  a écrit :
>> 
>> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ?
> 
> Salut,
> 
> Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et 
> joliment vert.
> 
> Non, les vrais logs, tu les as en CLI :
> 
> diag debug application ike -1
> diag debug enable
> 
> Et aussi  diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les 
> logs des autres tunnels VPN qui ne t’intéressent pas.
> 
> Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et 
> digérer.
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog


> Le 3 mai 2024 à 08:54, Dev Mart  a écrit :
> 
> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ?

Salut,

Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et 
joliment vert.

Non, les vrais logs, tu les as en CLI :

diag debug application ike -1
diag debug enable

Et aussi  diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les logs 
des autres tunnels VPN qui ne t’intéressent pas.

Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et 
digérer.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog

> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote:
>> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me 
>> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
> 
> Pourquoi ?
> Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja 
> suppose etre globalement joignable en v4).

C’est juste une conf historique d’un temps où leur FTTO (et SDSL avant) n’avait 
pas d’IPv6.

Un truc vient de jaillir dans ma tête… J’ai cru voir hier dans les logs que le 
NAT-T n’était pas bien détecté en 4G/5G… 
Comme si quand le client est en IPv6, il ne se voit pas derrière un NAT (ce qui 
d’un point de vue v6 est juste, mais faux en v4…).

Ca irait dans le sens de s’activer l’APN v6.

Je vais me retaper les 3000 lignes de logs et en refaire avec le client… Happy 
Friday.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Philippe ASTIER via frnog

> On Thu, May 2, 2024, at 12:56, David Ponzone wrote:
>> Désactive IPv6 sur le client pour voir.
> 
> ??? En 2024 AD ???

Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement 
impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de 
tester.

> Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour 
> voir" ?

Oui, ok, pour voir ça me va, ça ne coûte pas grand chose, et ça ne changera 
rien à mes confs.

> Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc 
> qui va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble 
> des ressources exposes aient des IP publiques - plus simple en v6 qu'en v4)

Comme dit précédemmentt, on devrait implanter d’ici l’été une solution de ZTNA 
(JAMF Private Access), qui établit un tunnel wireguard avec l’infra JAMF, et on 
est en IKEv2 fixe vers l’infra du client. 
Je teste depuis quelques semaines chez moi, ça marche rudement bien, avec 
contrôle d’accès depuis le client (identité, conformité et ce qu’on veut), et 
possible traffic vectoring, DNS privé. Du coup aucune exposition publique de 
l’infra du client.
Je ne voulais pas révolutionner la conf des Forti avant ça.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Dev Mart

Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ?


Cordialement

Le ven. 3 mai 2024, 08:20, Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net> a écrit :

> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote:
> > - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me
> > troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
>
> Pourquoi ?
> Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja
> suppose etre globalement joignable en v4).
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Radu-Adrian Feurdean

On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote:
> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me 
> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )

Pourquoi ?
Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja 
suppose etre globalement joignable en v4).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-03 Par sujet Radu-Adrian Feurdean

On Thu, May 2, 2024, at 12:56, David Ponzone wrote:
> Désactive IPv6 sur le client pour voir.

??? En 2024 AD ???
Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour voir" 
?

Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc qui 
va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble des 
ressources exposes aient des IP publiques - plus simple en v6 qu'en v4)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone

Ouais, c’est pas le point fort de Forti.

David Ponzone



> Le 2 mai 2024 à 20:53, Philippe ASTIER  a 
> écrit :
> 
>  Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé 
> ce qui se passe en wifi vs 4G/5G Orange.
> 
> Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
> négociation a l’air vraiment identique.
> Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
> qui m’échappe.
> 
> Mais bon sang, qu’est-ce que ça cause ces logs !….
> 
>>> Le 2 mai 2024 à 19:30, David Ponzone  a écrit :
>>> 
>>> Vincent,
>>> 
>>> Ca bloque pas chez Orange puisque Philippe dit que la négociation 
>>> Phase1/Phase2 semble bien se passer et puis paf!
>>> 
>>> Philippe,
>>> 
>>> Tu vas devoir entrer dans le monde du debug Forti :)
>>> 
>>> David
>>> 
>>> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a 
>>> écrit :
>>> 
>>> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
>>> ...
>>> 
 - sur la partie « split-tuneling », je ne vois pas trop le rapport.
>>> 
>>> Aucun, c'est la description du bug de David en SSL qui y ressemble
>>> 
 Ce que je trouve désolant, c’est que quand le client qui se connecte est 
 sur n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / 
 FreePro, ben ça juste fonctionne sans aucun souci.
 Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
 n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
 c’est pénible.
>>> 
>>> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
>>> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
>>> C'est en tout cas ce que je constate.
>>> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
>>> 
>>> Vincent.
>>> 
 
> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
> écrit :
> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le 
>> serveur n’est pas dispo en IPv6.
> Je ne connais pas fortinet, mais la description ressemble a un problème 
> de split tunneling.
> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
>> « A good IPv6 is a disabled one ».
> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du 
> web simple.
> IPv6, lui, fonctionne correctement.
> Vincent.
>> ...
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce 
qui se passe en wifi vs 4G/5G Orange.

Pour le moment, à part le fait que ça coupe dans le deuxième cas, la 
négociation a l’air vraiment identique.
Je vais tâcher de faire du vrai diff entre les deux, il y a forcément un truc 
qui m’échappe.

Mais bon sang, qu’est-ce que ça cause ces logs !….

Le 2 mai 2024 à 19:30, David Ponzone  a écrit :

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit :

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le rapport.

Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.

C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.


Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit :
On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.
Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.
Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
« A good IPv6 is a disabled one ».
Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
IPv6, lui, fonctionne correctement.
Vincent.
...
---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Jérôme Marteaux


Le 02/05/2024 à 19:34, Toussaint OTTAVI a écrit :


Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit :

Depuis quelques mois (dur à retracer), chez un seul client, impossible
de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur
le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis
n’importe quel autre opérateur fonctionne sans souci.


J'utilise une autre marque de firewalls, mais il m'arrive parfois de 
constater ce phénomène. Parfois, çà se produit sur certaines connexions 
en partage 4G/5G (pas toutes). D'autres fois, derrière une Livebox, çà 
passe en Ethernet, mais çà ne passe pas en WiFi. Il n'y a pas de règle 
absolue...


Il y a longtemps, je m'étais amusé à faire des captures de paquets :
- IKE, c'est de l'UDP. Lorsque le premier paquet est trop gros, il est 
fragmenté
- Coté destination, les fragments arrivent "dans le mauvais ordre" (mais 
pourquoi ???)
- Le ré-assemblage des fragments ne se fait pas, et cela empêche la 
négociation IKE de démarrer


Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
vraiment.  En revanche, dans mon client VPN logiciel (d'une autre 
marque, je le rappelle), il y a une option "Restrict the size of the 
first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
an ou deux), lorsque le problème se produit, elle permet de le résoudre.


Hope this helps...


Peut-être est-ce une application précoce de:
https://www.lemonde.fr/pixels/article/2024/04/22/europol-s-oppose-au-chiffrement-des-messageries_6229195_4408996.html

Le VPN ne fonctionnant plus, il faut passer que ça passe en clair ! :)

--
Jérôme Marteaux



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [SPAM] Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Toussaint OTTAVI





Le 02/05/2024 à 19:30, David Ponzone a écrit :

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!


J'avais lu un peu trop rapidement. Donc, cela ne ressemble pas à mon 
problème de paquet ISAKMP initial fragmenté qui arrive dans le désordre...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Toussaint OTTAVI




Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit :

Depuis quelques mois (dur à retracer), chez un seul client, impossible
de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur
le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis
n’importe quel autre opérateur fonctionne sans souci.


J'utilise une autre marque de firewalls, mais il m'arrive parfois de 
constater ce phénomène. Parfois, çà se produit sur certaines connexions 
en partage 4G/5G (pas toutes). D'autres fois, derrière une Livebox, çà 
passe en Ethernet, mais çà ne passe pas en WiFi. Il n'y a pas de règle 
absolue...


Il y a longtemps, je m'étais amusé à faire des captures de paquets :
- IKE, c'est de l'UDP. Lorsque le premier paquet est trop gros, il est 
fragmenté
- Coté destination, les fragments arrivent "dans le mauvais ordre" (mais 
pourquoi ???)
- Le ré-assemblage des fragments ne se fait pas, et cela empêche la 
négociation IKE de démarrer


Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté 
et/ou les paquets arrivent dans le désordre,  je ne les connais pas 
vraiment.  En revanche, dans mon client VPN logiciel (d'une autre 
marque, je le rappelle), il y a une option "Restrict the size of the 
first ISAKMP packet sent". Depuis que cette option existe (je dirais un 
an ou deux), lorsque le problème se produit, elle permet de le résoudre.


Hope this helps...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone

Vincent,

Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 
semble bien se passer et puis paf!

Philippe,

Tu vas devoir entrer dans le monde du debug Forti :)

David

> Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog  a écrit 
> :
> 
> On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
> ...
> 
>> - sur la partie « split-tuneling », je ne vois pas trop le rapport. 
> 
> Aucun, c'est la description du bug de David en SSL qui y ressemble
> 
>> Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
>> n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben 
>> ça juste fonctionne sans aucun souci.
>> Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il 
>> n’y a que chez Orange (offre Orange Pro) que ça semble se déclencher, et 
>> c’est pénible.
> 
> C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
> (uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.
> C'est en tout cas ce que je constate.
> Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.
> 
> Vincent.
> 
>> 
>>> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a 
>>> écrit :
>>> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
 On doit pas parler du même problème.
 Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
 priori, et se déclenche quand le client a accès à IPv6 alors que le 
 serveur n’est pas dispo en IPv6.
>>> Je ne connais pas fortinet, mais la description ressemble a un problème de 
>>> split tunneling.
>>> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
 « A good IPv6 is a disabled one ».
>>> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
>>> plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
>>> simple.
>>> IPv6, lui, fonctionne correctement.
>>> Vincent.
 ...
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote:
...

- sur la partie « split-tuneling », je ne vois pas trop le 
rapport. 


Aucun, c'est la description du bug de David en SSL qui y ressemble

Ce que je trouve désolant, c’est que quand le client qui se 
connecte est sur n’importe quel autre réseau, avec ou sans IPv6, 
ou chez Free / FreePro, ben ça juste fonctionne sans aucun 
souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez 
Forti, mais  il n’y a que chez Orange (offre Orange Pro) que ça 
semble se déclencher, et c’est pénible.


C'est ce que je dis, il y a un truc sur l'IPv4 (uniquement) chez orange 
(uniquement) qui bloque l'udp et/ou l'esp, comme un proxy tcp only.

C'est en tout cas ce que je constate.
Activer ou désactiver l'IPv6 d'un coté seulement n'y changera rien.

Vincent.



Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog 
 a écrit :


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un 
problème de split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 
est la plupart du temps cassé (CGNAT, DNS64 et autre) pour 
autre chose que du web simple.

IPv6, lui, fonctionne correctement.

Vincent.


 ...



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog

Désolé de ne pas être revenus vers vous avant ! Après-midi chargée et 
impossible d’avoir le client pour test avant demain.

Alors, je confirme :

- les clients se connectent en IPSec (IKEv1 ou v2, a priori, ça fait pareil) 
sur un FQDN IPv4-only,
- les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me troller, je 
suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p )
- les Forti sont sur la branche 7.2 pour le moment.

- Je n’ai pas encore pu toucher à leurs réglages d’APN, que je peux contrôler 
par un profil de configuration, y compris la version, v4 vs v6. (David, Apple 
Configurator, ça existe encore, mais on n’y touche plus depuis un moment, c’est 
trop basique)
On a les réglages à utiliser chez Orange ? 

- sur la partie « split-tuneling », je ne vois pas trop le rapport. Le tunnel 
s’établit, et tombe quasi immédiatement, uniquement via le réseau data d’Orange 
Pro. Par n’importe quel autre réseau qu’on a pu tester, ça fonctionne. 
- j’avoue que le coup de l’IP à la place du FQDN, ça coûte pas cher à tester, 
mais ça me choque ! 

- IPv6 n’est pas désactivable sur iOS. On peut le désactiver manuellement sur 
un SSID donné en Wifi ou une connexion Ethernet, mais pas de manière générale, 
et pas en cellulaire. 

Ce que je trouve désolant, c’est que quand le client qui se connecte est sur 
n’importe quel autre réseau, avec ou sans IPv6, ou chez Free / FreePro, ben ça 
juste fonctionne sans aucun souci.
Donc je veux bien qu’il y ait aussi un bug qui traine chez Forti, mais  il n’y 
a que chez Orange (offre Orange Pro) que ça semble se déclencher, et c’est 
pénible.



> Le 2 mai 2024 à 15:15, Vincent Tondellier via frnog  a écrit 
> :
> 
> On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:
>> On doit pas parler du même problème.
>> Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
>> priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
>> n’est pas dispo en IPv6.
> 
> Je ne connais pas fortinet, mais la description ressemble a un problème de 
> split tunneling.
> 
> Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.
> 
>> « A good IPv6 is a disabled one ».
> 
> Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la plupart 
> du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web simple.
> IPv6, lui, fonctionne correctement.
> 
> Vincent.
> 
>> 
>>> Le 2 mai 2024 à 14:46, Vincent Tondellier  a 
>>> écrit :
>>> Bonjour,
>>> On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...
>> 
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote:

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que 
SSL/Forticlient à priori, et se déclenche quand le client a 
accès à IPv6 alors que le serveur n’est pas dispo en IPv6.


Je ne connais pas fortinet, mais la description ressemble a un problème de 
split tunneling.


Cependant, Philippe parlait d'un problème avec IKEv2, pas avec SSL/ppp.


« A good IPv6 is a disabled one ».


Sans vouloir nourrir le troll, sur les réseaux mobiles, l'IPv4 est la 
plupart du temps cassé (CGNAT, DNS64 et autre) pour autre chose que du web 
simple.

IPv6, lui, fonctionne correctement.

Vincent.



Le 2 mai 2024 à 14:46, Vincent Tondellier 
 a écrit :


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: ...







---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone

On doit pas parler du même problème.
Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à 
priori, et se déclenche quand le client a accès à IPv6 alors que le serveur 
n’est pas dispo en IPv6.

« A good IPv6 is a disabled one ».

David

> Le 2 mai 2024 à 14:46, Vincent Tondellier  a écrit 
> :
> 
> Bonjour,
> 
> On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:
>> Désactive IPv6 sur le client pour voir.
> 
> C'est le contraire qu'il faut faire. En IPv6 ca passe, en IPv4 non 
> (probablement CGNAT ou autre mécanisme de transition a la con qui fout la 
> merde).
> 
> (Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
> sur android.
> "Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
> (avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).
> 
> Ca fait de mes souvenirs plus d'un an que c'est comme ça.
> 
> Vincent.
> 
> On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:
>> Salut à tous !
>> 
>> Je rencontre un souci très pénible.
>> 
>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
>> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
>> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les 
>> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>> 
>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>> device ou en partage de connexion).
>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>> 
>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>> pas.
>> 
>> 
>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>> pourrait me donner des pistes…
>> Any idea ?
>> 
>> 
>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>> plaintes récurrentes et justifiées du client)
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Vincent Tondellier via frnog


Bonjour,

On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:

Désactive IPv6 sur le client pour voir.


C'est le contraire qu'il faut faire. 
En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de 
transition a la con qui fout la merde).


(Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan 
sur android.

"Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
(avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).

Ca fait de mes souvenirs plus d'un an que c'est comme ça.

Vincent.

On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites 
distants et des Fortigate. Lignes fibres pour la plupart 
aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, 
peu importe. J’ai des tunnels IPSec entre les sites distants 
sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. 
SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de 
soucis.


Depuis quelques mois (dur à retracer), chez un seul client, 
impossible de monter un tunnel IPSec via iOS ou macOS quand ils 
sont en 4G/5G (sur le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet 
depuis n’importe quel autre opérateur fonctionne sans souci. 
J’ai essayé via Free et FreePro mobiles, aucun problème, le 
tunnel est établie en 150 ms à peine.


Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble 
se passer normalement, puis j’ai quasi dans la foulée un message 
du type «  recv ISAKMP SA delete » dans les logs de debug du 
Forti, et le tunnel ne monte pas.



Comme je viens de manger du log de debug depuis des jours en 
m’arrachant la tête, je me suis dit que soumettre ça à la 
brillante sagacité de la liste pourrait me donner des pistes…

Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire 
même on est en train de mettre une solution ZTNA basée sur 
Wireguard, mais si ça pouvait juste marcher comme chez les 
autres opérateurs, ça me soulagerait des plaintes récurrentes et 
justifiées du client)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Baptiste Chappe

Salut,
Remplace le fqdn par l’ipv4 sur le client :-) c’est crade mais ca marche
(tête fortinet 7.2 et 7.4) …

Baptiste


Le jeu. 2 mai 2024 à 13:24, David Ponzone  a
écrit :

> Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire:
>
>
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> <
> https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
> >
>
> Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom
> avec:
>
> https://support.apple.com/apple-configurator <
> https://support.apple.com/apple-configurator>
>
> David
>
> > Le 2 mai 2024 à 13:08, Philippe ASTIER 
> a écrit :
> >
> > OK, why not, on va faire ça sur le Mac, pas possible sur iOS.
> >
> > (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
> >
> >
> > Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis
> le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire
> sur aucun tunnel VPN.
> >
> >
> > Ce qui me choque, c’est que le seul fait de passer par Orange Mobile
> casse le fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a
> changé sa configuration.
> >
> >
> >
> >> Le 2 mai 2024 à 12:56, David Ponzone  a écrit
> :
> >>
> >> Désactive IPv6 sur le client pour voir.
> >>
> >> David
> >>
> >>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a
> écrit :
> >>>
> >>> Salut à tous !
> >>>
> >>> Je rencontre un souci très pénible.
> >>>
> >>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants
> et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange
> Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec
> entre les sites distants sans aucun souci, fiables, ça monte très vite en
> IKEv2.
> >>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL,
> IPSec, clients Forti selon les cas, mais pas eu beaucoup de soucis.
> >>>
> >>> Depuis quelques mois (dur à retracer), chez un seul client, impossible
> de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le
> device ou en partage de connexion).
> >>> Avec la même configuration, la connexion en wifi/ethernet depuis
> n’importe quel autre opérateur fonctionne sans souci. J’ai essayé via Free
> et FreePro mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
> >>>
> >>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se
> passer normalement, puis j’ai quasi dans la foulée un message du type «
> recv ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne
> monte pas.
> >>>
> >>>
> >>> Comme je viens de manger du log de debug depuis des jours en
> m’arrachant la tête, je me suis dit que soumettre ça à la brillante
> sagacité de la liste pourrait me donner des pistes…
> >>> Any idea ?
> >>>
> >>>
> >>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on
> est en train de mettre une solution ZTNA basée sur Wireguard, mais si ça
> pouvait juste marcher comme chez les autres opérateurs, ça me soulagerait
> des plaintes récurrentes et justifiées du client)
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone

Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire:

https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089
 


Pour IOS, à une époque, on pouvait virer IPv6 en faisant un profile custom avec:

https://support.apple.com/apple-configurator 


David

> Le 2 mai 2024 à 13:08, Philippe ASTIER  a 
> écrit :
> 
> OK, why not, on va faire ça sur le Mac, pas possible sur iOS.
> 
> (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
> 
> 
> Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le 
> PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire sur 
> aucun tunnel VPN.
> 
> 
> Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le 
> fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa 
> configuration.
> 
> 
> 
>> Le 2 mai 2024 à 12:56, David Ponzone  a écrit :
>> 
>> Désactive IPv6 sur le client pour voir.
>> 
>> David
>> 
>>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
>>> 
>>> Salut à tous !
>>> 
>>> Je rencontre un souci très pénible.
>>> 
>>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et 
>>> des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, 
>>> Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre 
>>> les sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>>> 
>>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>>> device ou en partage de connexion).
>>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>>> 
>>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>>> pas.
>>> 
>>> 
>>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>>> pourrait me donner des pistes…
>>> Any idea ?
>>> 
>>> 
>>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>>> plaintes récurrentes et justifiées du client)
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog

OK, why not, on va faire ça sur le Mac, pas possible sur iOS.

(Chez Free, pas besoin de désactiver IPv6 en tout cas.)


Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le PMTU 
il est sensé être négocié proprement, je n’ai jamais eu à le faire sur aucun 
tunnel VPN.


Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le 
fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa 
configuration.



> Le 2 mai 2024 à 12:56, David Ponzone  a écrit :
> 
> Désactive IPv6 sur le client pour voir.
> 
> David
> 
>> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
>> 
>> Salut à tous !
>> 
>> Je rencontre un souci très pénible.
>> 
>> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
>> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
>> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les 
>> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2.
>> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
>> clients Forti selon les cas, mais pas eu beaucoup de soucis.
>> 
>> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
>> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
>> device ou en partage de connexion).
>> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
>> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
>> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
>> 
>> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
>> normalement, puis j’ai quasi dans la foulée un message du type «  recv 
>> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte 
>> pas.
>> 
>> 
>> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
>> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
>> pourrait me donner des pistes…
>> Any idea ?
>> 
>> 
>> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
>> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
>> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
>> plaintes récurrentes et justifiées du client)
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet David Ponzone

Désactive IPv6 sur le client pour voir.

David

> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog  a écrit :
> 
> Salut à tous !
> 
> Je rencontre un souci très pénible.
> 
> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
> distants sans aucun souci, fiables, ça monte très vite en IKEv2.
> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
> clients Forti selon les cas, mais pas eu beaucoup de soucis.
> 
> Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le 
> device ou en partage de connexion).
> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe 
> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro 
> mobiles, aucun problème, le tunnel est établie en 150 ms à peine.
> 
> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
> normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
> SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.
> 
> 
> Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
> pourrait me donner des pistes…
> Any idea ?
> 
> 
> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait 
> juste marcher comme chez les autres opérateurs, ça me soulagerait des 
> plaintes récurrentes et justifiées du client)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

2024-05-02 Par sujet Philippe ASTIER via frnog

Salut à tous !

Je rencontre un souci très pénible.

J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des 
Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, 
FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites 
distants sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, 
clients Forti selon les cas, mais pas eu beaucoup de soucis.

Depuis quelques mois (dur à retracer), chez un seul client, impossible de 
monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device 
ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis n’importe quel 
autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro mobiles, 
aucun problème, le tunnel est établie en 150 ms à peine.

Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer 
normalement, puis j’ai quasi dans la foulée un message du type «  recv ISAKMP 
SA delete » dans les logs de debug du Forti, et le tunnel ne monte pas.


Comme je viens de manger du log de debug depuis des jours en m’arrachant la 
tête, je me suis dit que soumettre ça à la brillante sagacité de la liste 
pourrait me donner des pistes…
Any idea ?


(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en 
train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait juste 
marcher comme chez les autres opérateurs, ça me soulagerait des plaintes 
récurrentes et justifiées du client)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [SPAM] Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

[FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

34 matches

Site Navigation

Mail list logo

Footer information