OK, why not, on va faire ça sur le Mac, pas possible sur iOS. (Chez Free, pas besoin de désactiver IPv6 en tout cas.)
Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire sur aucun tunnel VPN. Ce qui me choque, c’est que le seul fait de passer par Orange Mobile casse le fonctionnement d’un VPN alors qu’aucune des deux extrémités n’a changé sa configuration. > Le 2 mai 2024 à 12:56, David Ponzone <[email protected]> a écrit : > > Désactive IPv6 sur le client pour voir. > > David > >> Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog <[email protected]> a écrit : >> >> Salut à tous ! >> >> Je rencontre un souci très pénible. >> >> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des >> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, >> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les >> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2. >> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, >> clients Forti selon les cas, mais pas eu beaucoup de soucis. >> >> Depuis quelques mois (dur à retracer), chez un seul client, impossible de >> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le >> device ou en partage de connexion). >> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe >> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro >> mobiles, aucun problème, le tunnel est établie en 150 ms à peine. >> >> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer >> normalement, puis j’ai quasi dans la foulée un message du type « recv >> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte >> pas. >> >> >> Comme je viens de manger du log de debug depuis des jours en m’arrachant la >> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste >> pourrait me donner des pistes… >> Any idea ? >> >> >> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en >> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait >> juste marcher comme chez les autres opérateurs, ça me soulagerait des >> plaintes récurrentes et justifiées du client) >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
