Au passage, en debug, je vois 2 trucs bizarres: -le CGNAT d’Orange présente mon mobile avec les ports 500 et 4500 sur l’IP Publique CGNAT (92.184.116.219), ce qui parait invraisemblable, donc leur CGNAT doit avoir un IPSEC-ALG, et comme tout bon ALG (ou presque), il doit faire de la merde (Hypothèse2: y a pas d’IPSEC-ALG, et seul le premier mobile derrière l’IP publique profite des ports 500/4500)
-la déco semble provoquer par une demande du client: ike 0: comes 92.184.116.219:4500->X.X.X.X:4500,ifindex=5.... ike 0:TestIPsec_0:25093: recv ISAKMP SA delete eeebca155dd89958/0aeba54063d5e433 (Peut-être une conséquence de la non-réception de certains paquets envoyés par le FG vers le port 4500 du client) Bref, un beau merdier. Vive SSL. David > Le 3 mai 2024 à 09:16, Philippe ASTIER via frnog <frnog@frnog.org> a écrit : > > >> Le 3 mai 2024 à 08:54, Dev Mart <jeromet9...@gmail.com> a écrit : >> >> Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? > > Salut, > > Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et > joliment vert. > > Non, les vrais logs, tu les as en CLI : > > diag debug application ike -1 > diag debug enable > > Et aussi diagnose vpn ike log-filter … si tu ne veux pas mourrir sous les > logs des autres tunnels VPN qui ne t’intéressent pas. > > Le seul souci c’est que c’est TRES verbose, donc ça prend du temps à lire et > digérer. > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
