Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 07/05/2024 à 11:08, David Ponzone a écrit : J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou même répondre. Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Hello, On Tue, 7 May 2024 11:08:19 +0200 David Ponzone wrote: > Ca pourrait donc être lié aussi au MTU négocié par IOS avec Orange. Pour info, je fais du partage de connection via un iPhone sur mon Nux quand je suis hors zone Wifi, et j'ai eu des problemes de MTU a une epoque qui m'avait

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

J’ai des forts doutes sur la capacité du MVNO-Light à faire bouger Orange, ou même répondre. Ceci dit, si Philippe a le problème avec des cartes Orange Pro, et moi avec des cartes MVNO-Light, c’est que c’est un problème inhérent à l’infra complète Orange Mobile, dans le contexte

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Si tu as accès au support du MVNO-light, remonte-leur le problème, il est possible qu'il y ai un firewall sur le chemin dont l'ALG ou l'inspection de paquet pose problème. Jérôme Le 06/05/2024 à 21:42, David Ponzone a écrit : Comme je l’ai posté il y a quelques jours, j’ai reproduit le

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Comme je l’ai posté il y a quelques jours, j’ai reproduit le problème de Philippe, avec un MVNO-Light Orange (donc techniquement, c’est Orange, CGNAT Orange, c’est même normalement plus propre). Par contre, mon APN, aucune idée :) David > Le 6 mai 2024 à 19:49, Jérôme Marteaux a écrit : > >

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit : Bonjour ! En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une honte absolue. Intéressant intellectuellement pour comprendre,

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 06/05/2024 à 11:54, Philippe ASTIER via frnog a écrit : En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. C'est sans doute un peu plus complexe que çà. Je pense que si IPSec ne passait plus du tout sur Orange Mobile, on serait beaucoup plus nombreux à

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour ! En fait, c’est pas compliqué, ça passe juste plus du tout chez Orange Pro Mobile. Et en 2024, devoir bricoler des APNs ou des MTU pour que ça marche, c’est une honte absolue. Intéressant intellectuellement pour comprendre, mais inadmissible en production. Tu changes d’opérateur ou

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour Moi je ferais quand même une capture sur un qui qui marche et un qui marche pas. Le coup de l'isakmp fragmenté, je l'ai eu aussi. Pas avec du forti en revanche. Le certif était gros, le paquet isakmp passait pas en 1500 octets, et une maj d'un ios cisco avait décidé qu'il fallait

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour Toussaint, On Thu, 2 May 2024 19:34:29 +0200 Toussaint OTTAVI wrote: > Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté > et/ou les paquets arrivent dans le désordre,  je ne les connais pas > vraiment. - Éviter la fragmentation au niveau IP. Les paquets

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Au passage, en debug, je vois 2 trucs bizarres: -le CGNAT d’Orange présente mon mobile avec les ports 500 et 4500 sur l’IP Publique CGNAT (92.184.116.219), ce qui parait invraisemblable, donc leur CGNAT doit avoir un IPSEC-ALG, et comme tout bon ALG (ou presque), il doit faire de la merde

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Philippe, Si ça peut te rassurer (….), j’ai exactement le même comportement que toi avec un FG en 6.2.X en IPv4-only, et le client natif IPsec IOS (en mode Cisco IPsec): -en wifi (Bouygues Tel, IPv6 actif): ça monte -en 4G (Orange par MVNO-light, IPv6 actif): ça monte pas J’ai essayé de mettre

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> Le 3 mai 2024 à 08:54, Dev Mart a écrit : > > Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Salut, Alors les VPN Events, ils ne voient pas grand chose, tout est « success » et joliment vert. Non, les vrais logs, tu les as en CLI : diag debug application ike -1

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: >> - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me >> troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) > > Pourquoi ? > Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

> On Thu, May 2, 2024, at 12:56, David Ponzone wrote: >> Désactive IPv6 sur le client pour voir. > > ??? En 2024 AD ??? Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de tester. > Pourquoi

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Hello, tu as aucun log dans VPN events pour t'aiguiller sur le problème ? Cordialement Le ven. 3 mai 2024, 08:20, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > > - les Forti sont exclusivement en IPv4 (eh

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On Thu, May 2, 2024, at 19:04, Philippe ASTIER via frnog wrote: > - les Forti sont exclusivement en IPv4 (eh oui, vous pourrez me > troller, je suis un fervent défenseur d’IPv6, mais pas dans ce cas ;p ) Pourquoi ? Tu peux avoir l'IPv6 actif uniquement sur le cote WAN du FW (qui est deja

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On Thu, May 2, 2024, at 12:56, David Ponzone wrote: > Désactive IPv6 sur le client pour voir. ??? En 2024 AD ??? Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour voir" ? Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc qui va plutot

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Ouais, c’est pas le point fort de Forti. David Ponzone > Le 2 mai 2024 à 20:53, Philippe ASTIER a > écrit : > >  Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé > ce qui se passe en wifi vs 4G/5G Orange. > > Pour le moment, à part le fait que ça coupe dans le

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Oui ben j’ai commencé le debug, (diag debug application ike -1) et comparé ce qui se passe en wifi vs 4G/5G Orange. Pour le moment, à part le fait que ça coupe dans le deuxième cas, la négociation a l’air vraiment identique. Je vais tâcher de faire du vrai diff entre les deux, il y a forcément

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 19:34, Toussaint OTTAVI a écrit : Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit : Depuis quelques mois (dur à retracer), chez un seul client, impossible de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device ou en partage de connexion).

Re: [SPAM] Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 19:30, David Ponzone a écrit : Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 semble bien se passer et puis paf! J'avais lu un peu trop rapidement. Donc, cela ne ressemble pas à mon problème de paquet ISAKMP initial fragmenté qui arrive

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit : Depuis quelques mois (dur à retracer), chez un seul client, impossible de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le device ou en partage de connexion). Avec la même configuration, la connexion en

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Vincent, Ca bloque pas chez Orange puisque Philippe dit que la négociation Phase1/Phase2 semble bien se passer et puis paf! Philippe, Tu vas devoir entrer dans le monde du debug Forti :) David > Le 2 mai 2024 à 19:19, Vincent Tondellier via frnog a écrit > : > > On jeudi 2 mai 2024 19 h

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On jeudi 2 mai 2024 19 h 04 min 32 s CEST, Philippe ASTIER via frnog wrote: ... - sur la partie « split-tuneling », je ne vois pas trop le rapport. Aucun, c'est la description du bug de David en SSL qui y ressemble Ce que je trouve désolant, c’est que quand le client qui se connecte est

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Désolé de ne pas être revenus vers vous avant ! Après-midi chargée et impossible d’avoir le client pour test avant demain. Alors, je confirme : - les clients se connectent en IPSec (IKEv1 ou v2, a priori, ça fait pareil) sur un FQDN IPv4-only, - les Forti sont exclusivement en IPv4 (eh oui,

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On jeudi 2 mai 2024 14 h 54 min 53 s CEST, David Ponzone wrote: On doit pas parler du même problème. Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à priori, et se déclenche quand le client a accès à IPv6 alors que le serveur n’est pas dispo en IPv6. Je ne connais pas

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

On doit pas parler du même problème. Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à priori, et se déclenche quand le client a accès à IPv6 alors que le serveur n’est pas dispo en IPv6. « A good IPv6 is a disabled one ». David > Le 2 mai 2024 à 14:46, Vincent

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Bonjour, On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: Désactive IPv6 sur le client pour voir. C'est le contraire qu'il faut faire. En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de transition a la con qui fout la merde). (Re-)testé a l'instant sur

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Salut, Remplace le fqdn par l’ipv4 sur le client :-) c’est crade mais ca marche (tête fortinet 7.2 et 7.4) … Baptiste Le jeu. 2 mai 2024 à 13:24, David Ponzone a écrit : > Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire: > > >

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Si c’est le fameux bug Forticlient/IPv6, c’est seulement en SSL de mémoire: https://community.fortinet.com/t5/Support-Forum/IPv6-causing-SSL-VPN-connection-issue/m-p/9089 Pour IOS, à une époque, on

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

OK, why not, on va faire ça sur le Mac, pas possible sur iOS. (Chez Free, pas besoin de désactiver IPv6 en tout cas.) Et pour la MTU, Ludovic, moi je veux bien…. Mais de quel côté ? Et puis le PMTU il est sensé être négocié proprement, je n’ai jamais eu à le faire sur aucun tunnel VPN. Ce

Re: [FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Désactive IPv6 sur le client pour voir. David > Le 2 mai 2024 à 12:48, Philippe ASTIER via frnog a écrit : > > Salut à tous ! > > Je rencontre un souci très pénible. > > J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des > Fortigate. Lignes fibres pour la plupart

[FRnOG] [TECH] Problèmes IPSec sur Orange Mobile

Salut à tous ! Je rencontre un souci très pénible. J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les sites distants