Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à
    mbizon
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Très Basse
  • Basée sur la version 3.2.0
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par kallagan - 11/01/2016
Dernière modification par rfliedel - 05/04/2016

FS#19461 - Impossible de se connecter en IKEv2

testé avec le client natif Windows 7
testé avec un client tiers (theGreenbow)
pas testé sous Android (vu les tests sous Windows, ça donne pas envie d’essayer :( )

si vous avez un tuto, je suis preneur.
Le client Windows 7 ne permet pas de saisir les local et remote ID
Le client theGreenbow reçoit tjrs une erreur de payload pour mauvaise PSK

conf testée :

PSK : le mdp de l’utilisateur
Crypto : tout auto
Local ID : FQDN : le login de l’utilisateur
Remote ID : FQDN : fbxvpn_psk

Fermée par  rfliedel
05.04.2016 09:32
Raison de la fermeture :  Evolution intégrée
Commentaires de fermeture :  

En 3.3.1

Bonjour,

J'ai essayé également de connecter le client TheGreenBow au serveur IkeV2 de la Freebox sans succès.
Le premier échange (IKE_SA_INIT) est Ok, mais le 2ème échange (IKE_AUTH) échoue, la Freebox renvoyant AUTHENTICATION_FAILED.

Comme indiqué, j'ai aussi utilisé le mot de passe de l'utilisateur comme PSK, et le nom de l'utilisateur comme local id (coté client). Ces informations (nom de l'utilisateur et mot de passe) marchent correctement pour monter un tunnel OpenVPN (j'ai supposé qu'on pouvait se servir des mêmes informations utilisateur, et pour cet utilisateur, le paramètre "IP Fixe" est sur "IP Dynamique", au cas où cela ait son importance)
J'ai essayé plusieurs types d'ID sans succès.

C'est dommage qu'on n'ait pas accès aux logs du serveur VPN sur la Freebox, ça permettrait d'en savoir plus et éventuellement de corriger la configuration coté client.
Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?
(si possible le nom exact du type, comme décrit ici: http://www.iana.org/assignments/ikev2-parameters/ikev2-parameters.xhtml#ikev2-parameters-10 )

D'autres remarques:
- l'aide sur la page "Serveur VPN" n'a pas été mise à jour avec les informations IkeV2
- pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

Merci,

Frederic Gloannec
TheGreenBow VPN.

Admin
mbizon a commenté le 25.01.2016 09:03

le mode PSK n'est pas supporté par Windows 7

le mode certificat arrive bientôt et solutionnera le probleme.

Admin
mbizon a commenté le 25.01.2016 09:06

@Frederic

Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?

ID_FQDN (je sais que c'est pas bien, mais c'est ce qu'envoie le client Mac)

pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

parce que c'est présenté de cette façon sur IOS

mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

Ok, merci pour votre réponse.
Je vais attendre le mode certificat alors.

S'agira t-il d'un mode ou le client va s'authentifier avec son certificat, puis en EAP (dans cet ordre) ?
Ou est-ce que le client utilisera juste EAP (et la partie certificat sert alors uniquement dans l'autre sens: la Freebox enverra son certificat pour que le client puisse l'authentifier) ?

Frederic Gloannec
TheGreenBow VPN.

Admin
mbizon a commenté le 25.01.2016 10:33

Le certificat sera pour authentifier la Freebox, le client en EAP.

Ok, merci.

Bonjour, J'attend aussi cette MAJ.

Admin
mbizon a commenté le 15.02.2016 21:51
mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

je retire ce que j'ai dit, j'ai un problème :)

Vous qui avez de l'expérience en interop VPN, est ce qu'il y aurait une limitation connue des Windows 7/8/10 si la gateway ipsec est en IPv6 ?

car d'après mes tests, Windows ne veut pas de mes paquets IPSEC encapsulés dans de l'UDP over v6, il envoie tout sans encapsulation également, même si je lui fais croire qu'il est derrière un NAT.

c'est embêtant car l'implem de l'ipsec sur la box est 100% userspace et nécessite forcément de l'UDP

Bonjour,

Je ne sais pas dire pour Windows, c'est bien possible qu'il y ait cette limitation.
Notre client VPN aussi a cette limitation pour l'instant.

Cordialement,

F.Gloannec.

Admin
mbizon a commenté le 25.02.2016 16:20

ok j'ai réussi à le faire fonctionner.

pour la prochaine version.

Bonjour,
Mes Félicitations pour votre accomplissement qui va combler un paquet de freenaute !
Avez vous testé uniquement sous Windows ? Pouvez vous aussi vous assurer d'une compatibilité sous Android ?
Merci d'avance,
Crapitule de Réa-PC

Admin
mbizon a commenté le 25.02.2016 17:24

Oui compatibilité complète avec
- Windows 7/8/10 (fonctionne en auto-détection)
- IOS/OSX
- Linux
- Android en installant l'appli Strongswan (IKEv2 n'est pas supporté en natif)

Ba merveilleux, on attend plus que la MAJ :)

Le correctif à été intégré dans la MAJ 3.3.0?
Je n'arrive toujours pas à me connecter en IKEv2 sous Windows 10

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche