Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Ok, merci pour votre réponse, je comprends donc que ce comportement est normal par rapport à l'implémentation qui a été faite.
Je comprends que ce mode sans split tunneling est utile dans le cas d'un réseau Wifi non sécurisé, mais ce n'est pas le cas tout le temps. Par exemple:
- je suis sur le réseau sécurisé de mon entreprise (ou chez un ami ou parent)
- je souhaite juste avoir accès au réseau local de ma Freebox chez moi
- je souhaite conserver la connectivité vers les serveurs locaux ou imprimantes de mon entreprise
- je n'ai pas besoin que le trafic internet refasse un détour par chez moi

C'est dommage qu'on ne puisse pas choisir le mode d'utilisation.
En général les serveurs VPN ont une case "Split tunneling" qui permet ou non de forcer tout le trafic client à aller ou non dans le tunnel.

Cordialement,

F.Gloannec.

Actuellement notre client supporte les configuration en mode CP (Configuration Payload) ou sans mode CP de la manière suivante:
- en mode CP: le client propose tout le réseau et la passerelle fournit les réseaux configurés de son coté.
- en mode non CP: le client spécifie l'adresse virtuelle et le réseau distant à utiliser, et la passerelle accepte ou non (j'ai essayé ce cas mais la passerelle répond "TS Unacceptable").

Je vais regarder si pour la prochaine version on pourrait proposer quand même un réseau distant (autre que tout le réseau) quand on est en mode CP. Effectivement ça oblige le client à connaître le réseau distant a priori.

Cordialement,

F.Gloannec

Bonjour,

J'ai refait des tests, et effectivement si on force un réseau plus petit du coté du client, alors qu'on est en mode CP, la passerelle IkeV2 Freebox, l'accepte.
Nous proposerons donc un mode dans la prochaine version qui permet de faire cela.

Une petite case à cocher "Split tunneling" pour IkeV2 serait quand même sympa du coté de la Freebox

Cordialement,

F.Gloannec.

Bonjour,
Je n'y connait pas grand chose [je suis en VPN PPTP...], comment avez-vous fait pour que cela fonctionne :
1/ sous Windows 10 (mon adresse IP, protocole IKEv2, mode Certificat) ⇒ "Impossible de trouver un certificat qui peut être utilisé avec le protocole EAP"
2/ sous Android avec strongSwan (mon adresse IP, IKEv2 EAP, user/pass) ⇒ "Failed to etablish VPN: Verifying gateway authentification failed" avec un log... illisible.
A noter pour Frederic que pour strongSwan dans les advanced settings il y a 2 cases Split tunneling : "Block IPv4 traffic not destined for the VPN" et idem IPv6. Je ne sais pas si cette info vaut un petit coup de main en retour ??? Merci

Désolé, mais pour le 2/ j'ai aussi et surtout essayé avec (mon adresse IP, IKEv2 Certificate) !

et lorsque je clic "Select user certificate" il me dit : "The app strongSwan VPN Client has requested a certificate. Choosing a certificate will let the app use this identity with servers now and in the future. You can install certificates from a PKCS#12 file with a .pfx or a .p12 extension located in external storage."
Et lorsque je clic "Intall" il me dit : "Aucun fichier de certificat trouvé sur le stockage USB" !

Donc je dois copier un fichier .pfx : depuis la Freebox ? sur mon device (respectivement mon PC et mon Tel) ?

Merci

Bonjour,

Avec le client TheGreenBow, je monte le tunnel IkeV2 sans certificat utilisateur. L'authentification se fait en EAP (c'est à dire avec Login/Mot de passe).

Cordialement,

F.Gloannec.

Ok Merci :
sous Windows 10 l'identification nom/mdp est proposée mais je ne peux pas l'enregistrer (bug W10 semble-t-il...), donc pas la lancer,
alors que sous strongSwan c'est possible mais j'ai comme indiqué ci-dessus : "authentification failed"... alors que cela passe en PPTP !

Dans le Log strongSwan tout est ok jusqu'à :
"authentification of ....freeboxos.fr with RSA... successfull",
"constraint check failed: identity 'mon adresse IP cible' required",
"seleted peer config 'android' inacceptable: constraint checking failed"
"no alternative config found"
"generating INFORMATIONAL request 2 AUTH_FAILED"
"sending packet" from 'mon IP1 tel' to 'mon IP cible'"

Voilà, si cela inspire qq'un ?

Ok Frederic : avec votre client VPN TheGreenBow cela se connecte en qq secondes depuis mon PC Win 10, donc c'est bien mon Windows 10 qui bug en VPN natif...
Merci pour la version d'évaluation de 30 jours

Je ne teste pas votre version Android car elle n'est pas sur Google Play, il n'y a que votre CryptoMailer

Plus qu'à patienter en PPTP que Win 10 et strongSwan s'adaptent...

Pour Maxime Bizon,
J'ai fait un test tout simple avec Win 10 paramétré en VPN Auto (nom, adresse IP, EAP, userVPN, mdpVPN) :
PPTP seul actif côté Freebox : connexion immédiate,
IKEV2 seul actif côté Freebox : tentative longue puis refus que ce soit en IPv4+IPv6, IPv4 et IPv6.
Pas d'impact non plus du type d'IPv4/v6 sur stronSwan...

Ah ok, dans "Nom d'hôte ou adresse IP de destination" dans Win10, et "Gateway" dans strongSwan, je mettais mon @IP fixe Freebox...

J'ai bien un nom de domaine xxx.freeboxos.fr que j'utilise pour accéder à ma box à distance via https://xxx.freeboxos.fr:6550 et l'appli Freebox Compagnon sur Android.

Je vais remplacer mon adresse IP par mon nom de domaine et refaire des tests des 2 côtés... Merci

Bon côté strongSwan / Android c'est passé

Profile Name : test
Gateway : xxx.freeboxos.fr
Type : IKEv2 EAP (Username/Password)
Username : celui du VPN
Password : pareil
CA certificate : [pas: Select automatically] DST Root CA X3 [pour fignoler...]
[pas: Show advanced settings]

Super !

Win10 résiste :

General= Nom d'hôte : xxx.freeboxos.fr [pas de Première connexion, car je suis déjà sur internet]
Options= Mémoriser mes informations d'identification / 30mn d'inactivité
Sécurité= IKEv2 / Mobilité 30mn / Exiger le chiffrement / EAP / PEAP / Certificat DST Root CA X3 / EAP-MSCHAP v2
Gestion de réseau= Partage= par défaut

Il y a surement un paramètre de travers, mais lequel ?!

Pour Frederic,

C'est normal que TheGreenBow fonctionne alors que j'ai aussi mis l'adresse IP au lieu du nom de Domaine ?

Cela veut probablement dire que je ne vérifie pas le certificat de la Freebox ?

Je regarde cela ce soir...

TheGreenBow fonctionne aussi avec mon nom de domaine xxx.freeboxos.fr mais je ne sais où imposer le certificat Freebox : Multiple AUTH support ? puis Importer un Certificat ?

Je poursuis avec Windows 10 natif et TheGreenBow ce soir !

Bonjour,

C'est normal que TheGreenBow fonctionne alors que j'ai aussi mis l'adresse IP au lieu du nom de Domaine ?

⇒ Oui, les 2 fonctionnent.

Cela veut probablement dire que je ne vérifie pas le certificat de la Freebox ?

⇒ Non, cela n'a rien à voir. Le fait de résoudre le nom de la passerelle n'a pas de lien avec le fait de vérifier le certificat Gateway.
Par défaut en mode EAP, le certificat de la passerelle n'est pas vérifié. Ce n'est qu'en mode d'authentification par certificats (utilisateur et Gateway) que le certificat est vérifié.

Cordialement,

F.Gloannec
TheGreenBow.

Oui, les modes ne sont pas exclusifs.
Je parlais uniquement dans le cadre du client TheGreenBow. En mode EAP, il n'est pas possible de spécifier les certificats dans le client. Ils sont malgré tout recherchés dans le magasin de certificats de Windows.

A propos du mode "Multiple Auth", c'est encore un autre cas (non supporté par la Freebox) où il y a une double authentification du client, par un certificat et par EAP. Ce mode n'est pas à utiliser face à la Freebox.

Cordialement,

F.Gloannec.

Ok Merci, donc j'en reste là avec TheGreenBow (Win 10) sans la vérification du certificat "DST Root CA X3" que fait strongSwan (Android).

Avez-vous du nouveau depuis l'ouverture du ticket ?

@Frederic Gloannec: Qu'est-ce pourrait être ajouté dans les Freebox pour améliorer les différentes possibilités de connexions à distance ?

Il a été demandé à Free de mettre à jour les vieilles version d'OpenVPN, StrongSwan, IPsec-tools, ... et d'ajouter les bonnes options...

@01011920: Tous vos tests fonctionnent ? Plus de problème avec Windows ou autres ?

Comme indiqué dans d'autres tâches je n'ai plus de soucis de connexion VPN IKEV2 sur ma FBX V6 depuis 2016, avec un PC W10 maintenu à jour, et avec un TEL Android ancien (4.1.2) avec strongSwan maintenu à jour (2.0.2 du 17-10-2018).

De mémoire il y a eu 1 ou 2 coupures de service de qq heures/jours lors de certaines mises à jour de la FBX, mais Free a fait une petite corrective derrière. Et cela fonctionne depuis presque partout, à part certains hôtels qui doivent bloquer le ou les ports utilisés...

Et je ne vois pas trop pour votre demande que "Free de mettre à jour les vieilles version ... StrongSwan" : stronSwan est bien mis à jour (voir ci-dessus) et Free reste à priori compatible (la 2.0.0 de strongSwan apportait le "Always on VPN" pour Android 7+ que je peux pas tester).

Mais vous avez changé d'adressage, il y a quand même un souci là, si les 2 sites ont un réseau différent...
https://dev.freebox.fr/bugs/task/20123#comment93559

Non tout n'est pas à jour sur les box (il y a des failles à corriger par-ci, par-là), dans notre cas du VPN (avec des options manquantes):
- OpenVPN 2.3.17 au lieu de 2.4.6
- StrongSwan 5.3.3 au lieu de 5.7.2
- IPsec-tools 0.8.1 au lieu de 0.8.2(2014-02-27)
- OpenSSL 1.0.2q au lieu de 1.1.1a (avec TLS 1.3)

Ticket avec tout: https://dev.freebox.fr/bugs/task/22518

Pour mon utilisation ce n'est pas un soucis : les réseaux sur lesquels se trouvent mon PC sont par défaut en 192.168.0.xx et ma FBX sur laquelle je me connecte à distance gère la plage IP de 192.168.5.1 à 192.168.5.50

Une fois connecté en VPN je suis sur le même réseau local virtuel d'IP 192.168.x.xx (je n'utilise peut-être pas les bons termes ?).

Je regarde votre ticket pour strongSwan, mais à priori votre demande c'est du grec pour moi...

Si c'est bon, j'avais compris que les deux côtés avec le même réseau, ça me semblait bizarre.

Bonjour Neustradamus,

@Frederic Gloannec: Qu'est-ce pourrait être ajouté dans les Freebox pour améliorer les différentes possibilités de connexions à distance ?

⇒

Ma remarque initiale sur le split tunneling reste valide: avoir une option coté serveur qui permet de dire qu'on ne souhaite accéder qu'au sous-réseau local (pour éviter d'envoyer tout le trafic dans le tunnel quand ce n'est pas utile).

Si la question est plus générale alors un mode d'authentification de l'utilisateur par certificat (au lieu de EAP) serait bienvenu.
C'est déjà le cas pour la partie OpenVPN (et, en passant, en OpenVPN, on a aussi d'emblée juste le trafic du réseau local dans le tunnel).

Cordialement,

F.Gloannec

Avec la sortie de la 4.0.5, avez-vous une amélioration ?

Bonjour,

Non, je n'ai pas vu de nouvelles options de configuration pour le serveur IkeV2.
Y avait-il quelque chose de prévu ?

Cordialement,

Frederic Gloannec
TheGreenBow VPN.

@TheGreenBowVPN: Il y a des demandes de mises à jour corrigeant des failles de sécurité et améliorations :
- OpenSSL (TLS 1.3) : https://dev.freebox.fr/bugs/task/25773

- OpenVPN : https://dev.freebox.fr/bugs/task/25817

- strongSwan : https://dev.freebox.fr/bugs/task/25818

- ...

Et vu l'arrivée de l'IPv6 natif, tout fonctionne ? A noter que :
- Pas de pare-feu (firewall) pour l'IPv6 : https://dev.freebox.fr/bugs/task/4110

- Pas de reverse DNS pour l'IPv6 : https://dev.freebox.fr/bugs/task/12749