Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Critique
  • Priorité Très Basse
  • Basée sur la version 4.2.3
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 3
  • Privée

FS#31808 - Problème VPN IPSEC Freebox Révolution depuis mise a jour du 13/07/2020

Bonjour,

Je n’arrive plus a me connecter en IPSEC depuis mes téléphones Android (Andoid 9).
Par contre cela fonctionne bien en PPTP.
J’ai fais les tests sur plusieurs téléphones Android avec des comptes différents et sur des réseaux différents.
J’ai le même comportement.
J’ai même changer le nom de domaine xxxx.freeboxos.fr pour vérifier qu’il n’y ai pas un pb avec le certificat.
J’ai également le même comportement.

Je rencontre ce problème depuis la mise a jour suivante :
Mise à jour du Freebox Server (Révolution/mini/One/Delta/Pop) 4.2.0 du 13 juillet 2020.

La mise à jour apporte les changements suivants :

Amélioration
La stabilité et les performances du WiFi N (2.4Ghz) ont été grandement amélioré. Pensez à vérifier que le mode 802.11n et la protection WPA2/AES sont activés pour obtenir les meilleures performances.
La protection WPA3 est disponible pour le WiFi. Le mode proposé est appelé « transition » car il
permet l’usage simultané sur WPA2 et du WPA3, au choix de l’appareil qui se connecte
Un QRcode permettant de se connecter au réseau WiFi est maintenant disponible sur l’afficheur des Freebox Révolution/Mini4k/One
Le contrôle parental a été entièrement repensé et remplacé par un système de profils plus intuitif, la migration est automatique (les profils sont crées à partir de la configuration précédente). Une mise à jour de l’application Freebox est nécessaire pour continuer d’utiliser la fonction. Elle est disponible immédiatement. L’application Freebox Connect qui sortira ce jeudi améliorera encore l’expérience utilisateur sur cette fonction.
Amélioration des performances du WiFi AC (5Ghz) pour les Freebox Révolution & Mini4k qui en sont équipées.
Amélioration des performances du serveur VPN IKEv2

log de connexion VPN :
Aug 11 10:48:18 00[DMN] +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Aug 11 10:48:18 00[DMN] Starting IKE service (strongSwan 5.8.4, Android 10 - QKQ1.191008.001.WW_user_100.10.107.92_20200715 release-keys/2020-07-05, ASUS_Z01RD - asus/WW_Z01RD/asus, Linux 4.9.186-perf+, aarch64)
Aug 11 10:48:18 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf random nonce pubkey chapoly curve25519 pkcs1 pkcs8 pem xcbc hmac socket-default revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls x509
Aug 11 10:48:18 00[JOB] spawning 16 worker threads
Aug 11 10:48:18 00[LIB] all OCSP validation disabled
Aug 11 10:48:18 00[LIB] all CRL validation disabled
Aug 11 10:48:18 07[IKE] initiating IKE_SA android[2] to XX.XX.XX.XX (IPPUBLIQUE)
Aug 11 10:48:18 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 11 10:48:18 07[NET] sending packet: from 10.41.196.65[47681] to XX.XX.XX.XX (IPPUBLIQUE)[500] (716 bytes)
Aug 11 10:48:19 08[NET] received packet: from XX.XX.XX.XX (IPPUBLIQUE)[500] to 10.41.196.65[47681] (280 bytes)
Aug 11 10:48:19 08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Aug 11 10:48:19 08[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Aug 11 10:48:19 08[IKE] local host is behind NAT, sending keep alives
Aug 11 10:48:19 08[IKE] remote host is behind NAT
Aug 11 10:48:19 08[IKE] establishing CHILD_SA android{2}
Aug 11 10:48:19 08[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Aug 11 10:48:19 08[NET] sending packet: from 10.41.196.65[37145] to XX.XX.XX.XX (IPPUBLIQUE)[4500] (432 bytes)
Aug 11 10:48:19 10[NET] received packet: from XX.XX.XX.XX (IPPUBLIQUE)[4500] to 10.41.196.65[37145] (80 bytes)
Aug 11 10:48:19 10[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 11 10:48:19 10[IKE] received AUTHENTICATION_FAILED notify error

yonailo a commenté le 11.08.2020 12:32

J'arrive pas à me connecter au serveur IPSec de mon entreprise, alors qu'avant ça marchait bien.

J'ai fait le test de partager la connexion de mon téléphone et quand on ne passe pas par la FreeBox ça marche, alors c'est indéniablement un souci chez vous ou à niveau de l'adresse IP qui m'a été attribuée.

C'est un peu embêtant surtout en cette période où le télétravail est fortement encouragé pour empêcher une reprise du CODIV.

Moi je mettrais ce ticket en priorité urgente.

@mbizon: Est-ce possible de regarder ?

Par ailleurs, il y a strongSwan 5.9.0 qui est sorti afin de remplacer 5.8.4.
- https://dev.freebox.fr/bugs/task/25818

Avez-vous enfin supprimé ipsec-tools qui n'était pas à jour et qui est obsolète et qui a été remplacé par strongSwan ?
- https://dev.freebox.fr/bugs/task/31146

Tugais79 a commenté le 14.08.2020 03:53

Bonjour,
Comment est ce que je peux faire pour changer la priorité de la tâche ?

01011920 a commenté le 21.08.2020 23:09

La sécurité de Strongswan s'est durcie côté FBX... peut-être essayer avec l'appli Strongswan côté téléphone ?

J'ai un vieil Android 4.1.2 avec Stronswan à jour en 2.3.0 du 02-06-2020 qui connecte très bien en VPN sur ma FBX V6 en 4.2.3, tout comme mon PC Windows 10 à jour... depuis la manip décrite ici : https://dev.freebox.fr/bugs/task/31126

Ou le SSL comme indiqué par mbizon ?

Irwene a commenté le 30.09.2020 09:58

J'ai eu le même problème. J'ai supprimé et recréé l'utilisateur VPN côté freebox et recréé le profil côté android et tout est reparti.

J'ai comme l'impression que la MaJ a cassé les utilisateurs VPN pour IPSEC (PPTP fonctionnait toujours parfaitement chez moi)

Dans l'immédiat, il faut faire la mise à jour d'OpenSSL, strongSwan et par la même occasion OpenVPN.

Pour information, il y a un vieux code inclus dans Freebox OS : ipsec-tools qui n'est plus mis à jour et avec des failles, sa suppression a été demandé...

Bonjour,
J'utilise l'excellente appli StrongSwan avec le serveur VPN de la Révolution.
J'ai opté pour le protocole IPsec IKEv2 parce qu'il est beaucoup plus robuste que le PPTP avec sa clé sur 256bits.
Mais surtout il permet de maintenir la connexion si l'on bascule entre WiFi et réseau mobile. Très intéressant lorsque l'on est dans un aéroport.

Depuis le début de la semaine, je viens de m'apercevoir que FREE m'a arbitrairement pas passé sur une IPv4 partagée. Je m'en suis aperçu lorsque je lançait l'appli Freebox qui me disait de changer les ports de connexion : effectivement, FREE m'a alloué arbitrairement une plage de ports de 16384 à 32767.
Sauf que ... FREE n'a pas penser à ceux qui utilisent le serveur VPN de notre FREEBOX...car les ports du protocole IPsec IKEv2 ne sont pas modifiables et fixés pour le port IKE à 500 et le port NAT à 4500... super !!! plus accessible pour moi.
D'ailleurs pareil pour le port PPTP (une merde celui-là) fixé à 1723 (re...SUPER).

Est-il possible de rendre modifiables les ports du protocole IPsec IKEv2 ?
Est-ce que c'est envisageable ? Si OUI, quel délai ? Si NON, je serai contraint de passer en IP Full Stack.

Un autre problème qui est peut-être lié, lorsque je vais dans la redirections des ports, j'ai également le port 21 WAN qui est inscrit en rouge avec un petit panneau d'exclamation (accès FTP). Est-ce lié ? Solution IP Full Stack ?

Je trouve quand même "extraordinaire" que FREE n'ait pas pensé à rendre les ports IPsec IKEv2 modifiables sachant que certains, comme moi, sont passés unilatéralement en IPv4 partagé...
Merci pour vos infos/réponses... et si besoin, je créerai un nouveau sujet.

Irwene a commenté le 26.01.2021 16:58

Bonjour,

Si vous tentez d'accéder à votre freebox depuis internet, il est de toute manière plus pratique de demander une IP full stack (ou d'y accéder en IPv6 qui ne présente pas le problème).

Cela dit, si vous voulez vraiment demander une nouvelle fonctionnalité, il vaudrait mieux créer un nouveau ticket avec le type approprié (celui-ci est un bug) plutôt que d'ajouter un commentaire dans un ticket... qui en plus n'a pas été regardé depuis un sacré moment

Et oui, je pense que le port 21 inscrit en rouge est à cause de l'ip partagée.

01011920 a commenté le 26.01.2021 18:59

Bonjour,

Lors de la migration Adsl vers Fibre "partagée" de ma box Révolution, même soucis et passage en IP full stack : réglé.
Et ailleurs pour une box Mini directement sur Fibre "partagée" : idem direct.

Je n'ai toujours pas vu de problème induit par le passage en full stack...

Mais cela en sera sans doute un le jour où cela ne sera plus possible !

LaFille a commenté le 06.01.2022 19:49

Bonjour,
Je ne suis pas du tout spécialiste en informatique.
Mais j'ai l'impression que votre problème est similaire au mien sauf que moi c'est sur mon ordi que je narrive pas à me connecter au vpn de mon travail.
Lors du premier confinement j'ai pu me connecter sans soucis pendant 5 mois.
Je dois revenir en télétravail sauf que là ma connection ne fonction plus.

Lorsque je me connecte au wif d ema box j'ai ce message d'erreur qui dit :
la connexion à distance n'a pas été établie car les tunneles VPN essayés ont échoué. le serveur VPN est peut etre inaccessible.
Si cette connexion tete d'utiliser un tunnel L2TP/IPSEC les paramètres de sécurité requis pour cette négication sont peut être incorrectement configurés.

J'ai regardé les ports 500 et 4500 sont bien ouverts.

Lorsque je me connecte via un point d'acces mobile de mon smartphone BOUYGUES et du mobile de mon ami FREE, cela fonctionne sans problème.

Je préfèrerai utiliser le wifi de ma box. Quelqu'un aurait il une solution?
Merci.

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche