Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Ce projet correspond aux anomalies ou aux demandes d’évolutions logicielles pour le Freebox Server.

Pour des problèmes de ligne ADSL ou Fibre, vous devez vous adresser directement au 3244.
N’indiquez ici que les bugs ou les demandes d’évolution concernant le Freebox Server.

Pour les remarques concernant le Freebox Player Révolution (V6), vous pouvez le faire sur la page dédiée.
Pour les remarques concernant la Freebox Mini 4K, vous pouvez le faire sur la page dédiée.
Pour les remarques concernant le Freebox Player Devialet (V7), vous pouvez le faire sur la page dédiée.
Pour les remarques concernant le Freebox Player Pop (V8), vous pouvez le sur la page dédiée.

Effectuez la mise à jour de votre Freebox Server vers la dernière version annoncée sur l'historique des mises à jour Freebox Server

Vérifiez que votre problème ou votre demande d’évolution n’a pas déjà été posté auparavant.

Merci d’avance.

ID Ouverte Type Catégorie Système d'exploitation État Résumé
3564024/09/2021ÉvolutionServeur VPNTousNouveauAlgorithme d'authentication pour OpenVPN server Description de la tâche

Bonjour,

Cet algorithme n'est pas configurable dans l'interface et il semble que par défaut ce soit SHA1.
SHA1 étant déprécié, le serveur VPN n'est plus compatible avec certains clients VPN.

Serait-il possible:
- soit de rendre configurable l'algorithme d'authentification du serveur OpenVPN
- soit de le mettre par défaut à SHA2 256 au lieu de SHA1
?

Merci,

Fred
TheGreenBow.

2274502/07/2018AnomalieServeur VPNTousÀ investiguerServeur OpenVPN: génération des certificats serveur et ... Description de la tâche

Bonjour,

Je viens de recréer la configuration serveur OpenVPN d’une Freebox Revolution.

En utilisant le client VPN TheGreenBow, je constate que les 2 certificats serveur et serveur CA sont bien différents, mais ils utilisent la même clef publique.
Ils ont aussi la même valeur pour le champ “Subject key identifier”.

Est-ce volontaire ? ou est-ce une erreur, ou mauvaise manip de ma part ?

Si c’est volontaire, ce n’est pas conforme. D’après la RFC 5280 paragraphe 4.2.1.2, le champ “Subject key identifier” est bien censé être unique pour chaque certificat, et il est effectivement calculé à partir du champ “subjectPublicKey”.

Je peux faire d’autres manips, ou donner plus d’information si besoin.

Avec mon ancienne configuration Serveur OpenVpn de la Freebox je n’avais pas constaté ce problème. Un utilisateur Freebox 4k + Client TheGreenBox nous a remonté aussi ce problème, que j’arrive donc maintenant à reproduire.

Merci,

Frederic Gloannec
TheGreenBow VPN.

 20057 05/04/2016AutreServeur VPNTousFermée IkeV2: Réseau distant à 0.0.0.0/0  Description de la tâche

Bonjour,

Je viens de tester le nouveau firmware 3.3.1, en ce qui concerne IkeV2.

La bonne nouvelle c’est que maintenant, avec le client TheGreenBow, le tunnel se monte correctement en EAP. Merci pour le travail effectué.

En revanche, je constate que le serveur renvoie un réseau distant (à utiliser du coté client) à 0.0.0.0/0.
Ceci signifie que tout le trafic du poste va aller dans le tunnel, ou en d’autres termes, qu’il n’y a pas de split tunneling.

Est-ce normal ?

Je m’attendais à ce que le client reçoive le réseau local de la Freebox comme réseau distant.

Le client est configuré pour recevoir la configuration réseau automatiquement (mode Configuration Payload). Si je désactive ce mode pour spécifier moi même le paramétrage, le serveur répond que le “Traffic Selector” envoyé par le client est incorrect.

Merci,

Frederic Gloannec
TheGreenBow VPN.

 19496 18/01/2016AutreServeur VPNTousFermée OpenVPN en mode routé: il est possible d'accéder aux ma ... Description de la tâche

Bonjour,

La documentation du serveur VPN indique:
OpenVPN Routé : ce type de serveur nécessite l’installation d’un client OpenVPN. Lorsque le service est activé, vous pouvez télécharger pour chaque utilisateur un fichier de configuration OpenVPN. Ce type de serveur ne vous permet pas de voir les machines du réseau local.

J’utilise ce type de serveur, et j’ai bien accès aux machines du réseau local.
C’est bien ce que j’attends de la connexion VPN, donc ne pas changer ce comportement.
C’est informatif au cas où la doc devrait être mise à jour sur ce point.

Cordialement,

F.Gloannec
TheGreenBow VPN.
 18050 24/07/2015AnomalieNon triéTousFermée OpenVPN: Le fichier .ovpn ne contient pas le CA du cert ... Description de la tâche

Bonjour,

Nous avons développé un client VPN compatible OpenVPN et compatible avec la Freebox en mode routé.
Notre client VPN accepte le fichier .ovpn fourni par la Freebox. Le tunnel monte correctement, et le poste distant a accès au réseau local de la Freebox.

Cependant, nous rencontrons un petit soucis qui génère un warning lors de la configuration du tunnel.
En effet, il semble que les certificats de la Freebox Server et de l’utilisateur sont issus de 2 autorités de certification (CA) différents, mais seul le CA de la freebox server est fourni dans le fichier .ovpn.
Notre client cherche à valider la chaine de certification du certificat utilisateur et échoue car ce CA n’est pas connu, et cela génère un warning de sécurité.

Le sujet du certificat CA inclus dans le fichier .ovpn est par exemple:
“C=FR, O=Freebox SA, CN=Freebox OpenVPN server CA for xxxxxxxxxxxxxxx”
alors que l’émetteur (issuer) du certificat client a pour sujet:
“C=FR, O=Freebox SA, CN=Freebox OpenVPN client CA for xxxxxxxxxxxxxxx”
(Note: les champs keyid et serial sont également différents).

D’après la documentation OpenVPN, en général un seul CA devrait être utilisé (”THE master root certificate”):
To use TLS mode, each peer that runs OpenVPN should have its own local certificate/key pair ( –cert and –key ), signed by the root certificate which is specified in –ca.
When two OpenVPN peers connect, each presents its local certificate to the other. Each peer will then check that its partner peer presented a certificate which was signed by the master root certificate as specified in –ca.

Ma question est alors la suivante: est-il possible de prévoir une évolution pour que le CA du certificat utilisateur puisse être connu du coté client VPN ?

Il y a plusieurs solutions envisageables:
- soit revenir à un seul CA pour générer le certificat de la Freebox server, et les certificats utiliseur
- soit inclure le CA du certificat utilisateur dans le .ovpn (il est effectivement possible de le faire d’après la documentation OpenVPN: “–ca file: Certificate authority (CA) file in .pem format, also referred to as the root certificate. This file can have multiple certificates in .pem format, concatenated together.“).
- soit donner un accès à ce CA via l’interface de configuration de la Freebox server, charge à l’utilisateur de prendre ce CA pour le mettre par exemple dans le magasin Windows (et dans ce cas notre client VPN arrivera à vérifier la chaine de certification).

Merci,

Frederic Gloannec
TheGreenBox VPN.
Tâches 1 - 5 sur 5 Page 1 sur 1

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche