Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Maxime Bizon (mbizon)
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 3.2.0
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
Concerne le projet: Freebox Server (Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Kall Agan (kallagan) - 11/01/2016
Dernière édition par Romain FLIEDEL (rfliedel) - 05/04/2016

FS#19461 - Impossible de se connecter en IKEv2

testé avec le client natif Windows 7
testé avec un client tiers (theGreenbow)
pas testé sous Android (vu les tests sous Windows, ça donne pas envie d’essayer :( )

si vous avez un tuto, je suis preneur.
Le client Windows 7 ne permet pas de saisir les local et remote ID
Le client theGreenbow reçoit tjrs une erreur de payload pour mauvaise PSK

conf testée :

PSK : le mdp de l’utilisateur
Crypto : tout auto
Local ID : FQDN : le login de l’utilisateur
Remote ID : FQDN : fbxvpn_psk

Close par  Romain FLIEDEL (rfliedel)
Tuesday 5 April, 2016 09:32:02
Raison de clôture :  Evolution intégrée
Commentaires supplémentaires de clôture :  En 3.3.1

Cette tache ne dépend pas d'autre tache

07/04/2016: Une réouverture de tâche a été demandée Raison de cette demande: Ne fonctionne pas sous Windows 10 (mon adresse IP, protocole IKEv2, mode Certificat) => "Impossible de trouver un certificat qui peut être utilisé avec le protocole EAP" : que faire ?!
Frederic Gloannec (TheGreenBowVPN)
Monday 18 January, 2016 13:33:55

Bonjour,

J'ai essayé également de connecter le client TheGreenBow au serveur IkeV2 de la Freebox sans succès.
Le premier échange (IKE_SA_INIT) est Ok, mais le 2ème échange (IKE_AUTH) échoue, la Freebox renvoyant AUTHENTICATION_FAILED.

Comme indiqué, j'ai aussi utilisé le mot de passe de l'utilisateur comme PSK, et le nom de l'utilisateur comme local id (coté client). Ces informations (nom de l'utilisateur et mot de passe) marchent correctement pour monter un tunnel OpenVPN (j'ai supposé qu'on pouvait se servir des mêmes informations utilisateur, et pour cet utilisateur, le paramètre "IP Fixe" est sur "IP Dynamique", au cas où cela ait son importance)
J'ai essayé plusieurs types d'ID sans succès.

C'est dommage qu'on n'ait pas accès aux logs du serveur VPN sur la Freebox, ça permettrait d'en savoir plus et éventuellement de corriger la configuration coté client.
Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?
(si possible le nom exact du type, comme décrit ici: http://www.iana.org/assignments/ikev2-parameters/ikev2-parameters.xhtml#ikev2-parameters-10 )

D'autres remarques:
- l'aide sur la page "Serveur VPN" n'a pas été mise à jour avec les informations IkeV2
- pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

Merci,

Frederic Gloannec
TheGreenBow VPN.

Maxime Bizon (mbizon)
Monday 25 January, 2016 09:03:00

le mode PSK n'est pas supporté par Windows 7

le mode certificat arrive bientôt et solutionnera le probleme.

Maxime Bizon (mbizon)
Monday 25 January, 2016 09:06:51

@Frederic

Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?

ID_FQDN (je sais que c'est pas bien, mais c'est ce qu'envoie le client Mac)

pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

parce que c'est présenté de cette façon sur IOS

mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

Frederic Gloannec (TheGreenBowVPN)
Monday 25 January, 2016 10:28:03

Ok, merci pour votre réponse.
Je vais attendre le mode certificat alors.

S'agira t-il d'un mode ou le client va s'authentifier avec son certificat, puis en EAP (dans cet ordre) ?
Ou est-ce que le client utilisera juste EAP (et la partie certificat sert alors uniquement dans l'autre sens: la Freebox enverra son certificat pour que le client puisse l'authentifier) ?

Frederic Gloannec
TheGreenBow VPN.

Maxime Bizon (mbizon)
Monday 25 January, 2016 10:33:56

Le certificat sera pour authentifier la Freebox, le client en EAP.

Frederic Gloannec (TheGreenBowVPN)
Monday 25 January, 2016 10:48:51

Ok, merci.

ROGER Nicolas (Crapitule)
Thursday 4 February, 2016 08:20:55

Bonjour, J'attend aussi cette MAJ.

Maxime Bizon (mbizon)
Monday 15 February, 2016 21:51:51
mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

je retire ce que j'ai dit, j'ai un problème :)

Vous qui avez de l'expérience en interop VPN, est ce qu'il y aurait une limitation connue des Windows 7/8/10 si la gateway ipsec est en IPv6 ?

car d'après mes tests, Windows ne veut pas de mes paquets IPSEC encapsulés dans de l'UDP over v6, il envoie tout sans encapsulation également, même si je lui fais croire qu'il est derrière un NAT.

c'est embêtant car l'implem de l'ipsec sur la box est 100% userspace et nécessite forcément de l'UDP

Frederic Gloannec (TheGreenBowVPN)
Tuesday 16 February, 2016 12:06:17

Bonjour,

Je ne sais pas dire pour Windows, c'est bien possible qu'il y ait cette limitation.
Notre client VPN aussi a cette limitation pour l'instant.

Cordialement,

F.Gloannec.

Maxime Bizon (mbizon)
Thursday 25 February, 2016 16:20:06

ok j'ai réussi à le faire fonctionner.

pour la prochaine version.

ROGER Nicolas (Crapitule)
Thursday 25 February, 2016 17:10:56

Bonjour,
Mes Félicitations pour votre accomplissement qui va combler un paquet de freenaute !
Avez vous testé uniquement sous Windows ? Pouvez vous aussi vous assurer d'une compatibilité sous Android ?
Merci d'avance,
Crapitule de Réa-PC

Maxime Bizon (mbizon)
Thursday 25 February, 2016 17:24:05

Oui compatibilité complète avec
- Windows 7/8/10 (fonctionne en auto-détection)
- IOS/OSX
- Linux
- Android en installant l'appli Strongswan (IKEv2 n'est pas supporté en natif)

ROGER Nicolas (Crapitule)
Thursday 25 February, 2016 23:29:30

Ba merveilleux, on attend plus que la MAJ :)

ALBERI Loïc (_A.T.Omix_)
Monday 14 March, 2016 14:40:47

Le correctif à été intégré dans la MAJ 3.3.0?
Je n'arrive toujours pas à me connecter en IKEv2 sous Windows 10

Chargement...