Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Closed
  • Percent Complete
    100%
  • Task Type Anomalie
  • Category Services locaux → Serveur VPN
  • Assigned To
    mbizon
  • Operating System Tous
  • Severity Medium
  • Priority Very Low
  • Reported Version 3.2.0
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 1
  • Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by kallagan - 11/01/2016
Last edited by rfliedel - 05/04/2016

FS#19461 - Impossible de se connecter en IKEv2

testé avec le client natif Windows 7
testé avec un client tiers (theGreenbow)
pas testé sous Android (vu les tests sous Windows, ça donne pas envie d’essayer :( )

si vous avez un tuto, je suis preneur.
Le client Windows 7 ne permet pas de saisir les local et remote ID
Le client theGreenbow reçoit tjrs une erreur de payload pour mauvaise PSK

conf testée :

PSK : le mdp de l’utilisateur
Crypto : tout auto
Local ID : FQDN : le login de l’utilisateur
Remote ID : FQDN : fbxvpn_psk

Closed by  rfliedel
05.04.2016 09:32
Reason for closing:  Evolution intégrée
Additional comments about closing:  

En 3.3.1

Bonjour,

J'ai essayé également de connecter le client TheGreenBow au serveur IkeV2 de la Freebox sans succès.
Le premier échange (IKE_SA_INIT) est Ok, mais le 2ème échange (IKE_AUTH) échoue, la Freebox renvoyant AUTHENTICATION_FAILED.

Comme indiqué, j'ai aussi utilisé le mot de passe de l'utilisateur comme PSK, et le nom de l'utilisateur comme local id (coté client). Ces informations (nom de l'utilisateur et mot de passe) marchent correctement pour monter un tunnel OpenVPN (j'ai supposé qu'on pouvait se servir des mêmes informations utilisateur, et pour cet utilisateur, le paramètre "IP Fixe" est sur "IP Dynamique", au cas où cela ait son importance)
J'ai essayé plusieurs types d'ID sans succès.

C'est dommage qu'on n'ait pas accès aux logs du serveur VPN sur la Freebox, ça permettrait d'en savoir plus et éventuellement de corriger la configuration coté client.
Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?
(si possible le nom exact du type, comme décrit ici: http://www.iana.org/assignments/ikev2-parameters/ikev2-parameters.xhtml#ikev2-parameters-10 )

D'autres remarques:
- l'aide sur la page "Serveur VPN" n'a pas été mise à jour avec les informations IkeV2
- pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

Merci,

Frederic Gloannec
TheGreenBow VPN.

Admin

le mode PSK n'est pas supporté par Windows 7

le mode certificat arrive bientôt et solutionnera le probleme.

Admin

@Frederic

Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?

ID_FQDN (je sais que c'est pas bien, mais c'est ce qu'envoie le client Mac)

pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?

parce que c'est présenté de cette façon sur IOS

mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

Ok, merci pour votre réponse.
Je vais attendre le mode certificat alors.

S'agira t-il d'un mode ou le client va s'authentifier avec son certificat, puis en EAP (dans cet ordre) ?
Ou est-ce que le client utilisera juste EAP (et la partie certificat sert alors uniquement dans l'autre sens: la Freebox enverra son certificat pour que le client puisse l'authentifier) ?

Frederic Gloannec
TheGreenBow VPN.

Admin

Le certificat sera pour authentifier la Freebox, le client en EAP.

Ok, merci.

Bonjour, J'attend aussi cette MAJ.

Admin
mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP

je retire ce que j'ai dit, j'ai un problème :)

Vous qui avez de l'expérience en interop VPN, est ce qu'il y aurait une limitation connue des Windows 7/8/10 si la gateway ipsec est en IPv6 ?

car d'après mes tests, Windows ne veut pas de mes paquets IPSEC encapsulés dans de l'UDP over v6, il envoie tout sans encapsulation également, même si je lui fais croire qu'il est derrière un NAT.

c'est embêtant car l'implem de l'ipsec sur la box est 100% userspace et nécessite forcément de l'UDP

Bonjour,

Je ne sais pas dire pour Windows, c'est bien possible qu'il y ait cette limitation.
Notre client VPN aussi a cette limitation pour l'instant.

Cordialement,

F.Gloannec.

Admin

ok j'ai réussi à le faire fonctionner.

pour la prochaine version.

Bonjour,
Mes Félicitations pour votre accomplissement qui va combler un paquet de freenaute !
Avez vous testé uniquement sous Windows ? Pouvez vous aussi vous assurer d'une compatibilité sous Android ?
Merci d'avance,
Crapitule de Réa-PC

Admin

Oui compatibilité complète avec
- Windows 7/8/10 (fonctionne en auto-détection)
- IOS/OSX
- Linux
- Android en installant l'appli Strongswan (IKEv2 n'est pas supporté en natif)

Ba merveilleux, on attend plus que la MAJ :)

Le correctif à été intégré dans la MAJ 3.3.0?
Je n'arrive toujours pas à me connecter en IKEv2 sous Windows 10

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing