- Status Closed
- Percent Complete
- Task Type Anomalie
- Category Services locaux → Serveur VPN
-
Assigned To
mbizon - Operating System Tous
- Severity Medium
- Priority Very Low
- Reported Version 3.2.0
- Due in Version Undecided
-
Due Date
Undecided
-
Votes
1
- 01011920 (08/04/2016)
- Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by kallagan - 11/01/2016
Last edited by rfliedel - 05/04/2016
Opened by kallagan - 11/01/2016
Last edited by rfliedel - 05/04/2016
FS#19461 - Impossible de se connecter en IKEv2
testé avec le client natif Windows 7
testé avec un client tiers (theGreenbow)
pas testé sous Android (vu les tests sous Windows, ça donne pas envie d’essayer :( )
si vous avez un tuto, je suis preneur.
Le client Windows 7 ne permet pas de saisir les local et remote ID
Le client theGreenbow reçoit tjrs une erreur de payload pour mauvaise PSK
conf testée :
PSK : le mdp de l’utilisateur
Crypto : tout auto
Local ID : FQDN : le login de l’utilisateur
Remote ID : FQDN : fbxvpn_psk
Closed by rfliedel
05.04.2016 09:32
Reason for closing: Evolution intégrée
Additional comments about closing:
05.04.2016 09:32
Reason for closing: Evolution intégrée
Additional comments about closing:
En 3.3.1
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Bonjour,
J'ai essayé également de connecter le client TheGreenBow au serveur IkeV2 de la Freebox sans succès.
Le premier échange (IKE_SA_INIT) est Ok, mais le 2ème échange (IKE_AUTH) échoue, la Freebox renvoyant AUTHENTICATION_FAILED.
Comme indiqué, j'ai aussi utilisé le mot de passe de l'utilisateur comme PSK, et le nom de l'utilisateur comme local id (coté client). Ces informations (nom de l'utilisateur et mot de passe) marchent correctement pour monter un tunnel OpenVPN (j'ai supposé qu'on pouvait se servir des mêmes informations utilisateur, et pour cet utilisateur, le paramètre "IP Fixe" est sur "IP Dynamique", au cas où cela ait son importance)
J'ai essayé plusieurs types d'ID sans succès.
C'est dommage qu'on n'ait pas accès aux logs du serveur VPN sur la Freebox, ça permettrait d'en savoir plus et éventuellement de corriger la configuration coté client.
Quel est le type d'Id attendu par le serveur IkeV2 de la Freebox ?
(si possible le nom exact du type, comme décrit ici: http://www.iana.org/assignments/ikev2-parameters/ikev2-parameters.xhtml#ikev2-parameters-10 )
D'autres remarques:
- l'aide sur la page "Serveur VPN" n'a pas été mise à jour avec les informations IkeV2
- pourquoi le type d'authentification indiqué est "Aucun" dans la page de configuration IkeV2, ça devrait être "PSK", non ?
Merci,
Frederic Gloannec
TheGreenBow VPN.
le mode PSK n'est pas supporté par Windows 7
le mode certificat arrive bientôt et solutionnera le probleme.
@Frederic
ID_FQDN (je sais que c'est pas bien, mais c'est ce qu'envoie le client Mac)
parce que c'est présenté de cette façon sur IOS
mais comme dit plus haut, c'était plus un POC en attendant le mode certificat qui n'aura pas besoin de tous ces kludges et fera de l'EAP
Ok, merci pour votre réponse.
Je vais attendre le mode certificat alors.
S'agira t-il d'un mode ou le client va s'authentifier avec son certificat, puis en EAP (dans cet ordre) ?
Ou est-ce que le client utilisera juste EAP (et la partie certificat sert alors uniquement dans l'autre sens: la Freebox enverra son certificat pour que le client puisse l'authentifier) ?
Frederic Gloannec
TheGreenBow VPN.
Le certificat sera pour authentifier la Freebox, le client en EAP.
Ok, merci.
Bonjour, J'attend aussi cette MAJ.
je retire ce que j'ai dit, j'ai un problème :)
Vous qui avez de l'expérience en interop VPN, est ce qu'il y aurait une limitation connue des Windows 7/8/10 si la gateway ipsec est en IPv6 ?
car d'après mes tests, Windows ne veut pas de mes paquets IPSEC encapsulés dans de l'UDP over v6, il envoie tout sans encapsulation également, même si je lui fais croire qu'il est derrière un NAT.
c'est embêtant car l'implem de l'ipsec sur la box est 100% userspace et nécessite forcément de l'UDP
Bonjour,
Je ne sais pas dire pour Windows, c'est bien possible qu'il y ait cette limitation.
Notre client VPN aussi a cette limitation pour l'instant.
Cordialement,
F.Gloannec.
ok j'ai réussi à le faire fonctionner.
pour la prochaine version.
Bonjour,
Mes Félicitations pour votre accomplissement qui va combler un paquet de freenaute !
Avez vous testé uniquement sous Windows ? Pouvez vous aussi vous assurer d'une compatibilité sous Android ?
Merci d'avance,
Crapitule de Réa-PC
Oui compatibilité complète avec
- Windows 7/8/10 (fonctionne en auto-détection)
- IOS/OSX
- Linux
- Android en installant l'appli Strongswan (IKEv2 n'est pas supporté en natif)
Ba merveilleux, on attend plus que la MAJ :)
Le correctif à été intégré dans la MAJ 3.3.0?
Je n'arrive toujours pas à me connecter en IKEv2 sous Windows 10