Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Autre
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 3.3.1
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#20057 - IkeV2: Réseau distant à 0.0.0.0/0

Bonjour,

Je viens de tester le nouveau firmware 3.3.1, en ce qui concerne IkeV2.

La bonne nouvelle c’est que maintenant, avec le client TheGreenBow, le tunnel se monte correctement en EAP. Merci pour le travail effectué.

En revanche, je constate que le serveur renvoie un réseau distant (à utiliser du coté client) à 0.0.0.0/0.
Ceci signifie que tout le trafic du poste va aller dans le tunnel, ou en d’autres termes, qu’il n’y a pas de split tunneling.

Est-ce normal ?

Je m’attendais à ce que le client reçoive le réseau local de la Freebox comme réseau distant.

Le client est configuré pour recevoir la configuration réseau automatiquement (mode Configuration Payload). Si je désactive ce mode pour spécifier moi même le paramétrage, le serveur répond que le “Traffic Selector” envoyé par le client est incorrect.

Merci,

Frederic Gloannec
TheGreenBow VPN.

Close par  Thibaut Freebox (Thibaut Freebox)
Friday 7 August, 2020 10:09:41
Raison de clôture :  Résolu

Cette tache ne dépend pas d'autre tache

Maxime Bizon (mbizon)
Tuesday 5 April, 2016 12:49:27
Je m’attendais à ce que le client reçoive le réseau local de la Freebox comme réseau distant.

le but du serveur VPN est double:
- se connecter à son réseau local
- utiliser la connexion internet de la box, par exemple si on est sur un réseau wifi ouvert auquel on ne fait pas confiance

Frederic Gloannec (TheGreenBowVPN)
Tuesday 5 April, 2016 13:07:26

Ok, merci pour votre réponse, je comprends donc que ce comportement est normal par rapport à l'implémentation qui a été faite.
Je comprends que ce mode sans split tunneling est utile dans le cas d'un réseau Wifi non sécurisé, mais ce n'est pas le cas tout le temps. Par exemple:
- je suis sur le réseau sécurisé de mon entreprise (ou chez un ami ou parent)
- je souhaite juste avoir accès au réseau local de ma Freebox chez moi
- je souhaite conserver la connectivité vers les serveurs locaux ou imprimantes de mon entreprise
- je n'ai pas besoin que le trafic internet refasse un détour par chez moi

C'est dommage qu'on ne puisse pas choisir le mode d'utilisation.
En général les serveurs VPN ont une case "Split tunneling" qui permet ou non de forcer tout le trafic client à aller ou non dans le tunnel.

Cordialement,

F.Gloannec.

Maxime Bizon (mbizon)
Tuesday 5 April, 2016 13:29:29

Sur les autres type de VPNs, je pousse les routes vers le réseau local (192.168.27.x 192.168.0.x) ainsi une route par défaut. Et en général il y a une option sur les clients pour choisir ou pas d'accepter cette route par défaut.

Avec IKE, la logique est inversée, le client propose un TS et le serveur peut le "narrow" si il veut. Est ce que votre client supporte d'envoyer autre chose que 0.0.0.0 en TSreq ? je comprends par contre que c'est chiant car il faut connaître à priori le subnet utilisé sur le lan de la box.

Frederic Gloannec (TheGreenBowVPN)
Tuesday 5 April, 2016 15:24:30

Actuellement notre client supporte les configuration en mode CP (Configuration Payload) ou sans mode CP de la manière suivante:
- en mode CP: le client propose tout le réseau et la passerelle fournit les réseaux configurés de son coté.
- en mode non CP: le client spécifie l'adresse virtuelle et le réseau distant à utiliser, et la passerelle accepte ou non (j'ai essayé ce cas mais la passerelle répond "TS Unacceptable").

Je vais regarder si pour la prochaine version on pourrait proposer quand même un réseau distant (autre que tout le réseau) quand on est en mode CP. Effectivement ça oblige le client à connaître le réseau distant a priori.

Cordialement,

F.Gloannec

Frederic Gloannec (TheGreenBowVPN)
Wednesday 6 April, 2016 14:33:15

Bonjour,

J'ai refait des tests, et effectivement si on force un réseau plus petit du coté du client, alors qu'on est en mode CP, la passerelle IkeV2 Freebox, l'accepte.
Nous proposerons donc un mode dans la prochaine version qui permet de faire cela.

Une petite case à cocher "Split tunneling" pour IkeV2 serait quand même sympa du coté de la Freebox :-)

Cordialement,

F.Gloannec.

01011920 (01011920)
Thursday 7 April, 2016 06:36:59

Bonjour,
Je n'y connait pas grand chose [je suis en VPN PPTP...], comment avez-vous fait pour que cela fonctionne :
1/ sous Windows 10 (mon adresse IP, protocole IKEv2, mode Certificat) ⇒ "Impossible de trouver un certificat qui peut être utilisé avec le protocole EAP"
2/ sous Android avec strongSwan (mon adresse IP, IKEv2 EAP, user/pass) ⇒ "Failed to etablish VPN: Verifying gateway authentification failed" avec un log... illisible.
A noter pour Frederic que pour strongSwan dans les advanced settings il y a 2 cases Split tunneling : "Block IPv4 traffic not destined for the VPN" et idem IPv6. Je ne sais pas si cette info vaut un petit coup de main en retour ??? ;-) Merci

01011920 (01011920)
Thursday 7 April, 2016 06:47:39

Désolé, mais pour le 2/ j'ai aussi et surtout essayé avec (mon adresse IP, IKEv2 Certificate) !

et lorsque je clic "Select user certificate" il me dit : "The app strongSwan VPN Client has requested a certificate. Choosing a certificate will let the app use this identity with servers now and in the future. You can install certificates from a PKCS#12 file with a .pfx or a .p12 extension located in external storage."
Et lorsque je clic "Intall" il me dit : "Aucun fichier de certificat trouvé sur le stockage USB" !

Donc je dois copier un fichier .pfx : depuis la Freebox ? sur mon device (respectivement mon PC et mon Tel) ?

Merci

Frederic Gloannec (TheGreenBowVPN)
Thursday 7 April, 2016 07:38:42

Bonjour,

Avec le client TheGreenBow, je monte le tunnel IkeV2 sans certificat utilisateur. L'authentification se fait en EAP (c'est à dire avec Login/Mot de passe).

Cordialement,

F.Gloannec.

01011920 (01011920)
Thursday 7 April, 2016 11:42:50

Ok Merci :
sous Windows 10 l'identification nom/mdp est proposée mais je ne peux pas l'enregistrer (bug W10 semble-t-il...), donc pas la lancer,
alors que sous strongSwan c'est possible mais j'ai comme indiqué ci-dessus : "authentification failed"... alors que cela passe en PPTP !

Dans le Log strongSwan tout est ok jusqu'à :
"authentification of ....freeboxos.fr with RSA... successfull",
"constraint check failed: identity 'mon adresse IP cible' required",
"seleted peer config 'android' inacceptable: constraint checking failed"
"no alternative config found"
"generating INFORMATIONAL request 2 AUTH_FAILED"
"sending packet" from 'mon IP1 tel' to 'mon IP cible'"

Voilà, si cela inspire qq'un ?

01011920 (01011920)
Friday 8 April, 2016 20:42:04

Ok Frederic : avec votre client VPN TheGreenBow cela se connecte en qq secondes depuis mon PC Win 10, donc c'est bien mon Windows 10 qui bug en VPN natif...
Merci pour la version d'évaluation de 30 jours :-)

Je ne teste pas votre version Android car elle n'est pas sur Google Play, il n'y a que votre CryptoMailer :-(

Plus qu'à patienter en PPTP que Win 10 et strongSwan s'adaptent...

01011920 (01011920)
Friday 8 April, 2016 21:29:05

Pour Maxime Bizon,
J'ai fait un test tout simple avec Win 10 paramétré en VPN Auto (nom, adresse IP, EAP, userVPN, mdpVPN) :
PPTP seul actif côté Freebox : connexion immédiate,
IKEV2 seul actif côté Freebox : tentative longue puis refus que ce soit en IPv4+IPv6, IPv4 et IPv6.
Pas d'impact non plus du type d'IPv4/v6 sur stronSwan...

Maxime Bizon (mbizon)
Monday 11 April, 2016 07:11:19

@01011920

on est d'accord que vous avez bien demandé un nom de domaine + certificat freeboxos, et que c'est ce que vous utilisez pour vous connecter ? (je vois adresse IP, donc je pense que non)

01011920 (01011920)
Monday 11 April, 2016 20:21:14

Ah ok, dans "Nom d'hôte ou adresse IP de destination" dans Win10, et "Gateway" dans strongSwan, je mettais mon @IP fixe Freebox...

J'ai bien un nom de domaine xxx.freeboxos.fr que j'utilise pour accéder à ma box à distance via https://xxx.freeboxos.fr:6550 et l'appli Freebox Compagnon sur Android.

Je vais remplacer mon adresse IP par mon nom de domaine et refaire des tests des 2 côtés... Merci

01011920 (01011920)
Monday 11 April, 2016 20:44:09

Bon côté strongSwan / Android c'est passé :-)

Profile Name : test
Gateway : xxx.freeboxos.fr
Type : IKEv2 EAP (Username/Password)
Username : celui du VPN
Password : pareil
CA certificate : [pas: Select automatically] DST Root CA X3 [pour fignoler...]
[pas: Show advanced settings]

Super !

01011920 (01011920)
Monday 11 April, 2016 21:10:35

Win10 résiste :

General= Nom d'hôte : xxx.freeboxos.fr [pas de Première connexion, car je suis déjà sur internet]
Options= Mémoriser mes informations d'identification / 30mn d'inactivité
Sécurité= IKEv2 / Mobilité 30mn / Exiger le chiffrement / EAP / PEAP / Certificat DST Root CA X3 / EAP-MSCHAP v2
Gestion de réseau= Partage= par défaut

Il y a surement un paramètre de travers, mais lequel ?!

01011920 (01011920)
Tuesday 12 April, 2016 06:20:31

Pour Frederic,

C'est normal que TheGreenBow fonctionne alors que j'ai aussi mis l'adresse IP au lieu du nom de Domaine ?

Cela veut probablement dire que je ne vérifie pas le certificat de la Freebox ?

Je regarde cela ce soir...

01011920 (01011920)
Tuesday 12 April, 2016 06:30:25

TheGreenBow fonctionne aussi avec mon nom de domaine xxx.freeboxos.fr mais je ne sais où imposer le certificat Freebox : Multiple AUTH support ? puis Importer un Certificat ?

Je poursuis avec Windows 10 natif et TheGreenBow ce soir !

Frederic Gloannec (TheGreenBowVPN)
Tuesday 12 April, 2016 06:42:35

Bonjour,

C'est normal que TheGreenBow fonctionne alors que j'ai aussi mis l'adresse IP au lieu du nom de Domaine ?

⇒ Oui, les 2 fonctionnent.

Cela veut probablement dire que je ne vérifie pas le certificat de la Freebox ?

⇒ Non, cela n'a rien à voir. Le fait de résoudre le nom de la passerelle n'a pas de lien avec le fait de vérifier le certificat Gateway.
Par défaut en mode EAP, le certificat de la passerelle n'est pas vérifié. Ce n'est qu'en mode d'authentification par certificats (utilisateur et Gateway) que le certificat est vérifié.

Cordialement,

F.Gloannec
TheGreenBow.

Maxime Bizon (mbizon)
Tuesday 12 April, 2016 10:42:13

@F.Gloannec

le mode EAP et le mode certificat ne sont pas exclusif, 'A' peut identifier 'B' par EAP, et 'B' identifier 'A' par certificat

c'est ce mode que la freebox propose, en se basant sur la PKI du certificat TLS, dont les root CA sont déja dans la majorité des clients.

Frederic Gloannec (TheGreenBowVPN)
Tuesday 12 April, 2016 14:14:40

Oui, les modes ne sont pas exclusifs.
Je parlais uniquement dans le cadre du client TheGreenBow. En mode EAP, il n'est pas possible de spécifier les certificats dans le client. Ils sont malgré tout recherchés dans le magasin de certificats de Windows.

A propos du mode "Multiple Auth", c'est encore un autre cas (non supporté par la Freebox) où il y a une double authentification du client, par un certificat et par EAP. Ce mode n'est pas à utiliser face à la Freebox.

Cordialement,

F.Gloannec.

01011920 (01011920)
Tuesday 12 April, 2016 19:36:43

Ok Merci, donc j'en reste là avec TheGreenBow (Win 10) sans la vérification du certificat "DST Root CA X3" que fait strongSwan (Android).

Neustradamus (Neustradamus)
Friday 4 January, 2019 09:05:42

Avez-vous du nouveau depuis l'ouverture du ticket ?

@Frederic Gloannec: Qu'est-ce pourrait être ajouté dans les Freebox pour améliorer les différentes possibilités de connexions à distance ?

Il a été demandé à Free de mettre à jour les vieilles version d'OpenVPN, StrongSwan, IPsec-tools, ... et d'ajouter les bonnes options...

@01011920: Tous vos tests fonctionnent ? Plus de problème avec Windows ou autres ?

01011920 (01011920)
Friday 4 January, 2019 10:21:02

Comme indiqué dans d'autres tâches je n'ai plus de soucis de connexion VPN IKEV2 sur ma FBX V6 depuis 2016, avec un PC W10 maintenu à jour, et avec un TEL Android ancien (4.1.2) avec strongSwan maintenu à jour (2.0.2 du 17-10-2018).

De mémoire il y a eu 1 ou 2 coupures de service de qq heures/jours lors de certaines mises à jour de la FBX, mais Free a fait une petite corrective derrière. Et cela fonctionne depuis presque partout, à part certains hôtels qui doivent bloquer le ou les ports utilisés...

Et je ne vois pas trop pour votre demande que "Free de mettre à jour les vieilles version ... StrongSwan" : stronSwan est bien mis à jour (voir ci-dessus) et Free reste à priori compatible (la 2.0.0 de strongSwan apportait le "Always on VPN" pour Android 7+ que je peux pas tester).

Neustradamus (Neustradamus)
Saturday 5 January, 2019 12:56:00

Mais vous avez changé d'adressage, il y a quand même un souci là, si les 2 sites ont un réseau différent...
https://dev.freebox.fr/bugs/task/20123#comment93559

Non tout n'est pas à jour sur les box (il y a des failles à corriger par-ci, par-là), dans notre cas du VPN (avec des options manquantes):
- OpenVPN 2.3.17 au lieu de 2.4.6
- StrongSwan 5.3.3 au lieu de 5.7.2
- IPsec-tools 0.8.1 au lieu de 0.8.2(2014-02-27)
- OpenSSL 1.0.2q au lieu de 1.1.1a (avec TLS 1.3)

Ticket avec tout: https://dev.freebox.fr/bugs/task/22518

01011920 (01011920)
Saturday 5 January, 2019 14:08:37

Pour mon utilisation ce n'est pas un soucis : les réseaux sur lesquels se trouvent mon PC sont par défaut en 192.168.0.xx et ma FBX sur laquelle je me connecte à distance gère la plage IP de 192.168.5.1 à 192.168.5.50

Une fois connecté en VPN je suis sur le même réseau local virtuel d'IP 192.168.x.xx (je n'utilise peut-être pas les bons termes ?).

Je regarde votre ticket pour strongSwan, mais à priori votre demande c'est du grec pour moi...

Neustradamus (Neustradamus)
Saturday 5 January, 2019 14:15:51

Si c'est bon, j'avais compris que les deux côtés avec le même réseau, ça me semblait bizarre.

Frederic Gloannec (TheGreenBowVPN)
Monday 7 January, 2019 07:36:09

Bonjour Neustradamus,

@Frederic Gloannec: Qu'est-ce pourrait être ajouté dans les Freebox pour améliorer les différentes possibilités de connexions à distance ?

Ma remarque initiale sur le split tunneling reste valide: avoir une option coté serveur qui permet de dire qu'on ne souhaite accéder qu'au sous-réseau local (pour éviter d'envoyer tout le trafic dans le tunnel quand ce n'est pas utile).

Si la question est plus générale alors un mode d'authentification de l'utilisateur par certificat (au lieu de EAP) serait bienvenu.
C'est déjà le cas pour la partie OpenVPN (et, en passant, en OpenVPN, on a aussi d'emblée juste le trafic du réseau local dans le tunnel).

Cordialement,

F.Gloannec

Neustradamus (Neustradamus)
Friday 26 April, 2019 05:16:26

Avec la sortie de la 4.0.5, avez-vous une amélioration ?

Frederic Gloannec (TheGreenBowVPN)
Tuesday 30 April, 2019 05:34:38

Bonjour,

Non, je n'ai pas vu de nouvelles options de configuration pour le serveur IkeV2.
Y avait-il quelque chose de prévu ?

Cordialement,

Frederic Gloannec
TheGreenBow VPN.

Neustradamus (Neustradamus)
Tuesday 30 April, 2019 05:48:57

@TheGreenBowVPN: Il y a des demandes de mises à jour corrigeant des failles de sécurité et améliorations :
- OpenSSL (TLS 1.3) : https://dev.freebox.fr/bugs/task/25773

- OpenVPN : https://dev.freebox.fr/bugs/task/25817

- strongSwan : https://dev.freebox.fr/bugs/task/25818

- ...

Et vu l'arrivée de l'IPv6 natif, tout fonctionne ? A noter que :
- Pas de pare-feu (firewall) pour l'IPv6 : https://dev.freebox.fr/bugs/task/4110

- Pas de reverse DNS pour l'IPv6 : https://dev.freebox.fr/bugs/task/12749

Chargement...