FS#22776 : IPV6 & VPN IPSec IKEv2 non routé correctement

État Fermée
Pourcentage achevé
100%
Type Anomalie
Catégorie Non trié
Assignée à Personne
Système d'exploitation Tous
Sévérité Basse
Priorité Très Basse
Basée sur la version 3.5.2
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par sygo72 - 28/07/2018
Dernière modification par mbizon - 20/07/2020

FS#22776 - IPV6 & VPN IPSec IKEv2 non routé correctement

Lors de l’activation de l’IPV6 sur un VPN IPSec IKEv2 fonctionnel (activation côté client OSX et serveur Freebox) plus aucun packet ne revient via le VPN.
Un simple ping part bien via le VPN (cf tcpdump en0 et ipsec0) mais aucun retour sur les deux interfaces du client.
Lorsqu’on désactive le support IPV6, les packets retournent normalement (en IPV4 évidement)

VPN IPSec avec lien IPV6 (lien KO)

Le ping vers la freebox
==

macbook-pro:~ $ ping 192.168.20.254
PING 192.168.20.254 (192.168.20.254): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3

Le tcpdump sur l’interface du VPN
==

macbook-pro:~ $ sudo tcpdump -i ipsec0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type NULL (BSD loopback), capture size 262144 bytes
11:59:05.288287 IP 192.168.27.66 > 192.168.20.254: ICMP echo request, id 47375, seq 14, length 64
11:59:05.692396 IP6 2a01:e35:8bfa:b5a8::10.54468 > fd0f:ee:b0::1.53: 62940+ AAAA? gateway.icloud.com. (36)
11:59:05.692559 IP6 2a01:e35:8bfa:b5a8::10.61402 > fd0f:ee:b0::1.53: 51189+ A? gateway.icloud.com. (36)
11:59:05.857049 IP6 2a01:e35:8bfa:b5a8::10.53020 > fd0f:ee:b0::1.53: 27261+ A? clients4.google.com. (37)
11:59:05.857251 IP6 2a01:e35:8bfa:b5a8::10.54122 > fd0f:ee:b0::1.53: 63482+ AAAA? clients4.google.com. (37)
11:59:06.292232 IP 192.168.27.66 > 192.168.20.254: ICMP echo request, id 47375, seq 15, length 64
...

Le tcpdump sur l’interface Wifi
==

macbook-pro:~ $ sudo tcpdump -i en0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
11:59:05.288287 IP6 2a01:cb1c:8176:fd00:fd6c:bd1b:d40d:2cea > 2a01:e35:8bfa:b5a0::1: ESP(spi=0x6cc5376b,seq=0x283), length 132
11:59:05.692396 IP6 2a01:cb1c:8176:fd00:fd6c:bd1b:d40d:2cea > 2a01:e35:8bfa:b5a0::1: ESP(spi=0x6cc5376b,seq=0x284), length 132
11:59:05.692559 IP6 2a01:cb1c:8176:fd00:fd6c:bd1b:d40d:2cea > 2a01:e35:8bfa:b5a0::1: ESP(spi=0x6cc5376b,seq=0x285), length 132
11:59:05.857049 IP6 2a01:cb1c:8176:fd00:fd6c:bd1b:d40d:2cea > 2a01:e35:8bfa:b5a0::1: ESP(spi=0x6cc5376b,seq=0x286), length 116
11:59:05.857251 IP6 2a01:cb1c:8176:fd00:fd6c:bd1b:d40d:2cea > 2a01:e35:8bfa:b5a0::1: ESP(spi=0x6cc5376b,seq=0x287), length 116
...

VPN IPSec SANS lien IPV6 (lien OK)

Le ping vers la freebox
==

macbook-pro:~ $ ping 192.168.20.254
PING 192.168.20.254 (192.168.20.254): 56 data bytes
64 bytes from 192.168.20.254: icmp_seq=0 ttl=64 time=33.960 ms
64 bytes from 192.168.20.254: icmp_seq=1 ttl=64 time=33.415 ms
64 bytes from 192.168.20.254: icmp_seq=2 ttl=64 time=32.949 ms
64 bytes from 192.168.20.254: icmp_seq=3 ttl=64 time=33.258 ms

Le tcpdump sur l’interface du VPN
==

macbook-pro:~ $ sudo tcpdump -i ipsec0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type NULL (BSD loopback), capture size 262144 bytes
12:18:50.676915 IP 192.168.27.66 > 192.168.20.254: ICMP echo request, id 60943, seq 3, length 64
12:18:50.710092 IP 192.168.20.254 > 192.168.27.66: ICMP echo reply, id 60943, seq 3, length 64
12:18:51.677580 IP 192.168.27.66 > 192.168.20.254: ICMP echo request, id 60943, seq 4, length 64
12:18:51.711006 IP 192.168.20.254 > 192.168.27.66: ICMP echo reply, id 60943, seq 4, length 64
12:18:52.681946 IP 192.168.27.66 > 192.168.20.254: ICMP echo request, id 60943, seq 5, length 64
12:18:52.715357 IP 192.168.20.254 > 192.168.27.66: ICMP echo reply, id 60943, seq 5, length 64
..

Le tcpdump sur l’interface Wifi
==

macbook-pro:~ $ sudo tcpdump -i en0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 262144 bytes
12:18:50.676987 IP 192.168.1.28.4500 > 88.191.171.90.4500: UDP-encap: ESP(spi=0xac740b23,seq=0x176), length 132
12:18:50.710050 IP 88.191.171.90.4500 > 192.168.1.28.4500: UDP-encap: ESP(spi=0x0f766eba,seq=0x132), length 132
12:18:51.677732 IP 192.168.1.28.4500 > 88.191.171.90.4500: UDP-encap: ESP(spi=0xac740b23,seq=0x177), length 132
12:18:51.710931 IP 88.191.171.90.4500 > 192.168.1.28.4500: UDP-encap: ESP(spi=0x0f766eba,seq=0x133), length 132
12:18:52.682044 IP 192.168.1.28.4500 > 88.191.171.90.4500: UDP-encap: ESP(spi=0xac740b23,seq=0x178), length 132
12:18:52.715281 IP 88.191.171.90.4500 > 192.168.1.28.4500: UDP-encap: ESP(spi=0x0f766eba,seq=0x134), length 132

Fermée par mbizon
20.07.2020 18:25
Raison de la fermeture : Résolu

Commentaires (5)
Tâches liées (0/0)

Neustradamus a commenté le 10.09.2018 17:11

Je valide, sans doute lié à la non mise à jour d'OpenVPN et de strongSwan, https://dev.freebox.fr/bugs/task/22144

Neustradamus a commenté le 13.12.2018 02:32

Avec la nouvelle version "4.0.1", est-ce mieux ?

Neustradamus a commenté le 26.04.2019 05:15

Avec la sortie de la 4.0.5, avez-vous une amélioration ?

Neustradamus a commenté le 03.05.2019 14:59

Des nouvelles à propos de ce ticket ?

Demande de pare-feu manquant en IPv6 : https://dev.freebox.fr/bugs/task/4110

Demande de reverse DNS en IPv6 : https://dev.freebox.fr/bugs/task/12749

16 avril 2019 à 12:57, le changement : IPv6 par défaut.
→ https://dev.freebox.fr/blog/?p=5382

"Note additionnelle:

L'IPv6 est délivré aujourd'hui sous forme de tunnel (6RD) au dessus l'IPv4 (dit natif). En raison des évolutions internes de notre réseau, le système va progressivement être inversé, et c'est désormais l'IPv6 qui sera natif, et l'IPv4 délivré sous forme de tunnel.

Pour cette raison, désactiver l'IPv6 complètement sur une Freebox revient à potentiellement diminuer les performances réseaux, donc nous enlevons la possibilité de désactiver celui-ci globalement. Cette fonction avait été introduite il y a plus de 10 ans au même moment que la fonction IPv6 de la Freebox, afin d'éviter les problèmes d'interopérabilité avec les systèmes d'exploitation de l'époque.

Notez qu'il est toujours possible de désactiver l'IPv6 sur le périphérique lui-même."

sygo72 a commenté le 28.07.2019 08:20

Bonjour
J'ai enfin pu faire des tests dans une configuration équivalente et je confirme que ca fonctionne.

VPN IPSec sur lien IPV6 des deux côtés
Ping IPV6 et IPV4 vers le réseau du côté du serveur VPN via le lien VPN IPV6 =⇒ OK
Ping vers internet IPV6 et IPV5 en passant via la lien VPN IPV6 =⇒ OK

Pour moi c'est réglé merci +++

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche