Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Critique
  • Priorité Normale
  • Basée sur la version 4.2.3
  • Due pour la version Non décidé
  • Date d'échéance Non décidé

FS#31808 - Problème VPN IPSEC Freebox Révolution depuis mise a jour du 13/07/2020

Bonjour,

Je n’arrive plus a me connecter en IPSEC depuis mes téléphones Android (Andoid 9).
Par contre cela fonctionne bien en PPTP.
J’ai fais les tests sur plusieurs téléphones Android avec des comptes différents et sur des réseaux différents.
J’ai le même comportement.
J’ai même changer le nom de domaine xxxx.freeboxos.fr pour vérifier qu’il n’y ai pas un pb avec le certificat.
J’ai également le même comportement.

Je rencontre ce problème depuis la mise a jour suivante :
Mise à jour du Freebox Server (Révolution/mini/One/Delta/Pop) 4.2.0 du 13 juillet 2020.

La mise à jour apporte les changements suivants :

Amélioration
La stabilité et les performances du WiFi N (2.4Ghz) ont été grandement amélioré. Pensez à vérifier que le mode 802.11n et la protection WPA2/AES sont activés pour obtenir les meilleures performances.
La protection WPA3 est disponible pour le WiFi. Le mode proposé est appelé « transition » car il
permet l’usage simultané sur WPA2 et du WPA3, au choix de l’appareil qui se connecte
Un QRcode permettant de se connecter au réseau WiFi est maintenant disponible sur l’afficheur des Freebox Révolution/Mini4k/One
Le contrôle parental a été entièrement repensé et remplacé par un système de profils plus intuitif, la migration est automatique (les profils sont crées à partir de la configuration précédente). Une mise à jour de l’application Freebox est nécessaire pour continuer d’utiliser la fonction. Elle est disponible immédiatement. L’application Freebox Connect qui sortira ce jeudi améliorera encore l’expérience utilisateur sur cette fonction.
Amélioration des performances du WiFi AC (5Ghz) pour les Freebox Révolution & Mini4k qui en sont équipées.
Amélioration des performances du serveur VPN IKEv2

log de connexion VPN :
Aug 11 10:48:18 00[DMN] +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Aug 11 10:48:18 00[DMN] Starting IKE service (strongSwan 5.8.4, Android 10 - QKQ1.191008.001.WW_user_100.10.107.92_20200715 release-keys/2020-07-05, ASUS_Z01RD - asus/WW_Z01RD/asus, Linux 4.9.186-perf+, aarch64)
Aug 11 10:48:18 00[LIB] loaded plugins: androidbridge charon android-log openssl fips-prf random nonce pubkey chapoly curve25519 pkcs1 pkcs8 pem xcbc hmac socket-default revocation eap-identity eap-mschapv2 eap-md5 eap-gtc eap-tls x509
Aug 11 10:48:18 00[JOB] spawning 16 worker threads
Aug 11 10:48:18 00[LIB] all OCSP validation disabled
Aug 11 10:48:18 00[LIB] all CRL validation disabled
Aug 11 10:48:18 07[IKE] initiating IKE_SA android[2] to XX.XX.XX.XX (IPPUBLIQUE)
Aug 11 10:48:18 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Aug 11 10:48:18 07[NET] sending packet: from 10.41.196.65[47681] to XX.XX.XX.XX (IPPUBLIQUE)[500] (716 bytes)
Aug 11 10:48:19 08[NET] received packet: from XX.XX.XX.XX (IPPUBLIQUE)[500] to 10.41.196.65[47681] (280 bytes)
Aug 11 10:48:19 08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Aug 11 10:48:19 08[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Aug 11 10:48:19 08[IKE] local host is behind NAT, sending keep alives
Aug 11 10:48:19 08[IKE] remote host is behind NAT
Aug 11 10:48:19 08[IKE] establishing CHILD_SA android{2}
Aug 11 10:48:19 08[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CPRQ(ADDR ADDR6 DNS DNS6) N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Aug 11 10:48:19 08[NET] sending packet: from 10.41.196.65[37145] to XX.XX.XX.XX (IPPUBLIQUE)[4500] (432 bytes)
Aug 11 10:48:19 10[NET] received packet: from XX.XX.XX.XX (IPPUBLIQUE)[4500] to 10.41.196.65[37145] (80 bytes)
Aug 11 10:48:19 10[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 11 10:48:19 10[IKE] received AUTHENTICATION_FAILED notify error

Cette tache ne dépend pas d'autre tache

Juan Rodriguez Hervella (yonailo)
Tuesday 11 August, 2020 12:32:20

J'arrive pas à me connecter au serveur IPSec de mon entreprise, alors qu'avant ça marchait bien.

J'ai fait le test de partager la connexion de mon téléphone et quand on ne passe pas par la FreeBox ça marche, alors c'est indéniablement un souci chez vous ou à niveau de l'adresse IP qui m'a été attribuée.

C'est un peu embêtant surtout en cette période où le télétravail est fortement encouragé pour empêcher une reprise du CODIV.

Moi je mettrais ce ticket en priorité urgente.

Neustradamus (Neustradamus_)
Tuesday 11 August, 2020 13:46:53

@mbizon: Est-ce possible de regarder ?

Par ailleurs, il y a strongSwan 5.9.0 qui est sorti afin de remplacer 5.8.4.
- https://dev.freebox.fr/bugs/task/25818

Avez-vous enfin supprimé ipsec-tools qui n'était pas à jour et qui est obsolète et qui a été remplacé par strongSwan ?
- https://dev.freebox.fr/bugs/task/31146

Joao GOUVEIA (Tugais79)
Friday 14 August, 2020 03:53:43

Bonjour,
Comment est ce que je peux faire pour changer la priorité de la tâche ?

01011920 (01011920)
Friday 21 August, 2020 23:09:47

La sécurité de Strongswan s'est durcie côté FBX... peut-être essayer avec l'appli Strongswan côté téléphone ?

J'ai un vieil Android 4.1.2 avec Stronswan à jour en 2.3.0 du 02-06-2020 qui connecte très bien en VPN sur ma FBX V6 en 4.2.3, tout comme mon PC Windows 10 à jour... depuis la manip décrite ici : https://dev.freebox.fr/bugs/task/31126

Ou le SSL comme indiqué par mbizon ?

Chargement...