Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Autre
  • Catégorie Services locaux
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Basse
  • Priorité Très Basse
  • Basée sur la version 4.4.0
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 8
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par mmakassikis - 03/08/2021
Dernière modification par mmakassikis - 22/09/2021

FS#35342 - Bêta VPN WireGuard

UPDATE 22/09 11h30
Comme indiqué sur le blog le firmware 4.5.0 est disponible sur le canal release.
Merci à tous pour votre participation à la bêta.

UPDATE 09/09 14h30
Le firmware 4.5.0-wg3 a été poussé sur le canal bêta. Pour l’installer, il faut redémarrer vos box.
Changements depuis le firmware précédent:
- correction d’un bug impactant le pack sécurité
- configuration par défaut du MTU lors de la configuration du client VPN

UPDATE 07/09 12h20
Le firmware 4.5.0-wg2 a été poussé sur le canal bêta. Pour l’installer, il faut redémarrer vos box.
Changements depuis le firmware précédent:
- permettre la configuration du MTU (serveur & client)
- changement du MTU par défaut (devrait corriger certains problèmes pour des clients se connectant depuis un réseau cellulaire)
- configuration du client VPN depuis un fichier de configuration
- support d’IPv6 au niveau du client VPN (adresse du serveur distant et adresse au sein du tunnel)
- correction du bug sur certains navigateurs mobiles qui changeait l’extension lors du téléchargement de la conf ( .conf ⇒ .txt)

UPDATE 04/08 14h35
Les inscriptions sont closes.

Vous pouvez redémarrer vos box pour passer sur le firmware bêta.

Bonjour,

Nous allons lancer une bêta du support de WireGuard sur la Freebox. Sont concernées, à la fois la partie serveur et la partie client (pour l’application Téléchargements).

Si vous souhaitez participer, je vous invite à indiquer en commentaire l’adresse MAC de votre box serveur, ou de la saisir dans le formulaire.

La bêta est ouverte pour les Freebox Server: Revolution, Mini 4K, Delta, Pop.

Merci

Fermée par  mmakassikis
22.09.2021 06:53
Raison de la fermeture :  Evolution intégrée
Commentaires de fermeture :  

firmware 4.5.0

F4:CA:E5:41:BF:7E

esver a commenté le 03.08.2021 09:36

70:FC:8F:3F:20:CE
patriam a commenté le 03.08.2021 09:48

DC:00:B0:3B:40:2C

F4:CA:E5:4C:EA:D3
(test de la partie serveur, je n'utilise pas le gestionnaire de téléchargement)

Minzord a commenté le 03.08.2021 17:30

F4:CA:E5:47:68:98

F4:CA:E5:4C:EA:D3
(test de la partie serveur, je n'utilise pas le gestionnaire de téléchargement)

David83 a commenté le 04.08.2021 07:58

34:27:92:62:01:4E

Bonne nouvelle !
14:0C:76:6A:65:B3

34:27:92:61:1A:3E

Xenthys a commenté le 04.08.2021 08:46

8C:97:EA:31:A1:3A

Est-ce qu'on sait si ça tourne en kernel mode ou si c'est l'implémentation userspace qui est utilisée derrière s'il vous plaît ?

Admin

@Dylan Ysmal
Il s'agit du driver kernel.

Xenthys a commenté le 04.08.2021 08:49

Ah parfait, merci pour la réponse éclair !

kalon33 a commenté le 04.08.2021 08:50

DC:00:B0:3A:32:EE

Merci d'avance.

daftaupe a commenté le 04.08.2021 08:58

Bonjour,

excellente nouvelle et content de voir que la Révolution est toujours dans la course.

14:0C:76:79:09:31

Merci à vous.

dino66 a commenté le 04.08.2021 09:00

Bonjour,
Voici : 14:0C:76:A4:FE:59
Merci

Eric26 a commenté le 04.08.2021 09:09

Bonne nouvelle en effet,
Voici l'adresse : E4:9E:12:07:BB:9C
Merci.

robin74 a commenté le 04.08.2021 09:23

68:A3:78:61:71:E7
Merci

Bob50 a commenté le 04.08.2021 09:26

70:FC:8F:68:7B:C8

(test de la partie serveur, je n’utilise pas le gestionnaire de téléchargement)

leyeti01 a commenté le 04.08.2021 09:55

E4:9E:12:0D:D2:E8

dt99 a commenté le 04.08.2021 10:30

34:27:92:61:FB:80

Merci

crapulas a commenté le 04.08.2021 10:31

34:27:92:60:9B:20

docmarc a commenté le 04.08.2021 10:32

ça peut attendre une semaine ? avant de clore les inscriptions ?

Bonjour,
34:27:92:62:28:24

Merci d'avance ! :-)

70:FC:8F:6A:29:DC

mixou49 a commenté le 04.08.2021 10:35

20:66:CF:18:61:E8

merci pour vos éfforts

iphone67 a commenté le 04.08.2021 10:37

34:27:92:60:07:4E

Merci beaucoup

Ponord59 a commenté le 04.08.2021 10:39

70:FC:8F:51:6D:70
Merci

34:27:92:65:7A:FC
Merci

fystrack a commenté le 04.08.2021 10:51

Bonjour

70:FC:8F:50:BF:08

Cordialement

Dchris83 a commenté le 04.08.2021 10:54

Bonjour,
14:0C:76:93:4B:87
Merci

benoit77 a commenté le 04.08.2021 11:01

Bonjour

34:27:92:62:2B:6C

Merci

pilotin a commenté le 04.08.2021 11:10

Bonjour

34:27:92:60:2D:38

Cordialement

Chrispo a commenté le 04.08.2021 11:13

Bonjour
34:27:92:60:5C:46
Merci

JoBar a commenté le 04.08.2021 11:19

Bonjour à tous,

Je suis dispo pour participer, merci.

Voici mon @Mac: 34:27:92:62:2E:88

Jobar.

greb74 a commenté le 04.08.2021 11:20

Bonjour 34:27:92:61:87:C6 Merci

Bonjour,
Est-ce que contrairement aux autres protocoles, cela va permettre de faire de la connexion site-à-site avec visibilité des machines des LAN interconnectés? (même le grand public a parfois besoin de ce genre de tunnel VPN)

34:27:92:66:0B:2E

Merci

20:66:CF:18:B7:96 Merci

idefix84 a commenté le 04.08.2021 11:44

20:66:CF:15:58:BC
Merci.

Bonjour
34:27:92:60:99:74
merci

Bonjour
34:27:92:61:66:C2

Merci.

Bonjour, Freebox révolution (r1) : F4:CA:E5:41:79:41

aaribaud a commenté le 04.08.2021 12:27

Bonjour, 00:24:D4:AC:22:22

stratic a commenté le 04.08.2021 12:31

34:27:92:61:AE:60 (Delta)

Beaucoup d'attentes sur ce point, mais pas pour les téléchargements ou le visionnage de contenu.

Klim94 a commenté le 04.08.2021 12:35

Bonjour, si béta toujours ouverte, F4:CA:E5:53:EA:AE. Merci

JoBar a commenté le 04.08.2021 12:37

Salut @mickeul16,

C'est surtout un VPN très leger, il est composé de 1000 lignes environ.
Et son gros atout est le peu de perte de bande passante une fois connecté. Donc un debit plus important

Pour la visibilité des autres machines du lan, ce n'est pas lié au type de VPN.
Cela, n'empêche pas qu'elles ne sont pas visibles, mais elles restent accessibles via leurs IP ou DNS si à jour.
Cela s'explique par le fait que le Lan de la box est différent de celui du VPN. Comme le NETBIOS n'est pas routé, le broadcast entre les Lan ne se fait pas et donc pas de découverte.

A par ça, ça marche nickel.

JoBar.

RevMoe a commenté le 04.08.2021 12:40

34:27:92:66:23:1E

Bonjour,
pour inscription à la béta.
34:27:92:60:0F:2E

Admin

@mickeul16 Le support WireGuard est en complément des autres technos de VPN, et suit donc le même modèle: le client peut accéder aux machines du LAN et à Internet.
Par conséquent, le scénario site-to-site n'est pas possible aujourd'hui.

@JoBar Dans le scénario site-to-site, l'objectif est d'interconnecter deux LAN, plutôt qu'un équipement avec un LAN (tel que c'est fait aujourd'hui sur la freebox). Cela nécessite l'ajout de routes aux deux extrémités du tunnel pour que les équipements qui se trouvent derrière puissent se parler.

Onitashi a commenté le 04.08.2021 13:09

70:FC:8F:68:8F:9A

JoBar a commenté le 04.08.2021 13:12

Bonjour @mmakassikis,

Tout à fait d'accord, je voulais juste d'expliquer le contexte, mais apparemment je n'ai pas été très bon.

Jobar.

daftaupe a commenté le 04.08.2021 13:17

@mmakassikis j'ai bien mis à jour le firmware, mais visiblement niveau client, impossible de configurer une ipv4 et une ipv6 à la fois, c'est voulu ? Si je tente une ipv6 dans le champ, il reste rouge.

Avec une ipv4, la connexion est bien établie en tout cas.

esver a commenté le 04.08.2021 13:21

Configuration et connexion réussi de mon tel android avec l'appli WireGuard (par le QR code), par contre je n'ai qu'une IPv4 et pas d'IPv6 (et donc pas accès aux serveurs en IPv6 only)
Est ce que l'IPv6 sera gérée dans la version finale ?

Gtotof a commenté le 04.08.2021 13:24

Hi
34:27:92:64:D1:6E

Dchris83 a commenté le 04.08.2021 13:41

@esver Configuration et connexion réussi de mon tél Android avec l'appli WireGuard également par avec le QR code. Par contre j'ai d'abord essayer avec le fichier à télécharger. Le fichier est un .txt. Le ".txt" est a supprimer pour faire un .conf. mais le fichier présente un problème pour l'appli WireGuard.

zeltragh a commenté le 04.08.2021 13:50

34:27:92:61:F4:5E

greg-fr a commenté le 04.08.2021 13:51

Bonjour,

70:FC:8F:69:29:A0

Merci beaucoup !

esver a commenté le 04.08.2021 13:53

@Dchris83 Le fichier est bien un .conf depuis un PC chez moi et ça semble marcher sur ma ubuntu, mais il faut que je fasse des connexions à partir d'autres réseaux.

Pour le fichier sous android ça marche avec l'application en le renommant, j'ai par exemple le fichier config_wireguard_esverwgpixel.txt et je le renomme en esverwgpixel.conf

@mmakassikis Petite remarque avec la page qui affiche les connexions actives
Dans "Etat" le " nombre de clients actifs " ne s'actualise pas aussi vite que par exemple pour "OpenVPN Routé".
Quand plus connecté ca reste a 1 quelques minutes et c'est comme dans la page "Connexions"
Avec le "OpenVPN Routé" ca repasse a 0 au bout de quelques secondes
-
Connexion OK depuis 1 Mac et un iPhone / QRcode OK / Exportation & Importation des fichiers de conf OK

greg-fr a commenté le 04.08.2021 14:05

@mmakassikis Hello, pourriez-vous me rajouter dans la boucle svp ? Je viens de voir le message UPDATE de clôture des inscriptions à l'instant. J'ai loupé le coche à 25min près (cf. message précédent).

Ponord59 a commenté le 04.08.2021 14:11

Connexion depuis iPhone OK avec importation du fichier de conf via QR Code.
Bug : 3min après avoir déconnecté le VPN j'apparais toujours dans la liste des utilisateurs avec un nombre de client actif=1.

Est-il envisageable d'avoir accès à tout le LAN et pas que l'IP de la freebox ?

Admin

@pierre-Alain TORET (daftaupe)
L'interface FreeboxOS valide que les différents champs nécessitant une IP contiennent une IPv4, donc c'est normal que cela reste rouge.

@Olivier Esver (esver)
Le support du trafic IPv6 dans le tunnel sera faite dans une second temps normalement.

@david (Dchris83)
Pouvez-vous préciser quel OS / navigateur ?
Je viens de retester sous Linux / Windows avec Firefox / Chrome / Edge et le fichier téléchargé a bien l'extension .conf.

Par ailleurs, il est curieux que le fichier pose problème: la configuration est générée, puis elle est soit envoyée au navigateur pour que l'utilisateur l'enregistre, soit encodée en QR pour affichage.

@Philippe (Philou_Delta)
Le comportement que vous voyez est normal.
Avec OpenVPN, le client signale explicitement sa déconnexion au serveur: ce dernier peut réagir immédiatement.
Avec WireGuard, les tunnels sont stateless. Autrement dit, le serveur s'aperçoit que le client n'est plus connecté parce il n'y a plus de trafic échangé. C'est semblable au cas où un client OpenVPN perd sa connectivité et le serveur s'en aperçoit car les keepalives ne passent plus.

@pierre (Ponord59)
Même explication que ci-dessus pour le client toujours présent sur la page 'Connexions'

Est-il envisageable d'avoir accès à tout le LAN et pas que l'IP de la freebox ?

C'est déjà le cas normalement. Comment accédez-vous aux autres équipements ?
Un client connecté en VPN se trouve dans un sous-réseau différent. Par conséquent la plupart des protocoles de découverte locale ne sont d'aucune aide.

Ponord59 a commenté le 04.08.2021 14:47

@marios avec le VPN WireGuard via iPhone j'accède à la freebox en 192.168.0.254 mais pas au NAS ou un autre équipement en 192.168.0.**

Bonjour,
La configuration depuis Freebox OS puis export sur iPhone est OK (via fichier de config - qui est bien un .config chez moi - et via QR code).
J'arrive à me connecter sans problèmes.
Merci !

JoBar a commenté le 04.08.2021 14:54

Pour info,

- créer les profils ⇒ aucun problème
- recuperation du profile en download ⇒ aucun problème
- recuperation du profile en QR ⇒ aucun problème.
- Connexion avec Windows (testé avec la version portable) ⇒ aucun problème
- Connexion avec un mobile Android ⇒ aucun problème
- connexion de 2 profils en simultané ⇒ aucun problème.
- lecture du vidéo au travers du VPN ⇒ aucun problème.
- accès aux machines du Lan, dont VM du Server ⇒ aucun problème.
- accès aux machines connectées au VPN ⇒ aucun problème.

Rien à dire de plus pour l'instant, je continu.

Jobar.

Admin

@pierre (Ponord59)
Est-ce qu'il y a des règles de filtrage sur le NAS lui-même, qui bloquerais un client qui n'a pas une adresse IP source en 192.168.0.x ?
Arrivez-vous à vous y connectez en passant par OpenVPN routé ?

Ponord59 a commenté le 04.08.2021 15:16

@Marios résolu, j'avais oublié la règle du parefeu pour l'IP qu'on a avec le VPN

JoBar a commenté le 04.08.2021 15:34

Pour info,

Dans la conf récupérer, il y a la route par défaut (0.0.0.0/0).
Pourra-t-on avoir la possibilité de l'activé ou pas par compte ?

Le fichier de config est facile a modifié à la main, mais, cela pourrait être un plus pour certaines config comme les mobiles par exemple (bien ça depends du besoin de chacun).

Sinon, aucun PB a signaler.
Jobar.

Dchris83 a commenté le 04.08.2021 15:55

@mmakassikis J'ai récupéré le fichier de config sur Chrome / Android. Et je confirme qu'il rajouté bien .txt après .conf ce qui donne un fichier xxxx.conf.txt

Admin

@JoBar La route par défaut est dans la configuration afin de rester cohérent avec les autres technos de VPN qui sont proposées. Il y a bien entendu des différences entre chaque techno, mais dans tous les cas elles permettent:
- d'accéder à Internet en passant par la box
- d'accéder au LAN

Je comprends le besoin et c'est exactement pour cette raison que les sous-réseaux du LAN figurent de manière explicite dans le fichier de config généré: cela évite de les saisir à la main si l'on ne souhaite pas router tout le trafic par le tunnel. En l'état il suffit de supprimer 0.0.0.0/0.

Je ne sais pas si l'usage est suffisament courant pour justifier l'ajout de l'option, qui devrait aussi affecter OpenVPN/PPTP/IPsec afin de rester cohérent.

@david (Dchris83)
Merci. Je n'avais effectivement pas testé le téléchargement du fichier de config sur un navigateur mobile.

Dchris83 a commenté le 04.08.2021 16:39

@mmakassikis J'ai récupéré le fichier de config sur Chrome / Android. Et je confirme qu'il rajouté bien .txt après .conf ce qui donne un fichier xxxx.conf.txt

neuyann a commenté le 04.08.2021 16:40

70:FC:8F:A0:2C:6B

RevMoe a commenté le 04.08.2021 16:50

34:27:92:66:23:1E

Dchris83 a commenté le 04.08.2021 16:53

@mmakassikis Même chose a partir de Firefox Android. Par contre la j'ai un fichier xxx.txt et non xxx.conf.txt comme sur Chrome.

Pipouct a commenté le 04.08.2021 16:58

68:A3:78:73:A6:6F
Pour participer à la beta…

Mathos a commenté le 04.08.2021 17:09

Bonjour, voici ma MAC : 34:27:92:62:47:BC

iphone67 a commenté le 04.08.2021 17:19

Installation du profil via WireGuard, sans problème.
Installation via le code barre, sans problème
Lors d.une connexion avec identifiants, comme amazon, lenteur de la l’identification. Voir plantage, page blanche.

En tout cas merci

Admin

@iphone67 Pouvez-vous confirmer qu'il n'y a pas de problèmes sans connexion VPN ?
Ensuite, est-ce que la config a été chargée sur un seul équipement ?

WireGuard gère de façon native le roaming entre réseaux. Le problème est que si vous avez chargé la même configuration sur deux équipements, et que le client wireguard est lancé sur les deux, le serveur va croire qu'il s'agit du même client qui s'est déplacé et a donc une nouvelle IP. Le trafic associé à l'équipement A va être envoyé à l'équipement B.

Ponord59 a commenté le 04.08.2021 18:00

Les inscriptions sont closes arrêtez de mettre vos MAC Address

dt99 a commenté le 04.08.2021 19:23

depuis la derniere version le gestionnaire de torrent et telechargement direct ne fonctionne plus avec cette version beta non plus

ok depuis un tel Android
ok depuis un pc Windows
Par contre j'ai pour l'instant du mal en changeant le DNS pour un DNS sur un macvlan docker de mon NAS (le DNS n'est pas accessible)

fystrack a commenté le 04.08.2021 20:38

Bonjour

On ne peux plus créer d user si on supprime un user actif.

Pour résumer j avais couper le vpn sur mon téléphone android. J ai donc cliquer sur supprimer l user j ai eut le droit a un message d erreur. Celui a bien disparu de la liste. Mais il été en faite toujours présent dans les user connectés. Je ferme sa session. Et par la suite quand j ai voulu recréer un user , le pop up n apparaissait pas.Mais une ligne user sans nom appairait. On ne pouvait pas l édit mais juste la supprimer. Après reboot de la box par contre, le pop up apparait bien pour refaire un utilsateur.

Après j ai bien accès a mes services avec leur ip local, comme nas , freebox , cam et mon serveur vm

Cordialement

Bonsoir.
De mon côté, j'ai pu télécharger le fichier de configuration et l'utiliser (après renommage et suppression du .txt) sur l'application Wireguard sur Android.
Cela dit, depuis une connexion 5G Free Mobile, je note un DL catastrophique lorsque le tunnel est actif (on passe de 100+ Mbps sans tunnel à 1-3 Mbps environ).
RAS par contre sur l'UL, qui reste cohérent (20-30 Mbps).
Je vais creuser la question, et essayer de voir si c'est lié à l'application utilisée (sur le même mobile, pas ce type de souci, dans les mêmes conditions, sur OpenVPN, routé ou bridgé).

Tests effectués sur Ookla speedtest et sur nPerf (serveur Free).

Même souci avec l'app VPN Client Pro.

JoBar a commenté le 05.08.2021 03:31

Salut à tous,

Désolé pour le post identique, le rafraichissement fait toujours ça, et je me suis fait avoir !

Pour les personnes qui ont le problème de l'extension .txt, il n'existera pas une association de fichier .conf avec le bloc-notes par exemples ?
J'ai tenté plusieurs téléchargements, je n'ai jamais le .txt, à mon avis le PB est local a la machine qui récupère le fichier de config et pas au format mime declarer dans le serveur.

Perso, j'utilise Edge (chromium).

Jobar.

mon adresse mac serveur 34:27:92:67:87:D6

Admin

@Didier (dt99)
Est-ce que le gestionnaire de téléchargements fonctionne sans VPN activé ?

@vvuillaume Est-ce que votre serveur DNS est adressé dans votre réseau local ? Y a-t-il des règles de filtrages du trafic entrant sur le NAS ?

dt99 a commenté le 05.08.2021 06:47

@Marios Je n'ai pas de vpn,
le gestionnaire de telechargement ne fonctionne pas ( idem avec la derniere version officielle) , il met impossible de s'annoncer sur le tracker, ou connexion refusé .

JoBar a commenté le 05.08.2021 07:00

Salut @dt99,

Ton problème viens peut être de site blacklisté,
Essais avec un torrent officiel par exemple :
https://cdimage.debian.org/debian-cd/current/amd64/bt-cd/

Jobar.

dino66 a commenté le 05.08.2021 07:22

Bonjour, est ce normal que l'application Android Freebox compagnon 4.4 crashe quand on entre dans la configuration serveur vpn ?
(Sur a40 dernier os Android 11)

easypeasy, sans reboot de la box, activation wireguard, création d'un nouvel utilisateur, appli sur android, scan du QRCode et go. Bravo

Bonjour

Voila la mac : 70:FC:8F:6B:75:CA

Merci

Freuk a commenté le 05.08.2021 07:42

Bonjour,
le formulaire ne fonctionne pas , plus
voici donc ma mac 34:27:92:67:94:18
Merci

dt99 a commenté le 05.08.2021 08:04

mon site de torrent n'est pas blacklisté ca marchait dimanche (YGGTORRENT ), je suis en dns cloudfare en ipv4 et v6…

JoBar a commenté le 05.08.2021 08:12

Salut @dt99,

Es-tu sur que ton client torrent (celui de la box) utilise les DNS de cloudfare?

Le DNS de proxad/free, pour ygg repond 127.0.0.1.

à ta place, je ferais le test.

Jobar.

dt99 a commenté le 05.08.2021 08:21

@JoBar Merci de ta reponse , je n'ai rien changé depuis dimanche ou tout fonctionnait bien. j'ai exactement le meme probleme quand je lance un telechargement direct sur le site web de ma box de partage de fichier.

Admin

@Breizh (breizh2944)
Est-ce que vous utilisez OpenVPN en mode TCP ? Si oui, pouvez-vous faire le test en mode UDP ?

@Didier (dt99)
La connexion est refusée car le DNS renvoie 127.0.0.1. Vérifiez vos paramètres DNS.
Un test avec un torrent comme celui suggéré par JoBar permettrait également de confirmer si c'est un problème de l'application ou d'un tracker en particulier.

@RMA66 L'API pour l'ajout d'un utilisateur a changée, donc il est normal que la requête renvoie un message d'erreur. S'agit-il d'un crash ou d'une réponse invalide ?

dt99 a commenté le 05.08.2021 09:00

@marios , je viens d'essayer en supprimant le dns cloud fare (ipv4 et v6)
avec le torrent de jobar ca marche
le torrent yggtorrent ne fonctionne pas
le telechargement direct de freeboxos ne passe pas.https://dt1.freeboxos.fr:32000/share/-OFKZbXa5zQY2MBs/IDM%206.38%20Build%2016.zip

en plus la blocklist pair est impossible à vider

dino66 a commenté le 05.08.2021 09:08

Tests accès FBX as VPN SERVER


Après config Serveur WG depuis IHM WEB
(puisque cf. commentaire précédent » config server VPN impossible depuis Freebox Compagnon),
- Connexion OK depuis Samsung A40 Android 11 et WG (com.wireguard.android) 1.0 20210506.
- En revanche je n'arrive pas à utiliser depuis Linux MX avec wireguard 1.0.20210223-1 :
L'interface monte :

@mx21:~$ sudo wg-quick up WG-RAY
[#] ip link add WG-RAY type wireguard
[#] wg setconf WG-RAY /dev/fd/63
[#] ip -4 address add 192.168.27.90/32 dev WG-RAY
[#] ip link set mtu 1420 up dev WG-RAY
[#] resolvconf -a tun.WG-RAY -m 0 -x
[#] ip -4 route add 192.168.27.64/27 dev WG-RAY
[#] ip -4 route add 192.168.90.0/24 dev WG-RAY
[#] wg set WG-RAY fwmark 51820
[#] ip -4 route add 0.0.0.0/0 dev WG-RAY table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] nft -f /dev/fd/63

Mais visblement le DNS indiqué est 212.27.38.253, mais la route par défaut n'est pas mon WG-RAY donc le DNS n'est pas joignable.
Je vais essayer d'ajouter la route manuellement

dino66 a commenté le 05.08.2021 09:08

@marios c'est un crash net !

Admin

@RMA66 (dino66)
> [#] ip -4 route add 0.0.0.0/0 dev WG-RAY table 51820

     ^^^ la route par défaut est bien installée

Suite à la configuration, est-ce que le ping vers une IP passe par exemple ? (IP de la box, IP d'un serveur DNS public)
Avez-vous testé une requête DNS (dig a google.com @addresse_du_server_dns) ?

Ok pour le crash, je vais remonter ça.

dt99 a commenté le 05.08.2021 09:40

@marios je viens de mettre les dns de cloudfare dans le gestionnaire de torrent (v4 et v6) et ca marche, j'ai remis mes dns cloudfare en v4 et v6 dans les dhcp et rebooter et cela fonctionne a nouveau parfaitement.
seul le techargement direct ne fonctionne pas.

@Marios

Bonjour,
Non, c'est bien en UDP à chaque fois.
Je viens de refaire à nouveau des tests sur OpenVPN routé & bridgé en UDP, et les débits sont bons en DL (70-80 Mbps voire +).
La même chose en Wireguard, et c'est la cata (< 1 Mbps)
Je continue de chercher de mon côté… PS: j'avais changé le n° de port, je l'ai repositionné au std 51820, mais ça ne change (heureusement) rien.

Admin

@Breizh (breizh2944)
Est-ce que vous percevez des lenteurs à l'utilisation ? Est-ce que le téléchargement direct d'un fichier (par exemple http://test-debit.free.fr/image.iso ou une image Linux quelconque) plafonne aussi à 1Mbps ?

dino66 a commenté le 05.08.2021 10:13

@marios Le log le dit mais en vrai ce n'est pas le cas.
Et idem avec sudo.


@mx21:~$ ip r
default via 10.0.2.2 dev eth0 proto dhcp metric 100
10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100
192.168.27.64/27 dev WG-RAY scope link
192.168.90.0/24 dev WG-RAY scope link

@Marios

Effectivement, tout est très lent : j'arrive difficilement à surfer par exemple.
image.iso : 1 jour restant quand je démarre le téléchargement :D ensuite on stabilise à 8/9h. Je n'ai pas le débit précis, mais on peut dire que c'est minuscule…

Si la bêta n'est pas encore fermé, voici mon adresse MAC: 70:FC:8F:54:3E:B5
Merci.

Au temps pour moi (les inscriptions sont fermées), j’ai pas lu la mise à jour de la tâche.

ok depuis un tel Android
ok depuis un pc Windows
Par contre j'ai pour l'instant du mal en changeant le DNS pour un DNS sur un macvlan docker de mon NAS (le DNS n'est pas accessible)

@Marios : oui le DNS marche bien sur le réseau local sans le VPN, et oui j'ai vérifié les règles de filtrage. Je vais poursuivre mes tests ce soir.

JoBar a commenté le 05.08.2021 11:18

Pour info,

Je viens de tester la connexion VPN Client en WireGuard évidemment,

Aucun problème, ça fonctionne nickel.

@Marios, au sujet des route dans le fichier de configuration ok, ce n'est pas trop pénalisant.

Cependant, pourrait-on avoir le choix LAN, wan ou les 2 coté serveur.
Je m'explique, en supposant que je donne accès à une de mes ressources sur mon LAN, mais que je ne veux pas que ce "client" puisse utiliser le net via le VPN.
Je peux évidemment modifier le fichier de configuration. Mais, le "client, peut aussi la modifié à son gré.

Un autre point sur la config, exemple :
Je créé plusieurs comptes, tout est ok pour tous les clients, ils peuvent ce connectés quand il le desire.
Si ma box (serveur) est en panne est remplacé, évidemment je perds les clés des clients. Donc recréation des comptes clients et redistribution des config.

Ne serait-il pas possible de prévoir une sauvegarde, un export de la config ?
En effet, en prenant exemple d'OpenVPN, je ne l'utilise plus, parce que j'ai eu un cas, ou il m'a fallu 6 mois pour restaurer la liaison (habitation isolé) et donc plus de gestion domotique est autre pendant ce temps.

Qu'en pensez-vous ?

Jobar.

PAT91300 a commenté le 05.08.2021 11:24

DC:00:B0:3B:27:A6
Merci

Ponord59 a commenté le 05.08.2021 11:56

@Patrick fraire »> inscriptions closes…

Admin

@Breizh (breizh2944)
Avez-vous la possibilité de tester avec un autre device ? Ou alors en connectant votre téléphone à un autre réseau WiFi (pas celui de la box) ?

@RMA66 (dino66)
wg-quick utilise une deuxieme table de routage pour router l'ensemble du trafic (cf https://www.wireguard.com/netns). Vous devriez voir la route avec la commande "ip route show table 51820". Avez-vous testé le ping/dig ?

@JoBar Je comprends mieux le besoin. Ceci dit, c'est une évolution qui concerne les différents VPN et pas uniquement WireGuard.

@vvuillaume Est-ce que vous arrivez à accéder à des équipements du LAN (votre NAS par exemple ou celui de la box) ? Je précise au cas où: les clients VPN ont une adresse IP dans la plage 192.168.27.64/27.

dino66 a commenté le 05.08.2021 12:43

@Marios En fait c'est OK,
C'était le réseau sous-jacent qui ne me laissait pas passer,
Et on dirait bien que comme la connexion est sans contrôle (en UDP),
le client WG passe en UP mais ne me prévient pas qu'il n'a pas de réponse du serveur.
C'est en faisant un tcpdump que j'ai compris.
Aucun paquet retour.
Je me suis mis sur un réseau plus approprié. C'est OK.
*
Merci pour le tips de la table de routage en +, savez vous ce qui fait qu'elle est prioritaire sur la table standard ?
*
Aussi, pour tester le client VPN de la freebox en WG, avez-vous connaissance d'un serveur que je pourrais tester ?
Mon fournisseur de VPN usuel ne me fournit pas de config WG bien qu'il l'ait implémenté sur ses clients desktop WIN/MAC/ANDROID.

@Marios

Bonne pioche, merci !
Je n'ai pas d'autre accès à disposition que mon internet fixe et l'abo cellulaire FM, mais j'ai réussi à obtenir un débit normal en :
- convertissant mon Android en point d'accès Wifi pour le réseau FM
- Connectant un iPhone doté de l'application Wireguard à ce point d'accès

Là, j'obtiens 100+ Mbps en DL et 30 Mbps en UL.

Le souci vient donc du mobile Android (son paramétrage, ou l'implémentation de la pile WG des applications WireGuard et VPN Client Pro - mais dans ce dernier cas, je ne serais pas le seul à faire ce type de remontée…).

Bref, je vais essayer de trouver l'origine du souci sur le mobile Android.

Merci de votre aide !

Admin

@RMA66 WireGuard est par conception très peu bavard. Donc si la conf est mauvaise (clef / AllowedIPs) c'est plus l'absence de trafic qui va indiquer que quelque chose ne tourne pas rond qu'un message d'erreur.
La commande "ip rule" dans votre log indique que les paquets qui n'ont pas de marquage doivent passer par la table de routage 51820. Dans celle-ci, les paquets sont routés vers l'interface wireguard, qui va rajouter un fwmark. De ce fait, quand les paquets encapsulés dans le tunnel doivent être routés, ils ont un fwmark à 51820, donc la règle "ip rule" ne s'appliquent pas et c'est la table de routage principale qui est consultée.

Par curiosité, de quel fournisseur est-il question ?

J'ai pu voir que mullvad.net, azirevpn.com et ivpn.net proposent un accès WireGuard sans avoir de dépendance forte sur leurs app.

@Breizh (breizh2944)
Vérifiez que vous êtes bien la dernière version de l'application WireGuard. Sinon, il y a dans l'application des logs qui peuvent peut-être vous mettre sur la piste.
Pouvez-vous faire le test dans l'autre sens ? C'est à dire que l'iPhone fait le partage de connexion, et du coup votre Android est connecté en WiFi.

JoBar a commenté le 05.08.2021 13:36

Salut dino66,

Si tu parles d'un fournisseur de type NordVPN,
Il y a des tutos sur le net pour récupérer la clé privée.

Mais, sinon dans le principe c'est assez simple :
- tu installes ton client VPN
- tu installes Wireguard
- tu connectes ton VPN en mode WG
- wg show nordlynx pour avoir les infos de connexion
- wg show nordlynx private-key pour avoir la clé privée
- ifconfig ou ip addr pour connaitre l'IP local

là tu as le principal

Jobar.

THEMIO a commenté le 05.08.2021 13:57

Bonjour, désolé du retard mais mon adresse MAC est: 00:24:D4:AB:1A:96 Merci :)

@Marios : Toutes mes excuses, j'avais un filtrage supplémentaire au niveau de la config du serveur DNS (pas seulement du firewall). Ca fonctionne bien avec mon DNS, merci.

THEMIO a commenté le 05.08.2021 14:01

Update: J'avais pas vu que les inscriptions sont closes, autant pour moi

@Marios Je viens de tomber sur ce thread : https://forum.xda-developers.com/t/wireguard-over-mobile-network-with-s21-ultra.4228695/ qui correspond à ce que je constate.
Je teste en effet sur un Samsung S21.
Je vais continuer les recherches.
Lorsque j'en aurai la possibilité, je testerai en cellulaire sur un autre mobile (peut-être l'iPhone, comme vous le mentionniez).

@Noter : forte baisse de débit en VPN : 50 Mbps down / 60 Mbps up versus 840 / 490 sans VPN (source : speedtest)
Je ne me rends pas compte si c'est "normal" ou non

dino66 a commenté le 05.08.2021 14:37

@marios, @JoBar il s'agit de VyprVPN.

esver a commenté le 05.08.2021 14:41

De mon coté tout fonctionne bien :
Sur un tel android (Google Pixel) que ce soit avec le QR Code ou le fichier téléchargé avec Firefox et renommé.

Tests effectués depuis un pc ubuntu 21.04 :
Via connexion Free mobile ça fonctionne et j'ai accès à mon NAS; les débits sont sensiblement les même lors des speedtests (ping 20ms de plus en VPN)

Via connexion Bouygues box ADSL ça fonctionne et j'ai accès à mon NAS; pas de speedtest effectués.

JoBar a commenté le 05.08.2021 14:55

@dino66,

As-tu essayé les cmds de WG pour voir s'il est parlant ?

De mon côté, je vais voir si je te trouve une astuce.

Jobar.

Admin

@david (Dchris83)
> Le fichier est un .txt. Le ".txt" est a supprimer pour faire un .conf. mais le fichier présente un problème pour l'appli WireGuard.

L'application wireguard considère que le nom du fichier correspond au nom du tunnel, et celui ci est limité à 15 caractères, d'où l'erreur que vous voyez lors de l'import.

@vvuillaume Les opérations crypto ont un prix, et plus le matériel est vieux, plus cela se voit. Je viens de refaire un test nPerf, connecté à une v6 et j'ai des valeurs semblables. A titre indicatif, le même test avec OpenVPN plutôt que WireGuard donne du ~20/16Mbps.

4ecb16cac6a705ce7316

4E:CB:16:CA:C6:A7:05:CE:73:16

@mario : oui merci, je voulais justement passer sur WireGuard à cause des débits trop limités d'OpenVPN

Dchris83 a commenté le 05.08.2021 18:55

@mmakassikis Je viens de réessayer et effectivement en diminuant le nom du fichier ça marche.

Je suis interessé par tester ayant deja wireguard sur raspberry

34:27:92:60:6A:B0

Dchris83 a commenté le 05.08.2021 21:05

@mmakassikis Je viens de réessayer et effectivement en diminuant le nom du fichier ça marche.

JoBar a commenté le 06.08.2021 02:52

Salut @dino66,

Pour l'instant, je n'ai rien trouvé pour récupérer la clé privée.

Je ne peux memes pas faire un test, ils n'ont pas de périodes d'essais.
Et si j'ai bien vu, ils n'ont pas non plus de client sous linux.

Donc, ce que je te propose, essais de récupéré la clé privée sous Windows.
Bien sûr, il faut que tu installes WireGuard sous Windows (pour info, sous linux, il faut un redémarrage pour que wg vois les paramètres)
1 - tu connecte ton VPN en Wireguard
2 - wg show <nom de la carte reseau virtuel du VPN>
3 - wg show <nom de la carte reseau virtuel du VPN> private-key

Si tu ne trouves rien, vérifie dans le repertoire du client s'il n'utilise pas directement un fichier config lisible.
Vérifie aussi, s'il utilise un repertoire temporaire.
Si c'est le cas, jette un oeil dedans.

Moi, je vais encore fouiller, on ne sait jamais.

Jobar.

Bonjour
Installation du client Wireguard avec succès dans la partie client :
État du client = Connecté
Wireguard - Paris

log :
2021-08-06 08:50:29 failed to reset l3 namespace: Too many links
2021-08-06 08:50:29 calling helper script at '/etc/fbxconnman/conn.pre-up'
2021-08-06 08:50:29 l3 state change 'l3_start' ⇒ 'l3_wait_preup_helper'
2021-08-06 08:50:29 l3 state change 'l3_wait_preup_helper' ⇒ 'l3_wait_stable'
2021-08-06 08:50:29 l3 is now stable
2021-08-06 08:50:29 ipv4 mtu adjusted from 0 to 1420
2021-08-06 08:50:29 calling helper script at '/etc/fbxconnman/conn.up'
2021-08-06 08:50:29 l3 state change 'l3_wait_stable' ⇒ 'l3_wait_up_helper'
2021-08-06 08:50:29 l3 state change 'l3_wait_up_helper' ⇒ 'l3_up'
2021-08-06 08:50:29 state is now UP
2021-08-06 08:50:29 state change 'wait_l3_up' ⇒ 'l3_up'

Par contre, aucun téléchargement possible depuis la Freebox (que ce soit torrent ou direct download comme ici) :
2021-08-06 08:43:10 start url https://dt1.freeboxos.fr:32000/share/-OFKZbXa5zQY2MBs/IDM%206.38%20Build%2016.zip (crawling: 1)
2021-08-06 08:44:10 https://dt1.freeboxos.fr:32000/share/-OFKZbXa5zQY2MBs/IDM 6.38 Build 16.zip failed with code 0 Unknown host
2021-08-06 08:44:10 [retry] automatically retry after: 1 consecutive failure
2021-08-06 08:44:10 start url https://dt1.freeboxos.fr:32000/share/-OFKZbXa5zQY2MBs/IDM%206.38%20Build%2016.zip (crawling: 1)
2021-08-06 08:45:10 https://dt1.freeboxos.fr:32000/share/-OFKZbXa5zQY2MBs/IDM 6.38 Build 16.zip failed with code 0 Unknown host
2021-08-06 08:45:10 [retry] automatically retry after: 2 consecutive failure

J'utilise la configuration Wireguard du fournisseur Windscribe

Admin

@Lapinou L'erreur "unknown host" indique que la résolution DNS a échouée. Soit le DNS est mal configuré, soit il n'y a pas du tout de connectivité et le DNS est injoignable.
Il faut vérifier dans le profil WireGuard que vous avez créé que les différentes configurations sont correctes.

brolysan a commenté le 06.08.2021 08:01

8C:97:EA:31:89:17

@mmakassikis,
Effectivement, j'avais un pb de config sur le serveur.
Le pb venait de l'adresse IP du serveur. En effet, mon fournisseur vpn ne m'a pas donné une IP mais une URL (dont j'ai retrouvé l'IP via un ping de l'adresse).
Maintenant, tout fonctionne.
J'ai réussi des téléchargements sur la box avec des pics a +100Mo/s, top !

tygroo a commenté le 06.08.2021 12:04

Bonjour, mon adresse mac est 34:27:92:64:3E:96

Merci.

deusyv a commenté le 06.08.2021 15:13

70:FC:8F:51:3E:A0 merci d'avance

dino66 a commenté le 06.08.2021 15:49

@marios, bonjour, concernant le problème de crash de freebox compagnon sur config vpn server, est aussi présent lorsque j'interroge une GW sans WG. Quand tu dis que tu as remonté le problème : il y a une task que je peux suivre ici ?

Tchekda a commenté le 07.08.2021 12:14

Les inscriptions sont closes au bout de 1 journée ?
Je tente quand même, on ne sait jamais : 8C:97:EA:33:30:B6

Bonjour,
idem, je veux bien participer!
70:FC:8F:50:4D:58

merci d'avance!

nbanba a commenté le 08.08.2021 09:23

Bonjour

Je veux bien participer au test également
34:27:92:63:39:90

Par contre, ce qui m'intérresse c est avant tout de pouvoir faire des interco site-to-site en natif depuis la box.
Donc oui avoir accès à la table de routage est nécessaire.
D'ailleurs on en a déjà grand besoin sur les delta avec les VMs qui tournent dans la box et qu'on expose au net dans une vraie DMZ au sens réseau (pas une "ip dmz"), aujourd'hui je dois passer par un équipement tiers pour router les paquets de la box vers les VMs qui tournent dans cette même box mais sur un plan d'adressage différent de celui du lan de la box… c'est moche !

En vous remerciant d'avance

Cordialement
nbanba

tetenfer a commenté le 09.08.2021 07:27

je suis en retard mais si il reste quelque place ;-) 34:27:92:65:17:A6

j'utilise deja wireguard depuis quelque année avec des vm si je pouvais l'avoir en natif sur la box ce serait top.

cordialement.

AGL-AMG a commenté le 09.08.2021 15:36

Bonjour,

Je veux bien participer! 34:27:92:61:52:38

merci d'avance

JoBar a commenté le 12.08.2021 11:27

Bonjour @marios,

J'ai bien compris que l'on n'aura pas la gestion des routes que ce soit coté client (sauf en modifiant le fichier de config) comme serveur.

Mais, pourrait-on avoir accès au journal de connexion ?

En effet, on a aucun moyen de limité les accès. Le journal permettrait être rassuré.

Sinon, je n'ai pas constaté de problème avec l'utilisation du Wireguard.

Merci,

Jobar.

@JoBar : Je viens de faire un ticket à ce propos, bien sûr WireGuard est inclus même si je n'ai pas précisé dedans.
- https://dev.freebox.fr/bugs/task/35402

Je vous invite à voter bien entendu.

Pour la gestion des routes, il serait bien de pouvoir gérer depuis Freebox OS.
Comme pour le ou les serveurs DNS personnalisables.
Je suis en train de préparer un ticket pour les options manquantes dont ceci…

Bonjour, petit retour à propos du VPN sur un Mac, j'arrive bien à me connecter au VPN WireGuard avec le client officiel téléchargé sur l'App Store, mais je n'ai pas accès à mes appareils en 192.168.0.x, seul 192.168.0.254 répond au ping. Je n'ai aucune règle de filtrage/firewall etc, et après plusieurs tests, je me suis rendu compte que j'avais le même soucis en IPsec IKEv2, et que seul le serveur OpenVPN Bridgé avec le client VPN Tunnelblick me permettait d'accéder à mon réseau local. Je ne sais pas si cela provient de mon Mac ou de la Freebox, j'essayerais sur un autre Mac sous macOS 10.14 (celui ci est sous Big Sur 11) et je ferais un autre retour avec le résultat. J'essayerais également sur Ubuntu.

deusyv a commenté le 14.08.2021 20:45

Bonjour, au risque de n avoir pas tout compris. Je ne trouve pas le nouveau vpn dans les menus de ma Freebox Delta. Pourtant reboostée 70:FC:8F:51:3E:A0.
Que dois-je faire ?

asautret a commenté le 15.08.2021 12:59

Bonjour, voici mon adresse pour la participation :
34:27:92:61:6C:F2
Merci

Bonjour,

Je viens de tester le serveur Wireguard et je suis très agréablement surpris, il fonctionne bien, il y a très peu de personnalisation mais bon il fait le taf demandé, et l’interface est très agréable.
Quand je suis sur le LAN le réseau se retrouve quand grandement amoindrie. (Baisse de débit: On passe 300Mbps à 80Mbps et augmentation du jitter 6ms →16ms) ce n’est pas censé être le cas pour du Wireguard, la perte de débit doit quand même être moindre. Seul le download baisse drastiquement pas l’upload. mais bon le serveur Wireguard reste tout à fait utilisable malgré la baisse de débit.
Par contre, quand je passe par les réseaux mobiles (LTE - FreeMobile) le VPN ne fonctionne pas du tout… mais la connexion LTE est également très mauvaise (sans VPN), donc je ne sais pas si le problème vient du serveur wireguard, du réseau mobile qui filtre les VPN ou de la connexion elle-même.
C’est une implémentation custom de wireguard ou c’est l’implémentation officielle fournie pour linux?

Cordialement.


brolysan a commenté le 16.08.2021 14:56

comment savoir si l'on a accès à l'interface vpn béta?

Bonjour, 2ème retour faisant suite au 1er, j'ai essayé le VPN sur Ubuntu ainsi que sur macOS 10.14, et problème identique, je n'ai pas accès à mon réseau local excepté 192.168.0.254 (IP du Server), ce qui est assez embêtant.

drpalmer a commenté le 17.08.2021 13:28

Bonjour,
Je voudrais participer à la Beta.
Le formulaire n'est pas fonctionnel.
Voici mon adresse mac : 34:27:92:61:61:DE
Merci d'avance
Cordialement

w3fh5 a commenté le 21.08.2021 21:35

En mode client vpn, cela fonctionne. Par contre si le server wireguard est deconnecté, la connexion s'affiche toujours comme active.
Si le serveur est de nouveau connecté, la reco ne s'y fait pas automatiquement. Il faut désactiver la connexion vpn de la freebox puis la réactiver pour que celle-ci se relance.

JoBar a commenté le 22.08.2021 03:18

Salut @w3fh5,

Je n'ai pas le meme fonctionnement que toi.
Je l'ai connecté depuis le debut de la beta, effectivement, sur non-utilisation il se déconnecte (stateless).
Mais dès qu'un download est dans la liste, il se reconnecte.

Tu n'utiliserais pas ta configuration 2 fois ou plus ?
Parce que, si c'est le cas, ce n'est pas possible avec WireGuard, il te faut 2 configurations pour 2 connexions. meme sur un serveur identique.
C'est obligatoire.

Jobar.

aaribaud a commenté le 29.08.2021 08:05

Actuellement un client Wireguard a une IP définie par sa configuration et prise dans la plage 192.168.27.64/27.
Sera-t-il possible dans le futur de définir une configuration "pontée" dans laquelle le client WG pourra utiliser le DHCP du LAN pour récupérer son adresse LAN ?

JoBar a commenté le 29.08.2021 10:47

Salut @aaribaud,

Pour ton info, ce n'est pas possible. La technologie de WireGuard ne permet pas les IP en DHCP.
C'est obligatoirement une IP fixe par client connecté.

Jobar.

slye44 a commenté le 29.08.2021 21:06

34:27:92:60:99:EE

sloops a commenté le 02.09.2021 13:48

Bonjour possible de passer sur le firmware normal et annuler ma participation ? 34:27:92:60:86:32

Admin

@Steve Labus (AngryKiller)
Est-ce que l'accès aux équipements du LAN fonctionnait auparavant ?
Avez-vous la possibilité de faire une capture tcpdump lors d'une tentative de connexion ?

@w3fh5 L'établissement du tunnel WireGuard se fait effectivement quand il y a des paquets qui doivent être routés par celui ci. Si vous avez configuré un tunnel mais qu'il n'y a pas encore eu de paquets à envoyer, alors du côté serveur la connexion ne sera pas visible.

@Clément C.
Est-ce que vous avez testé uniquement WireGuard en LTE ? Est-ce que en utilisant OpenVPN/PPTP/IPsec le VPN est fonctionel ?

Pouvez-vous éditer le profil de connexion dans l'application WireGuard et changer le MTU ? Par défaut celui-ci devrait être à 1420. Il faudrait tester avec des valeurs plus petites (par exemple 1400, 1360, … sans toutefois descendre en dessous de 1280).

S'agit-il d'un device Android ?

kalon33 a commenté le 06.09.2021 17:49

Bonsoir,

J'ai connecté un raspberry Pi passerelle à mon réseau domestique en utilisant Wireguard. Depuis les machines connectées à celui-ci, sur lequel j'ai déclaré la route vers mon réseau domestique, j'arrive à accéder aux machines de ce dernier. Cependant, il m'est impossible de faire l'inverse. Et quand j'ajoute manuellement à une machine de mon réseau local une route, façon

route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.27.69 dev eth0

, ça ne fonctionne pas. Je me souviens que via OpenVPN, j'étais arrivé à faire obtenir à ma passerelle une adresse IP statique dans le même sous réseau que mes machines domestiques (et hors plage DHCP), en 192.168.0.x, me permettant ensuite, en déclarant la route, d'accéder aux machines au dela de la passerelle depuis mon réseau domestioque. Cependant je n'arrive pas à répliquer cette configuration via Wireguard.

Serait-il possible de me conseiller une manière de faire ? Ou, plus simplement, de permettre d'annoncer la route qui va bien via le DHCP de la Freebox ?

Merci d'avance.

Bonjour, voici mon adresse pour la participation : 8C:97:EA:31:DF:E3

Admin

@nicolas Derive

Je ne suis pas sûr de comprendre la configuration que vous essayez de répliquer.
Quelques précisions:
- l'IP d'un client WireGuard est configurée à l'avance. Il n'y a pas de configuration dynamique par DHCP.
- le serveur DHCP de la freebox ne distribue pas de routes additionnelles.
- un client connecté en OpenVPN Bridgé est semblable à un client local. Il peut récupérer une adresse par DHCP (en 192.168.1.0/24 habituellement) ou être configuré avec une adresse statique dans ce même sous-réseau. Pour les autres types de VPN (OpenVPN routé/PPTP/IPsec/WireGuard), les clients sont dans un autre sous-réseau (192.168.27.64/27).

Si vous essayez de faire une interconnexion entre votre réseau local (192.168.0.0/24) et le réseau connecté à un raspberry pi distant (en 192.168.5.0/24), cela correspond à une configuration de type "site-to-site" qui n'est pas possible aujourd'hui. Si un équipement en 192.168.5.0/24 arrive à joindre votre freebox ou un équipement connecté à celle-ci, c'est que le raspberry fait du NAT. Dans ce cas, pour permettre le trafic dans l'autre sens il faut faire des redirections de ports au niveau du raspberry.

Admin

@Breizh (breizh2944) / Clément C. (clecle226)
Pouvez-vous retester l'accès en LTE après mise à jour du firmware ? Pensez à adapter la configuration au niveau du smartphone (MTU = 1360).

@sloops Vous êtes sur le canal release.

Les personnes ayant posté leur MAC suite à la fermeture des inscriptions ont été ajoutés à la bêta.

@mmakassikis : Comment faire le lien entre deux Freebox (WireGuard / OpenVPN) ?

foley64 a commenté le 07.09.2021 23:57

@Neustradamus, cela n'a aucun intérêt sachant que le client vpn de la freebox ne sert qu'au gestionnaire de téléchargements.

@foley64: Pourtant les gens souhaiteraient ici sur ce bugtracker et sur les différents forums…

foley64 a commenté le 08.09.2021 06:27

@Neustradamus: Donc il faudrait que la freebox devienne un vrai routeur VPN.

@mmakassikis:

Après des tests, l'accès aux équipements du LAN ne fonctionne pas non plus en IPSec IKEv2, en revanche il fonctionne en OpenVPN bridgé. Voici des logs tcpdump lors de tentatives de ping avec le VPN: https://pastebin.com/tP7eHvC0

J'ajoute (détail qui à peut être son importance suite à la lecture de certains retours) que je teste la connexion via un partage de connexion 4G de mon iPhone vers mon Mac. Le trafic internet passe correctement à travers le VPN (bien que très lent car je suis en ADSL)

Admin

@Steve Labus
Est-ce que vous avec accès à Internet via la VPN (vérifier le changement d'IP sur un site comme http://ifconfig.me avant/après activation du VPN) ?
Il faudrait faire une capture sur l'équipement qui se trouve à l'adresse 192.168.0.3. Cela permettrait de savoir si les paquets n'arrivent pas, ou si c'est les réponses qui sont perdues.

Est-ce le même comportement avec autre chose que du ping ? S'il s'agit d'une machine Windows, le trafic ICMP est bloqué par défaut.

@mmakassikis:

J'ai bien accès à internet via le VPN (IP 4G avant connexion, puis IP Freebox après connexion sur le site ifconfig.me). Les 2 appareils (192.168.0.1 et 192.168.0.3) sont sous Debian, la 1ère machine est une VM Freebox et la 2ème est connectée en WiFi. J'ai effectué 2 captures tcpdump depuis 192.168.0.3, en écoutant le trafic sur un port sur le quel il y a un serveur web, et un autre en icmp. Visiblement la machine ne reçoit aucun paquet: https://pastebin.com/uTWFcTYf

tetenfer a commenté le 08.09.2021 21:26

bonjour,
pour info, sur la partie clients vpn wireguard , je pense qu'une valeur par default(1360) devrais remplir le champs, j'ai penser a tort que le champs vide remplisser une valeur par default.
quand on importe un fichier de conf wireguard il n'y a pas de mtu. deplus a l'import du fichier la clef publique serveur cest supprimer a l'enregistrement la première fois et c'est bien enregistré le deuxième essai ??.
apres c'est petit souci le clients vpn wireguard ce connecte et télécharge très bien sur mon VPS que j'ai en Suède.

pour la partie Serveur VPN wireguard fonctionne tres bien de mon telephone ou de mon bureau j'ai un accès total a mon lan freebox et les performances sont le max de la bande passante, le top.

Admin

@Laurent migliani (tetenfer)
Effectivement, le paramètre MTU est optionnel dans le fichier de configuration. En l'absence de configuration spécifique, c'est la valeur par défaut du driver (1420) qui est prise.
Je n'arrive pas à reproduire le problème qui vous avez à l'import du fichier de conf. Est-ce qu'il se reproduit systématiquement chez vous ? Pouvez-vous m'indiquer le navigateur utilisé et sa version ?

nbanba a commenté le 09.09.2021 08:13

Bonjour

@mmakassikis : Quel est l'impact de la beta 4.5wg2 sur le pack sécurité ?
Depuis les 2 ou 3 derniers reboot de la delta, j'ai "unknown error" sur l'application, plus rien ne charge au niveau de l'alarme ou de la domotique.
C est idiot, je ne peux pas désactiver l'alarme de mon garage ni ouvrir mes volets ! (= pas de voiture + pas de lumière du jour …)
Le module n'est pas en erreur dans freebox OS

@naliotta : Une nouvelle preuve de la nécessité de pouvoir configurer le pack sécurité directement depuis Freebox OS ! (il pourrait y avoir une authentification forte pour accéder aux conf du pack sécu)
Je vous l'ai déjà demandé plusieurs fois, notamment pour reprendre le contrôle sur l'alarme lors de coupures électriques longues qui génèrent un comportement douteux et inapproprié du pack sécurité (du type impossible de désactiver ou d'éteindre l'alarme).

En vous remerciant d'avance
Cordialement

@Marios Makassikis: Je viens de tester la béta w2, J'arrive à faire fonctionner Wireguard sur le réseau LTE de Free! Le jitter en es doublé: 129ms→239ms. Mais contenu, de la qualité de connexion LTE, je pense pas qu’on puisse le lui reprocher (90% de perte de paquet ==").
Mais si je mets le serveur avec un MTU de 1420: j'ai un jitter de seulement 20ms, et 21% de perte de paquet seulement!!!!!
Le serveur VPN fait bien le taf, il arrive même à combler les défauts du réseau!


Juste une remarque: pourquoi vous forcer les DNS à passer par le serveur récursif 212.27.38.253 ? Il serait pas plus judicieux de passer par les serveurs que l'utilisateur a configurés dans DHCP?
Même si ce n'est pas compliqué de changer nous-mêmes le serveur dans le fichier de configuration, ça serait une manip. en moins à faire !

(Mais je remercie Free d'avoir intégré un serveur Wireguard dans la Freebox! je vais pouvoir me passer de ma RPI qui faisait office de serveur Wirguard! ^^)

Admin

@nicolas nba
Merci d'avoir remonté le problème. Le problème a été corrigé et un nouveau firmware devrait arriver.

@Clément C.
Comment mesurez-vous la perte de paquets ? Est-ce avec ou sans VPN ?
Avez-vous un comportement similaire avec OpenVPN / IPsec ?

La perte de paquet peut être liée à la fragmentation des paquets, qui a lieu si les paquets envoyés sont trop gros par rapport au MTU du lien sous-jacent. Observez-vous une différence avec un MTU plus petit ?

Est-ce que vous rencontriez des problèmes de perte de paquets avec votre setup à base de RPi ?

nbanba a commenté le 09.09.2021 15:05

Bonjour
Pour le coup, bravo pour la réactivité !
@mmakassikis & @ naliotta : Ne sachant pas quand le bug serait corrigé j'ai demandé le retour sur le firmware de production et j'ai pu récupérer l'accès à l'app. Alarme et domotique refonctionnent correctement. Maintenant que c'est corrigé dans le beta WG, je peux reboot sur le firmware beta et vous dire si tout est OK au niveau du pack secu dans la beta (dans ce cas la mac de ma box : 34:27:92:63:39:90).
Dans tous les cas, merci !
Cordialement
nbanba

Admin

@nicolas nba
Vous êtes à nouveau sur le canal bêta.

nbanba a commenté le 10.09.2021 17:02

Bonjour
@mmakassikis : merci. Je test si tout est OK et je vous dis.
Cordialement
nbanba

tetenfer a commenté le 11.09.2021 15:17

bonjour,
pour info, sur la partie clients vpn wireguard , je pense qu'une valeur par default(1360) devrais remplir le champs, j'ai penser a tort que le champs vide remplisser une valeur par default.
quand on importe un fichier de conf wireguard il n'y a pas de mtu. deplus a l'import du fichier la clef publique serveur cest supprimer a l'enregistrement la première fois et c'est bien enregistré le deuxième essai ??.
apres c'est petit souci le clients vpn wireguard ce connecte et télécharge très bien sur mon VPS que j'ai en Suède.

pour la partie Serveur VPN wireguard fonctionne tres bien de mon telephone ou de mon bureau j'ai un accès total a mon lan freebox et les performances sont le max de la bande passante, le top.

tetenfer a commenté le 11.09.2021 15:47

@Marios Makassikis (mmakassikis)

bonjour,

je me suis tromper c'est la Clef Prepartager(presharekey) qui disparaît au premier import.

oui cela ce reproduit a chaque creation de VPN wireguard CLIENT, apres la premiere tenetative cela marche a chaque fois sur ce VPN si j'en cree un nouveau cela recommence, j'utilise EDGE en derniere version sur windows 11

je peut faire des capture si vous avez besoin

Bonjour lors de mon utilisation de wireguard en tant que vpn pendant plusieurs jours je n'ai trouvé aucun bug !

Admin

@Laurent migliani (tetenfer)
Est-ce que vous importez le fichier après avoir rempli certains champs ? Je pose la question car vous indiquez que le champs "disparaît"
Quand cela fonctionne, s'agit-il du même fichier exactement ? Avez-vous vérifié la casse des paramètres ? Si votre fichier comporte un paramètre PreSharedKey au lieu de PresharedKey cela ne fonctionne pas.

Admin

@Laurent migliani (tetenfer)
Est-ce que le bug se produit également avec firefox ?

kalon33 a commenté le 13.09.2021 11:29

@mmakassikis : Merci pour votre réponse. Du coup, serait-il possible de faire du Wireguard bridgé via la Freebox ?

tetenfer a commenté le 13.09.2021 12:00

@Marios Makassikis (mmakassikis)

je n'est toucher a aucun champs. Le nom du champs et bien "PresharedKey", idem sur firefox

j'ai filmer la scene & j'ai modifier les clef de cryptage et les IP

https://1drv.ms/v/s!AvfqPafzvEJRlLoRxY5-Jc_c84L3cg?e=cIBsaQ

tetenfer a commenté le 13.09.2021 12:06

@Marios Makassikis (mmakassikis)

je n'est toucher a aucun champs. Le nom du champs et bien "PresharedKey", idem sur firefox

j'ai filmer la scene & j'ai modifier les clef de cryptage et les IP, sur le video la souris et decaler.

https://1drv.ms/v/s!AvfqPafzvEJRlLoRxY5-Jc_c84L3cg?e=cIBsaQ

aaribaud a commenté le 13.09.2021 13:41

@kalon33 : wireguard ne fait que du layer 3. Du coup, pour bridger des réseaux, il faudrait implanter un protocole "layer 2 over IP" aux deux extrémités du VPN WG.

kalon33 a commenté le 13.09.2021 13:50

@aaribaud : Merci pour votre réponse. Comment puis-je faire cela concrètement ?

Admin

@Laurent migliani (tetenfer)
J'avais mal compris la nature du problème. Il y a effectivement un bug qui empêche l'enregistrement de la presharedkey. Je corrige.

aaribaud a commenté le 13.09.2021 14:36

@kalon33 : ce n'est pas trivial. :/

Pour commencer il faut une machine à chaque extrémité du tunnel qui puisse jouer le rôle de "point de terminaison" L2TP. Pas de pb pour un Linux, mais pour un Windows ou un Android, je ne sais pas s'il existe des solutions.

Il n'y a pas de solution toute prête, et il faut donc mettre les mains dans le cambouis (configuration d'interfaces, de tables de routage, sans doute de nftables aussi…)

Ensuite, la plupart des tutoriels supposent qu'on fait du L2TP au-dessus d'IPSec (la raison étant que L2TP ne fait pas de chiffrage et s'appuie donc historiquement sur IPSec pour ça). Or, ici, le chiffrage est fait par WG, donc on n'a besoin "que" de L2TP. Du coup, il faut faire le tri de ce qui relève d'IPSec et ce qui relève de L2TP, et vu qu'on lit le tutoriel pour apprendre comment fonctionne L2TP, c'est un peu le serpent qui se mord la queue. :)

Comme le sujet m'intéresse j'ai ça dans ma todo list – mais uniquement avec du Linux au deux extrémités…

Admin

@kalon33 Si l'objectif est de faire du bridging, pourquoi ne pas utiliser OpenVPN Bridgé, qui est justement prévu pour ça ? Comme l'indique très justement aaribaud, WireGuard est conçu pour chiffrer du trafic IP, donc il n'est pas directement adapté à votre cas d'usage.

@aaribaud C'est hors-sujet sur ce ticket, mais pourquoi ne pas faire plus simplement un tunnel GRETAP ?

kalon33 a commenté le 13.09.2021 15:02

@mmakassikis: En fait j'espérais de Wireguard de meilleures performances, et n'étant pas expert du sujet je pensais pouvoir faire avec celui-ci la même chose qu'avec l'OpenVPN bridgé.

aaribaud a commenté le 13.09.2021 15:42

@mmakassikis @kalon33 Mon objectif entre autres est de voir la différence de performance entre OpenVPN bridgé et L2TP/WG. :)

Bonjour,

J'ai constaté un disfonctionnement dans Freebox OS ce we (je ne sais pas dire si c'est lié à ce firmware).
J'ai simplement voulu modifier le mot de passe du partage réseau Windows dans Freebox OS (Paramètres de la Freebox / Partage Windows).
Dès lors que j'applique le changement, le Freebox reboote systématiquement (et ma modification de mot de passe n'est pas prise en compte).
J'ai pu contourner le pb en modifiant finalement aussi le champ "Utilisateur".

Quelqu'un d'autres a constaté ce pb ?

Cher Marios, merci pour toutes vos améliorations.

Pourriez-vous, svp, prendre au sérieux ce ticket qui impacte beaucoup de clients ?
- https://dev.freebox.fr/bugs/task/34971

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche