Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Nouveau
  • Type de tâche Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Haute
  • Priorité Normale
  • Basée sur la version 4.5.0
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non

FS#35713 - Pas de nav en VPN sur la FBX révolution

Hello,

Auth ok mais pas de nav
Aucune réponse au ping de ma machine quand je suis en VPN et le traceroute ne donne rien(aucun saut visible***)
Testé sur ios14 (iphone) et Macbookpro (bigsur)
Idem après double reboot soft et doubke reboot hard sur 2 fbx revolution differente ou j’ai la main.

Hache

Cette tache ne dépend pas d'autre tache

Anisse Astier (aastier)
mardi 5 octobre, 2021 18:43:40

Bonjour, de quel VPN s’agit-il ? Auriez-vous l’adresse MAC d’un Freebox Server ayant le problème ?

Hamel (HACHE)
mardi 5 octobre, 2021 18:46:13

Bien sur, voila l’@mac de l’une des 2 fbx impactée F4:CA:E5:48:47:11

Hamel (HACHE)
mardi 5 octobre, 2021 18:47:54

Il s’agit du VPN IKeV2

Anisse Astier (aastier)
mercredi 6 octobre, 2021 12:33:25

Depuis quand avez-vous ce souci ? La connectivité a-t-elle déjà fonctionné ?

Hamel (HACHE)
mercredi 6 octobre, 2021 12:36:14

Je constate ce soucis depuis 1 semaine environ.
Ca fait plusieurs années que j’utilise ce service, il était bien fonctionnel.
Pour info je ne reproduis pas le pb sur une fbx Delta.

Anisse Astier (aastier)
mercredi 6 octobre, 2021 12:37:53

Dans Freebox OS, avez-vous le paramètre Serveur VPN → IPSEC IKEv2 → IPv6 activé sur la delta ? Et sur le Freebox Server révolution qui pose problème ?

Hamel (HACHE)
mercredi 6 octobre, 2021 12:41:03

oui tout a fait. J’ai testé aussi avec uniquement ipv4 activé ; uniquement Ipv6 ; et bien entendu les 2 activer comme c’est le cas actuellement

Anisse Astier (aastier)
mercredi 6 octobre, 2021 12:45:42

Pourriez-vous réessayer de vous connecter au serveur VPN avec les deux (v4 et v6) activés ?

Hamel (HACHE)
mercredi 6 octobre, 2021 13:09:03

c’est fait : actuellement connecté au vpn avec ipv4 et ipv6 activé

Hamel (HACHE)
mercredi 6 octobre, 2021 13:17:48

Faites moi signes une fois que je peux me deconnecter car pas de nav en attendant ;)

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 13:30:21

Bonjour,

Le client semble être connecté correctement (authentification + routage OK).

Vous indiquez que le ping et le traceroute ne fonctionnent pas: vers quelle(s) destination(s) ? S’agit-il d’IP ou de DNS ?
Pouvez-vous vérifier que la table de routage est cohérente ? Par exemple, en faisant les commandes suivantes:

route -n get 8.8.8.8
> route -n get -inet6 2001:4860:4860::8844

Est-ce que dans la réponse il est bien indiqué que le trafic doit passer par l’interface ipsec0 ?

Par rapport au test avec une Delta, s’agit-il du même client ?

Hamel (HACHE)
mercredi 6 octobre, 2021 13:45:00

Voila le resultat :

h@MBP-Hamel ~ % route -n get 8.8.8.8

 route to: 8.8.8.8

destination: 8.8.8.8

interface: ipsec0
    flags: <UP,HOST,DONE,WASCLONED,IFSCOPE,IFREF,GLOBAL>

recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire

     0         0         0         0         0         0      1280         0 

h@MBP-Hamel ~ % route -n get -inet6 2001:4860:4860::8844

 route to: 2001:4860:4860::8844

destination: ::

     mask: default
  gateway: 2a01:e34:ec7c:e658::
interface: ipsec0
    flags: <UP,GATEWAY,DONE,PRCLONING,GLOBAL>

recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire

     0         0         0         0         0         0      1280         0 

J’utilise le meme client pour me connecter en VPN sur la delta

Hamel (HACHE)
mercredi 6 octobre, 2021 13:45:30

Par contre ca vient de tomber en marche a l’instant
Une action de votre coté ?

Hamel (HACHE)
mercredi 6 octobre, 2021 13:47:29

Arf ...fonctionnnel avec mon mac mais pas avec mon iphone sur la meme revolution

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 13:51:00

Même symptômes ? Connexion OK mais aucun trafic ne passe ?
Est-ce que vous voyez une différence entre fonction de comment l’iphone accède à Internet (4G / WiFi) ?

Précision: Aucun action de notre côté sur votre box, uniquement de la consultation de logs.

Hamel (HACHE)
mercredi 6 octobre, 2021 13:58:30

Merci pour la précision.
Meme symptome avec Iphone : cnx OK, pas de nav
Comportement identique que je sois connecté en 4G ou wifi

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 14:07:52

Par rapport à la navigation qui échoue, est-ce que le navigateur renvoie une erreur ?

Est-ce que le client apparaît dans FreeboxOS > Paramètres > Serveur VPN > Connexions ? Est-ce que les compteurs de données transférées varient ?

Arrivez-vous à accéder à FreeboxOS depuis l’iPhone une fois celui-ci connecté au VPN ?

Hamel (HACHE)
mercredi 6 octobre, 2021 14:20:18

Aucune variation.

Voila l’erreur du navigateur :

Aucun accès à InternetAucun accès à Internet
Voici quelques conseils :

Vérifiez les câbles réseau, le modem et le routeur.
Reconnectez-vous au réseau Wi-Fi
DNS_PROBE_FINISHED_NO_INTERNET

Pas d’acces à freeboxos une connecté...

Hamel (HACHE)
mercredi 6 octobre, 2021 14:30:33

*
une fois connecté

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 14:45:07

Est-ce l’interface iPhone permet de configurer un DNS différent de celui poussé par le VPN ?

Pour l’accès à FreeboxOS, avez-vous testé avec mafreebox.freebox.fr ou avec l’IP ?

Hamel (HACHE)
mercredi 6 octobre, 2021 14:50:23

aha !!
l’ajout du DNS google (8.8.8.8) résout bien le soucis sur l’iphone !
Pour l’accès a la freeboxos j’avais utilisé l’adresse mafreebox.freebox.fr

Par contre lorsque je bascule sur l’autre freebox avec ce meme dns, toujours pas de nav :(

Je pige pas trop

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 15:00:40

S’agit-il de la même conf pour IKEv2 (IPv4 et IPv6 activés) ?

Est-ce que vous avez le même message d’erreur ? Avez-vous essayer d’accéder à freeboxos avec l’IP ?

Pouvez-vous indiquer la MAC de la box qui présente le problème ?

Hamel (HACHE)
mercredi 6 octobre, 2021 15:43:58

Oui, il s’agit de la meme conf (ipv4 et Ipv6 activé), d’ailleurs je reproduis a nouveau le pb sur celle dont je vous avais deja fourni la mac.
J’ai effectivement le meme message d’erreur et je n’ai pas acces à freeboxos en essayant avec l’IP (j’ai testé en https ; en précisant le port...)
J’ai pas la mac sous la main (je suis à l’etranger ...d’ou mon besoin d’accès au VPN d’ailleurs)

Marios Makassikis (mmakassikis)
mercredi 6 octobre, 2021 16:00:16

L’accès HTTPS pour freeboxos n’est valide que avec l’utilisation d’un domaine (soit mafreebox.freebox.fr, soit un domaine personalisé). Autrement, vous aurez une erreur SSL dans le navigateur.

Avez-vous reproduit sur votre iPhone ? Je ne sais pas si la configuration DNS que vous avez faites est persistente.

Si vous arrivez à accéder à FreeboxOS, vous pouvez essayer d’activer OpenVPN et/ou WireGuard et voir si le problème que vous rencontrez est spécifique à IPsec. L’inconvénient est qu’il faut télécharger et installer une application tierce.

Hamel (HACHE)
mercredi 6 octobre, 2021 16:51:59

Merci pour la précision concernant l’accès https.

J’ai installé open VPN sur la box ou j’ai accès a fbxos et j’ai bien la nav.
Bilan : le pb est bien spécifique à IPSEC

Marios Makassikis (mmakassikis)
vendredi 8 octobre, 2021 15:23:40

Le fait que la navigation s’est mise à marcher sur votre iPhone en changeant le DNS, et que ce soit tombé en marche sur votre Mac me fait penser qu’il s’agit peut-être d’un problème intermittent du serveur DNS. Avez-vous eu l’occasion de retester avec IPsec ?
Est-ce que le VPN est stable avec OpenVPN ? Est-ce qu’il est configuré mode UDP ou TCP ?

Hamel (HACHE)
vendredi 8 octobre, 2021 15:56:48

L’ajout de l’IP DNS de GOOGLE 8.8.8.8 est bien persistente, en revanche, cet conf ne me permet plus de naviguer (sur aucune des 2 fbx V6 donc j’ai la possibilité de me co en VPN).
En retestant avec IPSEC c’est donc toujours un échec.

Le VPN semble etre bien stable avec OPENVPN et je n’ai pas activé le mode TCP.

Merci encore pour le suivi de la panne

Hamel (HACHE)
vendredi 8 octobre, 2021 15:59:07

Hasard ou coincidence, j’ai l’impression que la panne est survenu au moment de l’expiration des fameux certificats : IdentTrust DST Root CA X3 et ISRG Root X1.

Est-ce possible ?

Marios Makassikis (mmakassikis)
vendredi 8 octobre, 2021 16:21:38

Un problème de certificat entrainerait un échec de l’authentification. Ici c’est à l’étape suivante. Pouvez-vous tester à nouveau si l’accès à FreeboxOS est fonctionnel lorsque vous vous connectez via IPsec ? Cela permettrai de confirmer que le premier saut au moins fonctionne. Un ping vers une IP (DNS publique de google par exemple) permettrai de confirmer que le routage fonctionne.

Hamel (HACHE)
samedi 9 octobre, 2021 12:04:45

Je viens de retenter : toujours pas de nav. Acces a freeboxos NOK. ping vers 8.8.8.8, 212.27.48.10 ou vers www.free.fr NOK et idem vers les ip local : 192.168.0.254 (fbx server) et meme ma propre ip : 192.168.27.66

Il n’y a que 127.0.0.1 qui répond.

Neustradamus (Neustradamus_)
dimanche 24 octobre, 2021 00:14:12

Avez-vous du neuf ?

Hamel (HACHE)
dimanche 24 octobre, 2021 04:25:56

Toujours pareil : VPN non fonctionnel en IKEv2 sur 2 V6 différentes (réparties sur 2 NROs différents mais même chainage) ; ca marche en OPENVPN mais c'est plus contraignant avec l'installation des fichier etc...

Marios Makassikis (mmakassikis)
lundi 25 octobre, 2021 06:52:11

Si le ping vers votre IP dans le VPN (192.168.27.66) échoue, c'est que la connexion n'a même pas été établie. Vérifiez que votre configuration côté client correspond bien à celle de la box (nom de domaine, login/mot de passe)

Hamel (HACHE)
lundi 25 octobre, 2021 10:55:13

Je me suis un peu emmêlé les pinceaux : 192.168.27.66 est l'adresse de mon reseau locale la ou je suis à l'étranger sur le routeur qui me permet d'aller sur le net. DOnc pour recap une fois connecté au VPN rien de ping

Marios Makassikis (mmakassikis)
lundi 25 octobre, 2021 11:17:47

Les clients qui se connectent en VPN à la freebox obtiennent une adresse IP en 192.168.27.64/27. Si vous avez une IP dans cette plage avant de connecter le VPN (donc, distribué par le réseau sur lequel vous êtes connecté) cela peut expliquer le problème de connectivité.

Hamel (HACHE)
lundi 25 octobre, 2021 11:32:17

Je pense que c'est autre chose le pb. En 4G, avec l'ip PUB de mon opérateur locale, j'ai le meme pb...

Marios Makassikis (mmakassikis)
lundi 25 octobre, 2021 11:49:47

Juste pour confirmer: depuis un équipement donné vous arrivez à vous connecter en IPsec mais par la suite il est impossible de naviguer. Sur le même équipement, vous vous déconnectez et en vous reconnectant avec OpenVPN cela fonctionne. Est-ce bien cela ? Si oui, il ne faut pas exclure un filtrage de votre opérateur (qui est simple à mettre en oeuvre puisque les ports utilisés par IKEv2/IPsec sont fixes).

Hamel (HACHE)
lundi 25 octobre, 2021 12:18:27

Oui c'est excatement ça. Je doute que mon opérateur mette en place un filtrage car en IKEV2 sur fbx Delta : ça marche.

Neustradamus (Neustradamus_)
lundi 25 octobre, 2021 12:31:01

@mmakassikis: Est-ce possible de permettre aux utilisateurs de choisir la plage des différents VPN des Freebox Server ? "192.168.27.64/27" Par défaut, le choix de Free et SURTOUT la possibilité de choisir ce que l'on souhaite réellement ? Par la même occasion cela permettrait de relier deux ou plusieurs Freebox Server ensemble.

Marios Makassikis (mmakassikis)
lundi 25 octobre, 2021 12:45:13

@Hamel Dans ce cas là je sèche. La gestion du serveur VPN se fait de la même manière sur toutes les box. Par ailleurs, je viens de revérifier les logs sur la box F4:CA:E5:48:47:11 et les logs sont cohérents: un client s'est bien connecté en IKEv2. Le client a récupéré l'IP 192.168.27.65 et le routage est configuré pour permettre au trafic de circuler. Le problème semble être côté client du coup ... Sur quel firmware se trouve la delta sur laquelle le VPN fonctionne ? @Neustradamus La personnalisation de la plage d'adresse allouée aux VPN ne suffit pas pouvoir faire du site-to-site.

Hamel (HACHE)
mardi 2 novembre, 2021 12:34:52

Nouveau test ce jour : tout est retombé en marche sur le MAC (rien de changé à part le passage sur Monterrey)

Hamel (HACHE)
mardi 2 novembre, 2021 12:35:31

Iphone -> Toujours idem : connexion OK au VPN mais pas de nav

Hamel (HACHE)
mardi 2 novembre, 2021 12:42:44

PS : c'est retombé en marche sur les 2x FBX V6 sur lesquelles j'avais l'habitude de travailler

Marios Makassikis (mmakassikis)
mardi 2 novembre, 2021 16:48:12

Faut-il comprendre que le VPN fonctionne à présent sur vos différents setups (macOS/iOS <=> révolution/delta) ?

Hamel (HACHE)
dimanche 7 novembre, 2021 13:00:17

Malheureusement pour moi non, ce n'est pas vraiment ça : MAC OS Monterey OK IOS (Iphone) ou MACOS Big SUR NOK Encore une fois testé sur plusieurs MACs et Iphones

Hamel (HACHE)
dimanche 7 novembre, 2021 14:35:39

Après de multiple test il s'avère que j'ai réussi à mettre en evidence un soucis au niveau de l'IPV6 en IKEV2sur les fbxV6 (niveau firmware donc ?) -> Sur FBX Delta -> Nav OK sur tous les cas de figures (Ios, mac OS, big sur, Monterey) Sur Fbx V6 -> Avec openVPN et iphone : nav OK (on peut desactiver ipv6 dans les parametres openvpn -> Avec MAC OS Big Sur + desactivation IPV6 dans les parametres reseaux : nav OK -> Avec MAC OS Monterey Nav OK -> Iphone en Ikev2 pas de nav car pas de ^possibilité de désactiver ipV6 Tous ces tests ont été réalisé avec la case "Support Ipv6" décoché au niveau de la prise en charge des protocole des VPN dans l'interface freebox

Chargement...