Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V6 (Révolution)
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version 4.5.0
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée

FS#35713 - Pas de nav en VPN sur la FBX révolution

Hello,

Auth ok mais pas de nav
Aucune réponse au ping de ma machine quand je suis en VPN et le traceroute ne donne rien(aucun saut visible***)
Testé sur ios14 (iphone) et Macbookpro (bigsur)
Idem après double reboot soft et doubke reboot hard sur 2 fbx revolution differente ou j’ai la main.

Hache

Admin
aastier a commenté le 05.10.2021 18:43

Bonjour, de quel VPN s’agit-il ? Auriez-vous l’adresse MAC d’un Freebox Server ayant le problème ?

HACHE a commenté le 05.10.2021 18:46

Bien sur, voila l'@Mac de l'une des 2 fbx impactée F4:CA:E5:48:47:11

HACHE a commenté le 05.10.2021 18:47

Il s'agit du VPN IKeV2

Admin
aastier a commenté le 06.10.2021 12:33

Depuis quand avez-vous ce souci ? La connectivité a-t-elle déjà fonctionné ?

HACHE a commenté le 06.10.2021 12:36

Je constate ce soucis depuis 1 semaine environ.
Ca fait plusieurs années que j'utilise ce service, il était bien fonctionnel.
Pour info je ne reproduis pas le pb sur une fbx Delta.

Admin
aastier a commenté le 06.10.2021 12:37

Dans Freebox OS, avez-vous le paramètre Serveur VPN → IPSEC IKEv2 → IPv6 activé sur la delta ? Et sur le Freebox Server révolution qui pose problème ?

HACHE a commenté le 06.10.2021 12:41

oui tout a fait. J'ai testé aussi avec uniquement ipv4 activé ; uniquement Ipv6 ; et bien entendu les 2 activer comme c'est le cas actuellement

Admin
aastier a commenté le 06.10.2021 12:45

Pourriez-vous réessayer de vous connecter au serveur VPN avec les deux (v4 et v6) activés ?

HACHE a commenté le 06.10.2021 13:09

c'est fait : actuellement connecté au vpn avec ipv4 et ipv6 activé

HACHE a commenté le 06.10.2021 13:17

Faites moi signes une fois que je peux me deconnecter car pas de nav en attendant ;)

Admin

Bonjour,

Le client semble être connecté correctement (authentification + routage OK).

Vous indiquez que le ping et le traceroute ne fonctionnent pas: vers quelle(s) destination(s) ? S'agit-il d'IP ou de DNS ?
Pouvez-vous vérifier que la table de routage est cohérente ? Par exemple, en faisant les commandes suivantes:

route -n get 8.8.8.8
> route -n get -inet6 2001:4860:4860::8844

Est-ce que dans la réponse il est bien indiqué que le trafic doit passer par l'interface ipsec0 ?

Par rapport au test avec une Delta, s'agit-il du même client ?

HACHE a commenté le 06.10.2021 13:45

Voila le resultat :

h@MBP-Hamel ~ % route -n get 8.8.8.8

 route to: 8.8.8.8

destination: 8.8.8.8

interface: ipsec0
    flags: <UP,HOST,DONE,WASCLONED,IFSCOPE,IFREF,GLOBAL>

recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire

     0         0         0         0         0         0      1280         0 

h@MBP-Hamel ~ % route -n get -inet6 2001:4860:4860::8844

 route to: 2001:4860:4860::8844

destination: ::

     mask: default
  gateway: 2a01:e34:ec7c:e658::
interface: ipsec0
    flags: <UP,GATEWAY,DONE,PRCLONING,GLOBAL>

recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire

     0         0         0         0         0         0      1280         0 

J'utilise le meme client pour me connecter en VPN sur la delta

HACHE a commenté le 06.10.2021 13:45

Par contre ca vient de tomber en marche a l'instant
Une action de votre coté ?

HACHE a commenté le 06.10.2021 13:47

Arf …fonctionnnel avec mon mac mais pas avec mon iphone sur la meme revolution

Admin

Même symptômes ? Connexion OK mais aucun trafic ne passe ?
Est-ce que vous voyez une différence entre fonction de comment l'iphone accède à Internet (4G / WiFi) ?

Précision: Aucun action de notre côté sur votre box, uniquement de la consultation de logs.

HACHE a commenté le 06.10.2021 13:58

Merci pour la précision.
Meme symptome avec Iphone : cnx OK, pas de nav
Comportement identique que je sois connecté en 4G ou wifi

Admin

Par rapport à la navigation qui échoue, est-ce que le navigateur renvoie une erreur ?

Est-ce que le client apparaît dans FreeboxOS > Paramètres > Serveur VPN > Connexions ? Est-ce que les compteurs de données transférées varient ?

Arrivez-vous à accéder à FreeboxOS depuis l'iPhone une fois celui-ci connecté au VPN ?

HACHE a commenté le 06.10.2021 14:20

Aucune variation.

Voila l'erreur du navigateur :

Aucun accès à InternetAucun accès à Internet
Voici quelques conseils :

Vérifiez les câbles réseau, le modem et le routeur.
Reconnectez-vous au réseau Wi-Fi
DNS_PROBE_FINISHED_NO_INTERNET

Pas d'acces à freeboxos une connecté…

HACHE a commenté le 06.10.2021 14:30

*
une fois connecté

Admin

Est-ce l'interface iPhone permet de configurer un DNS différent de celui poussé par le VPN ?

Pour l'accès à FreeboxOS, avez-vous testé avec mafreebox.freebox.fr ou avec l'IP ?

HACHE a commenté le 06.10.2021 14:50

aha !!
l'ajout du DNS google (8.8.8.8) résout bien le soucis sur l'iphone !
Pour l'accès a la freeboxos j'avais utilisé l'adresse mafreebox.freebox.fr

Par contre lorsque je bascule sur l'autre freebox avec ce meme dns, toujours pas de nav :(

Je pige pas trop

Admin

S'agit-il de la même conf pour IKEv2 (IPv4 et IPv6 activés) ?

Est-ce que vous avez le même message d'erreur ? Avez-vous essayer d'accéder à freeboxos avec l'IP ?

Pouvez-vous indiquer la MAC de la box qui présente le problème ?

HACHE a commenté le 06.10.2021 15:43

Oui, il s'agit de la meme conf (ipv4 et Ipv6 activé), d'ailleurs je reproduis a nouveau le pb sur celle dont je vous avais deja fourni la mac.
J'ai effectivement le meme message d'erreur et je n'ai pas acces à freeboxos en essayant avec l'IP (j'ai testé en https ; en précisant le port…)
J'ai pas la mac sous la main (je suis à l'etranger …d'ou mon besoin d'accès au VPN d'ailleurs)

Admin

L'accès HTTPS pour freeboxos n'est valide que avec l'utilisation d'un domaine (soit mafreebox.freebox.fr, soit un domaine personalisé). Autrement, vous aurez une erreur SSL dans le navigateur.

Avez-vous reproduit sur votre iPhone ? Je ne sais pas si la configuration DNS que vous avez faites est persistente.

Si vous arrivez à accéder à FreeboxOS, vous pouvez essayer d'activer OpenVPN et/ou WireGuard et voir si le problème que vous rencontrez est spécifique à IPsec. L'inconvénient est qu'il faut télécharger et installer une application tierce.

HACHE a commenté le 06.10.2021 16:51

Merci pour la précision concernant l'accès https.

J'ai installé open VPN sur la box ou j'ai accès a fbxos et j'ai bien la nav.
Bilan : le pb est bien spécifique à IPSEC

Admin

Le fait que la navigation s'est mise à marcher sur votre iPhone en changeant le DNS, et que ce soit tombé en marche sur votre Mac me fait penser qu'il s'agit peut-être d'un problème intermittent du serveur DNS. Avez-vous eu l'occasion de retester avec IPsec ?
Est-ce que le VPN est stable avec OpenVPN ? Est-ce qu'il est configuré mode UDP ou TCP ?

HACHE a commenté le 08.10.2021 15:56

L'ajout de l'IP DNS de GOOGLE 8.8.8.8 est bien persistente, en revanche, cet conf ne me permet plus de naviguer (sur aucune des 2 fbx V6 donc j'ai la possibilité de me co en VPN).
En retestant avec IPSEC c'est donc toujours un échec.

Le VPN semble etre bien stable avec OPENVPN et je n'ai pas activé le mode TCP.

Merci encore pour le suivi de la panne

HACHE a commenté le 08.10.2021 15:59

Hasard ou coincidence, j'ai l'impression que la panne est survenu au moment de l'expiration des fameux certificats : IdentTrust DST Root CA X3 et ISRG Root X1.

Est-ce possible ?

Admin

Un problème de certificat entrainerait un échec de l'authentification. Ici c'est à l'étape suivante. Pouvez-vous tester à nouveau si l'accès à FreeboxOS est fonctionnel lorsque vous vous connectez via IPsec ? Cela permettrai de confirmer que le premier saut au moins fonctionne. Un ping vers une IP (DNS publique de google par exemple) permettrai de confirmer que le routage fonctionne.

HACHE a commenté le 09.10.2021 12:04

Je viens de retenter : toujours pas de nav. Acces a freeboxos NOK. ping vers 8.8.8.8, 212.27.48.10 ou vers www.free.fr NOK et idem vers les ip local : 192.168.0.254 (fbx server) et meme ma propre ip : 192.168.27.66

Il n'y a que 127.0.0.1 qui répond.

Avez-vous du neuf ?

HACHE a commenté le 24.10.2021 04:25

Toujours pareil : VPN non fonctionnel en IKEv2 sur 2 V6 différentes (réparties sur 2 NROs différents mais même chainage) ; ca marche en OPENVPN mais c'est plus contraignant avec l'installation des fichier etc…

Admin

Si le ping vers votre IP dans le VPN (192.168.27.66) échoue, c'est que la connexion n'a même pas été établie. Vérifiez que votre configuration côté client correspond bien à celle de la box (nom de domaine, login/mot de passe)

HACHE a commenté le 25.10.2021 10:55

Je me suis un peu emmêlé les pinceaux : 192.168.27.66 est l'adresse de mon reseau locale la ou je suis à l'étranger sur le routeur qui me permet d'aller sur le net.
DOnc pour recap une fois connecté au VPN rien de ping

Admin

Les clients qui se connectent en VPN à la freebox obtiennent une adresse IP en 192.168.27.64/27. Si vous avez une IP dans cette plage avant de connecter le VPN (donc, distribué par le réseau sur lequel vous êtes connecté) cela peut expliquer le problème de connectivité.

HACHE a commenté le 25.10.2021 11:32

Je pense que c'est autre chose le pb. En 4G, avec l'ip PUB de mon opérateur locale, j'ai le meme pb…

Admin

Juste pour confirmer: depuis un équipement donné vous arrivez à vous connecter en IPsec mais par la suite il est impossible de naviguer. Sur le même équipement, vous vous déconnectez et en vous reconnectant avec OpenVPN cela fonctionne. Est-ce bien cela ?

Si oui, il ne faut pas exclure un filtrage de votre opérateur (qui est simple à mettre en oeuvre puisque les ports utilisés par IKEv2/IPsec sont fixes).

HACHE a commenté le 25.10.2021 12:18

Oui c'est excatement ça. Je doute que mon opérateur mette en place un filtrage car en IKEV2 sur fbx Delta : ça marche.

@mmakassikis: Est-ce possible de permettre aux utilisateurs de choisir la plage des différents VPN des Freebox Server ?
"192.168.27.64/27"

Par défaut, le choix de Free et SURTOUT la possibilité de choisir ce que l'on souhaite réellement ?

Par la même occasion cela permettrait de relier deux ou plusieurs Freebox Server ensemble.

Admin

@Hamel Dans ce cas là je sèche. La gestion du serveur VPN se fait de la même manière sur toutes les box. Par ailleurs, je viens de revérifier les logs sur la box F4:CA:E5:48:47:11 et les logs sont cohérents: un client s'est bien connecté en IKEv2. Le client a récupéré l'IP 192.168.27.65 et le routage est configuré pour permettre au trafic de circuler. Le problème semble être côté client du coup … Sur quel firmware se trouve la delta sur laquelle le VPN fonctionne ?

@Neustradamus La personnalisation de la plage d'adresse allouée aux VPN ne suffit pas pouvoir faire du site-to-site.

HACHE a commenté le 02.11.2021 12:34

Nouveau test ce jour : tout est retombé en marche sur le MAC (rien de changé à part le passage sur Monterrey)

HACHE a commenté le 02.11.2021 12:35

Iphone → Toujours idem : connexion OK au VPN mais pas de nav

HACHE a commenté le 02.11.2021 12:42

PS : c'est retombé en marche sur les 2x FBX V6 sur lesquelles j'avais l'habitude de travailler

Admin

Faut-il comprendre que le VPN fonctionne à présent sur vos différents setups (macOS/iOS ⇔ révolution/delta) ?

HACHE a commenté le 07.11.2021 13:00

Malheureusement pour moi non, ce n'est pas vraiment ça :
MAC OS Monterey OK
IOS (Iphone) ou MACOS Big SUR NOK

Encore une fois testé sur plusieurs MACs et Iphones

HACHE a commenté le 07.11.2021 14:35

Après de multiple test il s'avère que j'ai réussi à mettre en evidence un soucis au niveau de l'IPV6 en IKEV2sur les fbxV6 (niveau firmware donc ?)
→ Sur FBX Delta → Nav OK sur tous les cas de figures (Ios, mac OS, big sur, Monterey)

Sur Fbx V6
→ Avec openVPN et iphone : nav OK (on peut desactiver ipv6 dans les parametres openvpn
→ Avec MAC OS Big Sur + desactivation IPV6 dans les parametres reseaux : nav OK
→ Avec MAC OS Monterey Nav OK
→ Iphone en Ikev2 pas de nav car pas de ^possibilité de désactiver ipV6

Tous ces tests ont été réalisé avec la case "Support Ipv6" décoché au niveau de la prise en charge des protocole des VPN dans l'interface freebox

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche