Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)

  • État Close
  • Type de tâche Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server Mini 4K
  • Sévérité Moyenne
  • Priorité Normale
  • Basée sur la version 4.5.3
  • Due pour la version Non décidé
  • Date d'échéance Non décidé
  • Votes 0
  • Privée Non
Concerne le projet: Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)
Ouverte par Dimitri (bigd) - 13/12/2021
Dernière édition par Marios Makassikis (mmakassikis) - 07/03/2022

FS#36104 - IPSec HS après renouvellement de certificats letsencrypt

Bonjour,

J’ai configuré ma FreeBox pour servir de serveur VPN IPsec IKEv2 avec un nom de domaine en freeboxos.fr et un certificat TLS/RSA associé au nom de domaine.

Il semble y avoir un soucis lors du renouvellement des certificats letsencrypt.

En effet, à deux reprises, le renouvellement du certificat se fait bien automatiquement tous les 90 jours mais le service IPsec ne semble pas prendre en compte cette modification de certificat et les tunnels ne se montent plus (message d’erreur sur Windows : “les informations d’authentification IKE ne sont pas acceptables”).

Malgré une désactivation du service IPsec puis une réactivation depuis l’IHM Freebox OS, le serveur IPsec ne fonctionne toujours pas. Seul un redémarrage de la Freebox résout le problème (confirmé 2 fois).

Est-ce qu’il est possible de faire en sorte que le certificat renouvelé soit pris en compte sans redémarrage de la box pour le serveur IPsec ?

Merci.

Close par  Marios Makassikis (mmakassikis)
lundi 7 mars, 2022 18:28:17
Raison de clôture :  Résolu

Cette tache ne dépend pas d'autre tache

Marios Makassikis (mmakassikis)
mardi 14 décembre, 2021 12:29:55

Bonjour,

C’est normalement déjà le cas. Pouvez-vous m’indiquer la MAC de votre box ?

Marc_ANG... (docmarc)
mardi 14 décembre, 2021 13:18:43

Pour info:

lets encrypt a des soucis en ce moment, ils ont trouvé un problème d’expiration de certificat en septembre dernier.
(voir la news)

https://thecyberpost.com/news/security/lets-encrypt-explains-last-months-outages-caused-by-certificate-expiration/

L'article traduit

j’ai aussi des problèmes de renouvellement certificat avec mon Nas… que ce soit en manuel ou en auto

Dimitri (bigd)
mardi 14 décembre, 2021 13:32:26

Le soucis de septembre c’est effectivement parce que letsencrypt a fait expiré une de ses CA. Du coup, sans mise à jour système, il y avait un problème.

C’est clairement pas mon cas ici, la problématique de CA ne se poserait que côté client et non sur le serveur VPN.

Dimitri (bigd)
mardi 14 décembre, 2021 21:48:37

L’adresse MAC : F4CAE543222A

Marc_ANG... (docmarc)
mercredi 15 décembre, 2021 18:36:15

alors peut-être que c’est un problème similaire a mon Nas

sur mon Nas j’ai une option “Changer automatiquement les connexions Http pour des connexions Https” en gros il force le port 80 vers le port 443.

C’est le support de mon Nas qui ma fait découvrir ce probleme et maintenant ça marche ...

Let’s encrypt fait ses demandes de renouvellement à travers le port 80 et plante quand c’est en 443

Mais seul un Dev-Free pourra le confirmer que c’est le même probleme .

Marc_ANG... (docmarc)
mercredi 15 décembre, 2021 18:38:17

“Changer automatiquement les connexions Http pour des connexions Https” sur mon Nas ne doit etre activer avec let’s encrypt

Marios Makassikis (mmakassikis)
mercredi 15 décembre, 2021 19:23:52

Il n’y a rien dans les logs qui suggère un problème de renouvellement. D’un autre côté, si vous avez rebooté c’est normal que le log ne soit plus là.

Malgré une désactivation du service IPsec puis une réactivation depuis l’IHM Freebox OS, le serveur IPsec ne fonctionne toujours pas. Seul un redémarrage de la Freebox résout le problème (confirmé 2 fois).

Il y avait effectivement un bug qui s’est manifesté lors de l’expiration du root X3 où il était nécessaire de rebooter deux fois la Freebox pour retrouver un état normal de fonctionnement.

Est-ce que vous avez dû rebooter la box pour renouveler le certificat sur le dernier firmware ?

Dimitri (bigd)
vendredi 17 décembre, 2021 06:25:44

Je n’ai pas la date en tête du dernier firmware mais j’ai dû redémarrer la box pour le changement de certificat le 13/12.

Le problème devrait se reproduire en février/mars pas avant.

Est-ce qu’il y a un moyen de préserver les journaux de la box avant de la redémarrer ou d’y accéder ?

Marios Makassikis (mmakassikis)
vendredi 17 décembre, 2021 14:50:45
Je n’ai pas la date en tête du dernier firmware mais j’ai dû redémarrer la box pour le changement de certificat le 13/12.

S’il n’y avait pas eu d’autre redémarrage auparavant, il est possible que vous ayez rencontré le bug.
J’ai une box avec un certificat qui expire plus tôt: je garde un oeil dessus.

Est-ce qu’il y a un moyen de préserver les journaux de la box avant de la redémarrer ou d’y accéder ?

Les logs sont accessibles aux développeurs (avec exceptions comme le client vpn et les téléchargements).

Chargement...