- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Services locaux → Serveur VPN
- Assignée à Personne
- Système d'exploitation Freebox Server Mini 4K
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 4.5.3
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par bigd - 13/12/2021
Dernière modification par mmakassikis - 07/03/2022
FS#36104 - IPSec HS après renouvellement de certificats letsencrypt
Bonjour,
J’ai configuré ma FreeBox pour servir de serveur VPN IPsec IKEv2 avec un nom de domaine en freeboxos.fr et un certificat TLS/RSA associé au nom de domaine.
Il semble y avoir un soucis lors du renouvellement des certificats letsencrypt.
En effet, à deux reprises, le renouvellement du certificat se fait bien automatiquement tous les 90 jours mais le service IPsec ne semble pas prendre en compte cette modification de certificat et les tunnels ne se montent plus (message d’erreur sur Windows : “les informations d’authentification IKE ne sont pas acceptables”).
Malgré une désactivation du service IPsec puis une réactivation depuis l’IHM Freebox OS, le serveur IPsec ne fonctionne toujours pas. Seul un redémarrage de la Freebox résout le problème (confirmé 2 fois).
Est-ce qu’il est possible de faire en sorte que le certificat renouvelé soit pris en compte sans redémarrage de la box pour le serveur IPsec ?
Merci.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour,
C’est normalement déjà le cas. Pouvez-vous m’indiquer la MAC de votre box ?
Pour info:
lets encrypt a des soucis en ce moment, ils ont trouvé un problème d’expiration de certificat en septembre dernier.
(voir la news)
https://thecyberpost.com/news/security/lets-encrypt-explains-last-months-outages-caused-by-certificate-expiration/
L'article traduit
j’ai aussi des problèmes de renouvellement certificat avec mon Nas… que ce soit en manuel ou en auto
Le soucis de septembre c’est effectivement parce que letsencrypt a fait expiré une de ses CA. Du coup, sans mise à jour système, il y avait un problème.
C’est clairement pas mon cas ici, la problématique de CA ne se poserait que côté client et non sur le serveur VPN.
L’adresse MAC : F4CAE543222A
alors peut-être que c’est un problème similaire a mon Nas
sur mon Nas j’ai une option “Changer automatiquement les connexions Http pour des connexions Https” en gros il force le port 80 vers le port 443.
C’est le support de mon Nas qui ma fait découvrir ce probleme et maintenant ça marche …
Let’s encrypt fait ses demandes de renouvellement à travers le port 80 et plante quand c’est en 443
Mais seul un Dev-Free pourra le confirmer que c’est le même probleme .
“Changer automatiquement les connexions Http pour des connexions Https” sur mon Nas ne doit etre activer avec let’s encrypt
Il n’y a rien dans les logs qui suggère un problème de renouvellement. D’un autre côté, si vous avez rebooté c’est normal que le log ne soit plus là.
Il y avait effectivement un bug qui s’est manifesté lors de l’expiration du root X3 où il était nécessaire de rebooter deux fois la Freebox pour retrouver un état normal de fonctionnement.
Est-ce que vous avez dû rebooter la box pour renouveler le certificat sur le dernier firmware ?
Je n’ai pas la date en tête du dernier firmware mais j’ai dû redémarrer la box pour le changement de certificat le 13/12.
Le problème devrait se reproduire en février/mars pas avant.
Est-ce qu’il y a un moyen de préserver les journaux de la box avant de la redémarrer ou d’y accéder ?
S’il n’y avait pas eu d’autre redémarrage auparavant, il est possible que vous ayez rencontré le bug.
J’ai une box avec un certificat qui expire plus tôt: je garde un oeil dessus.
Les logs sont accessibles aux développeurs (avec exceptions comme le client vpn et les téléchargements).