FS#39579 : Impossible de se connecter au serveur VPN avec Windows

Actions rapides

Consulter le graphique des dépendances

État Nouveau
Pourcentage achevé
0%
Type Anomalie
Catégorie Services locaux → Serveur VPN
Assignée à Personne
Système d'exploitation Freebox Server V7 (Delta)
Sévérité Moyenne
Priorité Très Basse
Basée sur la version 4.7.9
Due pour la version Non décidée
Échéance Non décidée
Votes
1
- ThibaultV (30/06/2024)
Privée

Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par ThibaultV - 30/06/2024
Dernière modification par ThibaultV - 30/06/2024

FS#39579 - Impossible de se connecter au serveur VPN avec Windows

J’ai un serveur VPN IPsec IKEv2 configuré dans FreeboxOS

Il est impossible de s’y connecter depuis quelques semaines (aux alentours de début mai) depuis une machine Windows (testé sur deux machines différentes, Windows 10 et 11)

Les logs de Windows sont pas très utiles :

The user SYSTEM dialed a connection named Appartement which has failed. The error code returned on failure is 800.

Depuis iOS / macOS aucun soucis, la connexion marche très bien.

J’ai testé avec deux Freebox (Delta dans les deux cas), et le soucis est le même.

Commentaires (11)
Tâches liées (0/0)

mmakassikis a commenté le 30.06.2024 18:37

Bonjour,

Est-ce que le problème persiste après reboot de la box ?

ThibaultV a commenté le 01.07.2024 09:09

Bonjour @mmakassikis
Oui, problème toujours présent après un redémarrage fait ce matin.

mmakassikis a commenté le 01.07.2024 09:53

Pouvez-vous m'indiquer la MAC des box où vous voyez le bug ?

ThibaultV a commenté le 01.07.2024 11:46

34:27:92:64:62:58 et 34:27:92:64:63:96

mmakassikis a commenté le 01.07.2024 12:19

Il faudrait rebooter la box 34:27:92:64:63:96. Vérifiez également les informations d'authentification au niveau du client (je vois un log AUTH_FAILED).

Est-ce que les logs Windows sont toujours les même (error 800) ? A priori cette erreur est renvoyée lorsque le serveur VPN n'est pas joignable (donc pas de lien avec les certificats, username/password, etc).

Est-ce que l'erreur est la même sur les deux clients windows ?

ThibaultV a commenté le 01.07.2024 13:10

Oui, erreur 800 sur les deux clients Windows (un Windows 10, l'autre 11). Les informations d'authentification sont bonnes, elles marchent sans soucis sur macOS/iOS.

Par contre je viens de tenter de forcer Windows à utiliser IKEv2, et j'ai une autre erreur du coup : "IKE Authentication Credentials are Unacceptable. Error 13801"
Mes recherches indiquent que le soucis serait que Windows ne fait pas confiance au certificat (certificats root/CA invalides ou non installés sur le client?)

mmakassikis a commenté le 01.07.2024 13:21

Si vous testez sur la box 34:27:92:64:63:96 c'est attendu: elle n'envoie pas la chaîne de certificat complète. Le bug a été corriger, mais il faut rebooter la box).

(Il est possible que certains clients n'ai pas le problème s'ils consultent un cache local de certificats)

ThibaultV a commenté le 01.07.2024 17:21

@mmakassikis 34:27:92:64:63:96 a été rebootée, la connexion ne fonctionne toujours pas.
Par contre sur l'autre, c'est OK désormais.

The user SYSTEM dialed a connection named xxx which has failed. The error code returned on failure is 13801.

mmakassikis a commenté le 01.07.2024 17:31

Est-ce que vous utilisez le domaine en freeboxos.fr, ou le domaine personnalisé que vous avez ajouté ?

edit: en regardant les logs de plus près, j'ai l'impression que c'est le client qui interrompt la connexion. L'authentification à l'air de passer:

"[IKE] authentication of '2a01:e0a::X:Y' with EAP successful"

edit #2: le certificat sur la box en question est signé par le certificat intermédiaire R11 de LetsEncrypt (mis en service début juin). Peut-être une mise à jour manquante côté Windows ?

J'ai tendance à penser que la validation du certificat est faite avant le username/password, mais peut-être que Windows fait les choses différemment.

ThibaultV a commenté le 01.07.2024 19:33

J'ai essayé : le domaine en freeboxos.fr, le domaine custom et l'IP directement.

Par contre je viens de remarquer une bizarrerie avec le domaine, quand on essaye d'y accéder en https, ça charge à l'infini ? En http l'interface de FreeboxOS s'affiche bien.

mmakassikis a commenté le 02.07.2024 06:32

Est-ce que vous utilisez bien le bon port pour https (61540) ?
Vous pouvez le modifier dans FreeboxOS > Paramètres > Mode avancé > Gestion des accès

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche