- Status Nouveau
- Percent Complete
- Task Type Anomalie
- Category Non trié
- Assigned To No-one
- Operating System Freebox Server V7 (Delta)
- Severity Critical
- Priority High
- Reported Version 4.8.15
- Due in Version Undecided
-
Due Date
26/09/2024
7 days overdue - Votes
- Private
Opened by o.baudelot - 23/09/2024
FS#39741 - Problème de connexion via VPN Entreprise managé via FORTICLIENT
Bonjour,
Alors que tout fonctionnait très bien depuis des années (au moins 2019), j’ai depuis le 01/08/2024 des déconnexions récurrentes après des durées variables de connexion et de Gb d’échanges de données via le VPN de mon Entreprise managé via FORTICLIENT.
Je n’ai pas ces dernières via mon téléphone Free 5G, uniquement via ma box. J’ai été connecté durant toute une journée en WIFI à mon entreprise via une box 4g et n’ai pas eu de problème.
Le service informatique de mon entreprise affirme avoir fait tout ce qu’il pouvait et prouvé que le problème en vient pas du VPN de l’entreprise de ce fait.
Il veut m’imposer un changement d’opérateur car, pour lui, le problème vient de chez Free. Il s’avère que je suis un “trés vieux” client Free (internet et téléphonie) dont j’ai toujours été satisfait et cela me dérangerait de changer.
Pouvez vous faire quelque chose ?
Merci d’avance pour votre retour.
Cordialement
Olivier BAUDELOT
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Bonjour
Le service informatique vous a t-il donné des informations sur ce qui se déconnectait ? (TCP, UDP, paquet loss, etc) ?
Cdt
Est-ce que vous vous connectez en Ethernet à la box, ou en Wi-Fi ? Si Wi-Fi, est-ce que vous passez par l'intermédiaire d'un répéteur ?
Bonjour
J'ai ouvert un case chez Fortinet (CASE Fortinet #9686357) pour des soucis similaires chez un client accompagnés de problèles de débits sans beaucoup de succès… Voici quelques pistes à transmettre à votre service informatique:
Modifications de configurations pour activer le DTLS (UDP encapsulation du VPN SSL) :
Réduction du TCP MSS pour l'encapsulation TCP dans UDP (DTLS c'est un peu comme des poupées russes), ici dans l'exemple 1300 ce sont les valeurs fournies par le support Fortinet mais d'après mes tests, une valeur entre 1100 et 1200 fonctionne mieux pour la stabilité
Check des drops et d'un composant défaillant (un ASIC NPx) dans le FortiGate (Endpoint VPN SSL) :
Aussi si vous détectez un 'FAULTY ASIC' , désactivez l'offloading sur la policy gérant le traffic ET contactez le support pour RMA
De tous les tests que j'ai pu faire (plusieurs semaines de tests avec le client, le support, etc), il à été décidé de passer en VPN IPSEC qui est beaucoup plus stable et performant.
Afin de continuer à fonctionner "presque" comme le VPN SSL, nous utilisons le RFC 8229 pour encapsuler IKE et NAT-T (UDP-500 et UDP-4500) dans TCP 443 notamment en réalisant la configuration de l'encapsulation en respectant le process décrit ici (voir la suite, notamment la Figure 5 à l'Appendix B):
https://https://datatracker.ietf.org/doc/html/rfc8229#appendix-A
La configuration à mettre dans la phase1 (pas du traffic selector IPSEC ~=phase2) au niveau du FortiGate est : set transport tcp
Au niveau du FortiClient, actuvez également le transport TCP
Si vous devez connecter les users avec un annuaire comme LDAP ou MS Active Directory, faite de l'authentification EAP avec un RADIUS et mettez les groupes d'utilisateurs en plus dans les policy.
Voici quelques liens pour les différents types d'authentifications possible en entreprise avec le FortiClient en mobIKE (mobile ipsec), ça donne une bonne idée de ce que l'on peut faire :
https://https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-Dialup-IPsec-IKEv2-VPN-tunnel-with-OKTA/ta-p/317244
https://https://docs.fortinet.com/document/fortigate/7.4.4/administration-guide/951346/saml-based-authentication-for-forticlient-remote-access-dialup-ipsec-vpn-clients
https://https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-Microsoft-Entra-ID-SAML/ta-p/307457
https://https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-configure-AD-FS-SAML-authentication-for/ta-p/310592
https://https://community.fortinet.com/t5/FortiGate/Technical-Tip-Troubleshoot-IPSEC-SAML-Dial-UP-tunnel/ta-p/343030
https://https://community.fortinet.com/t5/FortiGate/Technical-Tip-FortiGate-SAML-authentication-resource-list/ta-p/213924
PS:
Dans un premier temps, demandez à votre service informatique d'activer DTLS et de réduire le TCP MSS, ça peut résoudre les soucis.
Si cela ne change pas, vérifiez que vous n'avez pas un matériel deffectueux (un ASIC deffectueux dans le FortiGate) et si ce n'est pas le cas, réfléchissez à la solution visant à abandonner le VPN SSL pour passer en IPSEC
Cordialement
nbanba
Bonjour
On a eu un cas résolu en passant par l'IP au lieu du nom de domaine et en désactivant l'IPv6 sur le laptop connecté au VPN.
Est-ce que cela résout le problème pour vous également ?
Cdt
Bonjour
Le BUG avec l'IPv6 sur les connexions dual stack se caractérise par un blocage du FortiClient lors de la tentative de connection à 98% du process.
Un deep dive dans les skb sur un Linux à montré qu'à ce stade, le FortiClient essaye de pousser les routes IPv6 dans la table IPv4 (BUG ?)
Le changement de la précédence IPv6 / IPv4 avec netsh sous Windows et dans /etc/gai.conf sous Linux aide dans pas mal de cas, tout comme attaquer une IP ou carrément désactiver IPv6 des 2 côtés (et ça en 2024, vraiment je ne recommande pas, il est temps de faire fonctionner correctement tout avec IPv4 pour pouvoir arrêter IPv4)
Il n'y a pas de soucis en IPv6 avec IPSEC, si le selector est en V6, il monte en V6, s'il est en V4, il monte en V4 quand les 2 endpoints du tunnels sont en dual stack v4/v6.
Autre point en faveur d'IPSEC chez Fortinet, voici les capacité extraites de la datasheet du Forti qui est dans mon lab :
Soit 11.5 fois le débit pour 8 fois plus de clients…!
C'est là que l'on retrouve tous les milliards investis par Palo Alto, Fortinet, Cisco
depuis 20 ans… pour réussir à à offload ipsec sur des asic hyper performants contrairement au VPN SSL qui au final n'est qu'une rustine récente relativement adaptée pour faire l'admin du firewall lui même mais beaucoup moins pour du "pure tunnelling"
Aussi, en VPN SSL sur les datacenter de ma boite, depuis chez moi avec ma Freebox j'ai 18ms à 23 ms de ping en pingant la gateway VPN (lire le FortiGate) depuis mon laptop (connecté en fibre sur le lan de la freebox), le tout avec pas mal de jigue.
En IPSEC, j'ai 2,89 ms de ping (moyenne sur 1000 ping) lorsque je ping la VPN gateway depuis mon laptop (c'est le même équipement que pour le VPN SSL, la même connexion internet côté home & datacenter, etc…)
Pour comparaison, j'ai environ 2ms de ping sur dns.google (8.8.8.8) one.one.one.one (1.1.1.1) ou encode dns9.quad9.net (9.9.9.9)
Donc en IPSEC, au niveau qualité c'est presque comme si j'avais un MPLS privé entre mon laptop et les datacenters de ma société (au travers de ma freebox) alors qu'en VPN SSL c'est comme si j'avais une mauvaise ADSL de campagne, particulièrement lorsqu'il y a plus de 30 clients en VPN SSL
Cordialement
nbanba
Bonjour
Désolé pour les coquilles de mes précédents messages, ce n'est pas :
Soit 11.5 fois le débit pour 8 fois plus de clients
Mais
Soit 11.5 fois le débit pour 32 fois plus de clients
Pour precision de mon premier message, il faut noter que la recherche de composants défaillants dans les Fortigate peut être assez délicate à analyser (notamment les états des registres mémoires des asic 'npu' Fortinet NP{6,7} capturés pas à pas lors des debugs)
Si votre service informatique a des difficultés à interpréter les output des commandes (de par leur caractère avancé, certaines commandes ne sont pas documentées publiquement), n'hésitez pas à revenir ici et je vous dirais comment transmettre les outputs des commandes + les debugs logs des Fortigate (System > debug_log) pour analyse afin de vous faire un retour.
PS :
Je serais surpris que la ligne Free ou encore la Freebox soit en cause dans le fond (pas dans la forme et sans exclure la nécessité de faire évoluer certaines configurations côté Fortigate)
Bien cordialement
nbanba