Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie WAN → Fibre
  • Assignée à Personne
  • Système d'exploitation Freebox Server V7 (Delta)
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version A PRECISER
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par compa - 06/12/2024
Dernière modification par mmakassikis - 06/12/2024

FS#39890 - Communication Impossible entre 2 freeBox

Bonjour,
Nous avons le problème suivant:
Une personne extérieure ne peut pas atteindre notre freebox.

Notre freebox est en mode bridge ipv4 full stack et derrière se trouve un routeur Fortinet avec ensuite des serveurs connectés.
Notre Ip est: 82.65.x.y
Cette personne a aussi une freebox dans son appartement à Paris.
Son ip est 82.67.x.y
Elle n’a aucun soucis de connexion de manière générale.
Sauf qu’elle ne peut accéder à aucun des services derrière notre freebox.
Un traceroute depuis chez elle sur notre IP bloque sur le premier serveur free.

Ce que nous avons testé: 

Du coté de la personne: 
- Cette personne peut accéder à nos services en passant pas un vpn ou une connexion alternative (4G) 
- Cette personne a fait un hard Reset de sa freebox et le problème est toujours la. 
- Cette personne a fait une déclaration d'incident à free de son coté sans réponse satisfaisante. 
- Cette personne pouvait accéder à nos services sans problème jusqu'au moment ou elle a demandé une IP Full Stack sur sa ligne. 
De notre coté: 
- Nous avons vérifié que son ip n'est dans aucune de nos black list (routeur ou serveurs) 
- Nous avons vérifié qu'il n'y a aucune règle lié à son IP.
- Seule cette personne à des problèmes de connexion sur notre site.
- Dans l'autre sens ça fonctionne (Depuis notre freebox, on peut accéder à des services derrière sa freebox)

Particularité de notre ligne: on ne peut pinguer notre IP alors que le ping est activé sur la Freebox ainsi que sur le routeur.

Avez vous une idée du problème ?
Les serveurs free auraient ils pu black lister cette IP de leur coté ?

Cordialement,
Stéphane

Admin
mmakassikis a commenté le 06.12.2024 14:51

est-ce que vous avez fait le test en ipv6 ?

JoBar a commenté le 08.12.2024 10:14

Bonjour,

Avez-vous verifier que vos Lan soient different?
Certains VPN fonctionnent avec des Lan identique, mas pour d'autres cela est impossible.
Peut être vous manque-t-il une configuration dans votre contrôleur VPN pour l'accès a un Lan identique.

Les Freebox avaient un Lan 192.168.0.0/24 et celle livré aujourd'hui elles ont 192.168.1.0/24. Avez-vous verifier?
Le Lan sur les Freebox se change facilement.

JoBar.

nbanba a commenté le 09.12.2024 07:14

Bonjour

En temps que spécialiste Fortigate, je peux peut-être vous aider.

Quelle est a version de FortiOS ?
Quel est le modèle du FortiGate ?

Pouvez vous poster le fameux traceroute qui "s'arrête au premier routeur de Free" ? (il s'arrête ou juste pas d'ICMP REPLY à partir du premier router de Free ?)
Que donne le même traceroute vers 1.1.1.1 ou 9.9.9.9 ou encore 8.8.8.8 ?
Que donne le même traceroute vers 212.27.40.240 ? et vers free.fr ?

Sur le Fortigate, ouvrir un CLI ( en haut à droite depuis l'interface graphique, ou directement en SSH ou en port console) : 

diag sniffer packet any 'host <ip_forti> and <ip_remote_host> 4 0 l

Puis essayer un test depuis son IP lors de la capture
Puis faire le test reverse (depuis 1 server –> vers sa box en changeant <ip_forti> par <ip_server_interne>)

Postez l'output ici ou plutôt dites moi ici et je vous donnerai un mail ou me contacter afin de ne pas poster d'infos sensibles sur un forum publique

Est ce qu'il y a des "outils" chez la personne qui as le souci permettant de pousser les tests ? genre une machine sous Linux avec tcpdump, traceroute, softflowd / tcpflow, etc… ? (eventuellement une VM dans la box du user si c'est une Delta ou Ultra ça fait l'affaire)

aussi, pourriez vous poster ici le contenu (relatif à ce qui nous interresse en masquant la fin de l'IP publique quand besoin) de : 

show system interfaces

Particulièremment l'interface wan connectée à la box (utilise t'elle DHCP ? si oui, la distance dans la table de rouage est de 5 pour la route par défaut ce qui écrase la distance standard des statiques (10), ce qui peut poser certains problèmes)

et des policies relatives aux interfaces (dans l'ordre de la pile de filtrage du Forti? 

show firewall policy

Le Forti devrait ping sur l'IP failover (sinon c'est qu'il y a missconf sur le Forti, notamment au niveau des VIP)

idem, pourriez vous faire un 

show firewall vip
show firewall vip6
show firewall ippool
show firewall ippool6

Si des VIP en IPv4 sont utilisées, attention le 'set arp-reply enable' attrappe le trafic localement sur le Forti (activé par défaut), visible en faisant :

config firewall vip
edit <vip_name>
show full

+ merci de poster aussi la table de routage et les policy routes (if any) car l'ordre de check sur le Forti (comme sur tous les firewalls) c'est : table de policy routes puis table de routage puis table de filtrage (firewall policies) 

show router policy
show router policy6
get router info routing-table all

Si ça ne suffit pas, je vous dirais comment tracer les flux et leurs processing (equivalent du dump des skb ou d'un tracing bpf sous Linux) au sein du Forti (avec une sorte de printk).

ATTENTION 1: Si vous jugez que l'output des commande ci-dessus est trop sensible pour être postée sur un forum publique internet (c'est d'ailleurs mon avis), n'hésitez pas à me demander ici je vous donnerai le moyen de me contacter sur un email privé.

ATTENTION 2: je ne travaille pas pour Free ni pour le groupe Iliad, cependant si je peux vous aider, n'hésitez pas…

Cordialement
nbanba

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche