Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie Services locaux → Serveur VPN
  • Assignée à Personne
  • Système d'exploitation Freebox Server V8 (Pop)
  • Sévérité Basse
  • Priorité Très Basse
  • Basée sur la version 4.9.14
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
  • Privée

FS#40703 - VPN IKEv2 IPv4 - Erreur réseau

Bonjour,

J’ai de nouveau un problème avec le VPN IKEv2. La connexion se fait mais pas de trafic réseau par la suite (ping KO, traceroute KO, etc).

En me rendant sur mafreebox.freebox.fr, un message apparait sur la partie IKEv2 :
Ce service n’est pas disponible en IPv4 à distance sur votre connexion ; vous pourrez vous y connecter uniquement en IPv6

Pouvez-vous me confirmer que cela a un lien ?
Avez-vous prévu de remettre en place ce service ?

Merci.
Emmanuel

Admin
mmakassikis a commenté le 09.01.2026 18:13
En me rendant sur mafreebox.freebox.fr, un message apparait sur la partie IKEv2 :
Ce service n’est pas disponible en IPv4 à distance sur votre connexion ; vous pourrez vous y connecter uniquement en IPv6

vous êtes en IPv4 partagée, où le port 500 n'est pas disponible.

en ipv6, il n'y a pas ce problème.

pour vous assurez que cela fonctionne aussi si vous vous trouvez sur un réseau IPv4-only, il faut demander une IP fullstack depuis votre espace abonné

nbanba a commenté le 10.01.2026 08:45

Bonjour

@mmakassikis
Suite aux différentes failles des VPN SSL fournis par les éditeurs de sécurités du marché (CVE souvent du à des problèmes sous-jacent sur la libssl), certains fournisseurs de sécurités sont en train de progressivement supprimer les VPN SSL de leurs équipements (Fortinet par exemple)

En conséquences, IPSEC a du évoluer et aujourd'hui on peut changer le port ESP qui avant étaient "quasiment figés dans le protocole" historiquement

Un RFC récent permet également l'encapsulation de IPSEC sur TCP443 ou TCPXXX :

https://datatracker.ietf.org/doc/html/rfc8229

Voir Appendix B1 

Establishing an IKE Session
 
                   Client                              Server
                 ----------                          ----------
     1)  --------------------  TCP Connection  -------------------
         (IP_I:Port_I  -> IP_R:Port_R)
         TcpSyn                    ---------->
                                   <----------          TcpSyn,Ack
         TcpAck                    ---------->
 
     2)  ---------------------  TLS Session  ---------------------
         ClientHello               ---------->
                                                       ServerHello
                                                      Certificate*
                                                ServerKeyExchange*
                                   <----------     ServerHelloDone
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                  ---------->
                                                [ChangeCipherSpec]
                                   <----------            Finished
 
     3)  ---------------------- Stream Prefix --------------------
         "IKETCP"                  ---------->
     4)  ----------------------- IKE Session ---------------------
         Length + Non-ESP Marker   ---------->
         IKE_SA_INIT
         HDR, SAi1, KEi, Ni,
         [N(NAT_DETECTION_*_IP)]
                                   <------ Length + Non-ESP Marker
                                                       IKE_SA_INIT
                                               HDR, SAr1, KEr, Nr,
                                           [N(NAT_DETECTION_*_IP)]
         Length + Non-ESP Marker   ---------->
         first IKE_AUTH
         HDR, SK {IDi, [CERTREQ]
         CP(CFG_REQUEST), IDr,
         SAi2, TSi, TSr, ...}
                                   <------ Length + Non-ESP Marker
                                                    first IKE_AUTH
                                       HDR, SK {IDr, [CERT], AUTH,
                                              EAP, SAr2, TSi, TSr}
         Length + Non-ESP Marker   ---------->
         IKE_AUTH + EAP
         repeat 1..N times
                                   <------ Length + Non-ESP Marker
                                                    IKE_AUTH + EAP
         Length + Non-ESP Marker   ---------->
         final IKE_AUTH
         HDR, SK {AUTH}
                                   <------ Length + Non-ESP Marker
                                                    final IKE_AUTH
                                     HDR, SK {AUTH, CP(CFG_REPLY),
                                                SA, TSi, TSr, ...}
         -------------- IKE and IPsec SAs Established ------------
         Length + ESP Frame        ---------->

Prévoyez vous d'implémenter ce RFC (rfc8229) ?
Et de permettre à l'utilisateur de modifier le port ESP et IPSEC utilisé par IPSec (tcp 443 par exemple pour faire de l'IPSEC vers sa freebox quand on est derrière un firewalls qui ne laisse passer que les flux web) ?

En vous remerciant d'avance
Cordialement
nbanba

Versman a commenté le 12.01.2026 13:56

Bonjour @mmakassikis

J'ai basculé ma box en IP fullstack ce midi.
Après reboot, j'ai effectivement récupéré la totalité des ports disponibles sur mon IP (une nouvelle IP d'ailleurs).

J'ai refait le test. La connexion VPN est établie comme auparavant. Je n'ai toujours pas accès aux équipements de mon réseau depuis le VPN.

Fait nouveau : je ne sors plus sur internet avec mon équipement connecté au VPN de la Freebox (historiquement, l'adresse IP publique affichée était celle de la box à partir de mon équipement connecté au VPN). D'ailleurs, je ne ping plus mon équipement connecté depuis un PC du réseau.
Ca donne l'impression d'un problème de routage car la connexion est bien établie et visible dans mafreebox.freebox.fr

Autre élément, je n'ai effectivement plus le message d'erreur sur mafreebox.freebox.fr

Merci de votre retour.
Emmanuel

Versman a commenté le 12.01.2026 17:50

En complément, j'ai lancé un trace route depuis mon pc vers l'IP locale de mon périphérique distant connecté au VPN et j'obtiens cela :

tracert 192.168.27.65 Détermination de l’itinéraire vers 192.168.27.65 avec un maximum de 30 sauts. 1 <1 ms <1 ms <1 ms 192.168.0.254
2 * * * Délai d’attente de la demande dépassé.
3 * * * Délai d’attente de la demande dépassé.
4 * * * Délai d’attente de la demande dépassé.
5 * * * Délai d’attente de la demande dépassé.
6 192.168.0.254 rapports : Impossible de joindre l’hôte de destination. Itinéraire déterminé.

A la 6ème itération, j'ai coupé le VPN et il a terminé la commande Trace route.

Versman a commenté le 12.01.2026 18:39

Dans l'interface de la FreeboxOS > Serveur VPN > Connexions, j'ai remarqué que si mon IP source est en IPv6, je n'ai pas de réception (émission ok).
J'ai testé avec une autre connexion (Bouygues Télécom) et la connexion arrive en IPv4. Et là tout fonctionne (émission et réception). J'accède même à mes équipements.

C'est quand même dommage que cela ne fonctionne pas avec une connexion mobile partagée FreeMobile.

Versman a commenté le 12.01.2026 19:05

J'ai trouvé un contournement :
Lors du paramétrage de mon VPN IKEv2 sur mon iPhone, j'avais mis mon nom de domaine _.freeboxos.fr dans la section "Serveur" et la section "Id. distant" (je rappelle que ça marchait avant).

J'ai remplacé l'adresse du serveur par ma nouvelle IP Publique (j'ai gardé mon nom de domaine pour la partie Id. distant).
Du coup, je me présente avec l'IPv4 de mon téléphone et tout fonctionne.

Merci de m'avoir fait basculer en Fullstack.

Admin
mmakassikis a commenté le 12.01.2026 19:35

pouvez-vous préciser quelle version d'iOS est utilisée ?

quand ça marchait "avant", est-ce que c'était la même version ?

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche