- État Nouveau
- Pourcentage achevé
- Type Anomalie
- Catégorie Services locaux → Serveur VPN
- Assignée à Personne
- Système d'exploitation Freebox Server V8 (Pop)
- Sévérité Basse
- Priorité Très Basse
- Basée sur la version 4.9.14
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
1
- Versman (18/12/2025)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Versman - 07/12/2025
Ouverte par Versman - 07/12/2025
FS#40703 - VPN IKEv2 IPv4 - Erreur réseau
Bonjour,
J’ai de nouveau un problème avec le VPN IKEv2. La connexion se fait mais pas de trafic réseau par la suite (ping KO, traceroute KO, etc).
En me rendant sur mafreebox.freebox.fr, un message apparait sur la partie IKEv2 :
Ce service n’est pas disponible en IPv4 à distance sur votre connexion ; vous pourrez vous y connecter uniquement en IPv6
Pouvez-vous me confirmer que cela a un lien ?
Avez-vous prévu de remettre en place ce service ?
Merci.
Emmanuel
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
vous êtes en IPv4 partagée, où le port 500 n'est pas disponible.
en ipv6, il n'y a pas ce problème.
pour vous assurez que cela fonctionne aussi si vous vous trouvez sur un réseau IPv4-only, il faut demander une IP fullstack depuis votre espace abonné
Bonjour
@mmakassikis
Suite aux différentes failles des VPN SSL fournis par les éditeurs de sécurités du marché (CVE souvent du à des problèmes sous-jacent sur la libssl), certains fournisseurs de sécurités sont en train de progressivement supprimer les VPN SSL de leurs équipements (Fortinet par exemple)
En conséquences, IPSEC a du évoluer et aujourd'hui on peut changer le port ESP qui avant étaient "quasiment figés dans le protocole" historiquement
Un RFC récent permet également l'encapsulation de IPSEC sur TCP443 ou TCPXXX :
https://datatracker.ietf.org/doc/html/rfc8229
Voir Appendix B1
Establishing an IKE Session Client Server ---------- ---------- 1) -------------------- TCP Connection ------------------- (IP_I:Port_I -> IP_R:Port_R) TcpSyn ----------> <---------- TcpSyn,Ack TcpAck ----------> 2) --------------------- TLS Session --------------------- ClientHello ----------> ServerHello Certificate* ServerKeyExchange* <---------- ServerHelloDone ClientKeyExchange CertificateVerify* [ChangeCipherSpec] Finished ----------> [ChangeCipherSpec] <---------- Finished 3) ---------------------- Stream Prefix -------------------- "IKETCP" ----------> 4) ----------------------- IKE Session --------------------- Length + Non-ESP Marker ----------> IKE_SA_INIT HDR, SAi1, KEi, Ni, [N(NAT_DETECTION_*_IP)] <------ Length + Non-ESP Marker IKE_SA_INIT HDR, SAr1, KEr, Nr, [N(NAT_DETECTION_*_IP)] Length + Non-ESP Marker ----------> first IKE_AUTH HDR, SK {IDi, [CERTREQ] CP(CFG_REQUEST), IDr, SAi2, TSi, TSr, ...} <------ Length + Non-ESP Marker first IKE_AUTH HDR, SK {IDr, [CERT], AUTH, EAP, SAr2, TSi, TSr} Length + Non-ESP Marker ----------> IKE_AUTH + EAP repeat 1..N times <------ Length + Non-ESP Marker IKE_AUTH + EAP Length + Non-ESP Marker ----------> final IKE_AUTH HDR, SK {AUTH} <------ Length + Non-ESP Marker final IKE_AUTH HDR, SK {AUTH, CP(CFG_REPLY), SA, TSi, TSr, ...} -------------- IKE and IPsec SAs Established ------------ Length + ESP Frame ---------->Prévoyez vous d'implémenter ce RFC (rfc8229) ?
Et de permettre à l'utilisateur de modifier le port ESP et IPSEC utilisé par IPSec (tcp 443 par exemple pour faire de l'IPSEC vers sa freebox quand on est derrière un firewalls qui ne laisse passer que les flux web) ?
En vous remerciant d'avance
Cordialement
nbanba
Bonjour @mmakassikis
J'ai basculé ma box en IP fullstack ce midi.
Après reboot, j'ai effectivement récupéré la totalité des ports disponibles sur mon IP (une nouvelle IP d'ailleurs).
J'ai refait le test. La connexion VPN est établie comme auparavant. Je n'ai toujours pas accès aux équipements de mon réseau depuis le VPN.
Fait nouveau : je ne sors plus sur internet avec mon équipement connecté au VPN de la Freebox (historiquement, l'adresse IP publique affichée était celle de la box à partir de mon équipement connecté au VPN). D'ailleurs, je ne ping plus mon équipement connecté depuis un PC du réseau.
Ca donne l'impression d'un problème de routage car la connexion est bien établie et visible dans mafreebox.freebox.fr
Autre élément, je n'ai effectivement plus le message d'erreur sur mafreebox.freebox.fr
Merci de votre retour.
Emmanuel
En complément, j'ai lancé un trace route depuis mon pc vers l'IP locale de mon périphérique distant connecté au VPN et j'obtiens cela :
tracert 192.168.27.65 Détermination de l’itinéraire vers 192.168.27.65 avec un maximum de 30 sauts. 1 <1 ms <1 ms <1 ms 192.168.0.254
2 * * * Délai d’attente de la demande dépassé.
3 * * * Délai d’attente de la demande dépassé.
4 * * * Délai d’attente de la demande dépassé.
5 * * * Délai d’attente de la demande dépassé.
6 192.168.0.254 rapports : Impossible de joindre l’hôte de destination. Itinéraire déterminé.
A la 6ème itération, j'ai coupé le VPN et il a terminé la commande Trace route.
Dans l'interface de la FreeboxOS > Serveur VPN > Connexions, j'ai remarqué que si mon IP source est en IPv6, je n'ai pas de réception (émission ok).
J'ai testé avec une autre connexion (Bouygues Télécom) et la connexion arrive en IPv4. Et là tout fonctionne (émission et réception). J'accède même à mes équipements.
C'est quand même dommage que cela ne fonctionne pas avec une connexion mobile partagée FreeMobile.
J'ai trouvé un contournement :
Lors du paramétrage de mon VPN IKEv2 sur mon iPhone, j'avais mis mon nom de domaine _.freeboxos.fr dans la section "Serveur" et la section "Id. distant" (je rappelle que ça marchait avant).
J'ai remplacé l'adresse du serveur par ma nouvelle IP Publique (j'ai gardé mon nom de domaine pour la partie Id. distant).
Du coup, je me présente avec l'IPv4 de mon téléphone et tout fonctionne.
Merci de m'avoir fait basculer en Fullstack.
pouvez-vous préciser quelle version d'iOS est utilisée ?
quand ça marchait "avant", est-ce que c'était la même version ?
iOS 26.2
Ca ne fonctionnait pas "avant" avec la même version (mais ça a eu fonctionné il y quelques mois).
Je pense que le problème est multiple :
- Le nom de domaine _.freeboxos.fr qui était traduit en IPv6
- Une mise à jour de ma box qui m'a changé mon IP et surtout modifié la plage de port que j'avais à disposition. Je pense que j'ai été chanceux d'avoir la première plage de ports qui inclus le port 500 et le port 4500 à une période où cela marchait.
Le tout a donc été résolu en repassant ma connexion en Fullstack IPv4 puis en modifiant ma configuration VPN (sur le client) pour qu'il utilise le domaine à travers l'Id distant et ma nouvelle ip v4 publique dans la partie Serveur.
Ma configuration d'origine qui est tombé en panne suite aux mises à jour était basé uniquement sur le nom de domaine freeboxos.fr
J'ai aussi testé de ne mettre que l'IPv4 publique sur la partie Serveur et Id Distant mais ce n'était pas fonctionnel (ce que j'ai trouvé bizarre). C'est sûrement lié au certificat du nom de domaine qui facilite la connexion.