- État Nouveau
- Pourcentage achevé
- Type Anomalie
- Catégorie Services locaux → Serveur VPN
- Assignée à Personne
- Système d'exploitation Freebox Server V8 (Pop)
- Sévérité Basse
- Priorité Très Basse
- Basée sur la version 4.9.14
- Due pour la version Non décidée
-
Échéance
Non décidée
-
Votes
1
- Versman (18/12/2025)
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Versman - 07/12/2025
Ouverte par Versman - 07/12/2025
FS#40703 - VPN IKEv2 IPv4 - Erreur réseau
Bonjour,
J’ai de nouveau un problème avec le VPN IKEv2. La connexion se fait mais pas de trafic réseau par la suite (ping KO, traceroute KO, etc).
En me rendant sur mafreebox.freebox.fr, un message apparait sur la partie IKEv2 :
Ce service n’est pas disponible en IPv4 à distance sur votre connexion ; vous pourrez vous y connecter uniquement en IPv6
Pouvez-vous me confirmer que cela a un lien ?
Avez-vous prévu de remettre en place ce service ?
Merci.
Emmanuel
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
vous êtes en IPv4 partagée, où le port 500 n'est pas disponible.
en ipv6, il n'y a pas ce problème.
pour vous assurez que cela fonctionne aussi si vous vous trouvez sur un réseau IPv4-only, il faut demander une IP fullstack depuis votre espace abonné
Bonjour
@mmakassikis
Suite aux différentes failles des VPN SSL fournis par les éditeurs de sécurités du marché (CVE souvent du à des problèmes sous-jacent sur la libssl), certains fournisseurs de sécurités sont en train de progressivement supprimer les VPN SSL de leurs équipements (Fortinet par exemple)
En conséquences, IPSEC a du évoluer et aujourd'hui on peut changer le port ESP qui avant étaient "quasiment figés dans le protocole" historiquement
Un RFC récent permet également l'encapsulation de IPSEC sur TCP443 ou TCPXXX :
https://datatracker.ietf.org/doc/html/rfc8229
Voir Appendix B1
Establishing an IKE Session Client Server ---------- ---------- 1) -------------------- TCP Connection ------------------- (IP_I:Port_I -> IP_R:Port_R) TcpSyn ----------> <---------- TcpSyn,Ack TcpAck ----------> 2) --------------------- TLS Session --------------------- ClientHello ----------> ServerHello Certificate* ServerKeyExchange* <---------- ServerHelloDone ClientKeyExchange CertificateVerify* [ChangeCipherSpec] Finished ----------> [ChangeCipherSpec] <---------- Finished 3) ---------------------- Stream Prefix -------------------- "IKETCP" ----------> 4) ----------------------- IKE Session --------------------- Length + Non-ESP Marker ----------> IKE_SA_INIT HDR, SAi1, KEi, Ni, [N(NAT_DETECTION_*_IP)] <------ Length + Non-ESP Marker IKE_SA_INIT HDR, SAr1, KEr, Nr, [N(NAT_DETECTION_*_IP)] Length + Non-ESP Marker ----------> first IKE_AUTH HDR, SK {IDi, [CERTREQ] CP(CFG_REQUEST), IDr, SAi2, TSi, TSr, ...} <------ Length + Non-ESP Marker first IKE_AUTH HDR, SK {IDr, [CERT], AUTH, EAP, SAr2, TSi, TSr} Length + Non-ESP Marker ----------> IKE_AUTH + EAP repeat 1..N times <------ Length + Non-ESP Marker IKE_AUTH + EAP Length + Non-ESP Marker ----------> final IKE_AUTH HDR, SK {AUTH} <------ Length + Non-ESP Marker final IKE_AUTH HDR, SK {AUTH, CP(CFG_REPLY), SA, TSi, TSr, ...} -------------- IKE and IPsec SAs Established ------------ Length + ESP Frame ---------->Prévoyez vous d'implémenter ce RFC (rfc8229) ?
Et de permettre à l'utilisateur de modifier le port ESP et IPSEC utilisé par IPSec (tcp 443 par exemple pour faire de l'IPSEC vers sa freebox quand on est derrière un firewalls qui ne laisse passer que les flux web) ?
En vous remerciant d'avance
Cordialement
nbanba