Bonjour,
On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote:
Désactive IPv6 sur le client pour voir.
C'est le contraire qu'il faut faire.
En IPv6 ca passe, en IPv4 non (probablement CGNAT ou autre mécanisme de
transition a la con qui fout la merde).
(Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan
sur android.
"Use IPv6 transport address" dans la conf coché : OK, décoché : KO.
(avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10).
Ca fait de mes souvenirs plus d'un an que c'est comme ça.
Vincent.
On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote:
Salut à tous !
Je rencontre un souci très pénible.
J’ai depuis plus de dix ans plusieurs clients avec des sites
distants et des Fortigate. Lignes fibres pour la plupart
aujourd'hui, chez Orange Pro, Free, FreePro, SFR, Colt, Unyc,
peu importe. J’ai des tunnels IPSec entre les sites distants
sans aucun souci, fiables, ça monte très vite en IKEv2.
La plupart ont aussi un accès via leurs mobiles ou ordinateurs.
SSL, IPSec, clients Forti selon les cas, mais pas eu beaucoup de
soucis.
Depuis quelques mois (dur à retracer), chez un seul client,
impossible de monter un tunnel IPSec via iOS ou macOS quand ils
sont en 4G/5G (sur le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet
depuis n’importe quel autre opérateur fonctionne sans souci.
J’ai essayé via Free et FreePro mobiles, aucun problème, le
tunnel est établie en 150 ms à peine.
Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble
se passer normalement, puis j’ai quasi dans la foulée un message
du type « recv ISAKMP SA delete » dans les logs de debug du
Forti, et le tunnel ne monte pas.
Comme je viens de manger du log de debug depuis des jours en
m’arrachant la tête, je me suis dit que soumettre ça à la
brillante sagacité de la liste pourrait me donner des pistes…
Any idea ?
(PS: oui, dans ce cas précis, on envisage le VPN SSL, voire
même on est en train de mettre une solution ZTNA basée sur
Wireguard, mais si ça pouvait juste marcher comme chez les
autres opérateurs, ça me soulagerait des plaintes récurrentes et
justifiées du client)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/