Le 02/05/2024 à 19:34, Toussaint OTTAVI a écrit :
Le 02/05/2024 à 12:48, Philippe ASTIER via frnog a écrit :
Depuis quelques mois (dur à retracer), chez un seul client, impossible
de monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur
le device ou en partage de connexion).
Avec la même configuration, la connexion en wifi/ethernet depuis
n’importe quel autre opérateur fonctionne sans souci.
J'utilise une autre marque de firewalls, mais il m'arrive parfois de
constater ce phénomène. Parfois, çà se produit sur certaines connexions
en partage 4G/5G (pas toutes). D'autres fois, derrière une Livebox, çà
passe en Ethernet, mais çà ne passe pas en WiFi. Il n'y a pas de règle
absolue...
Il y a longtemps, je m'étais amusé à faire des captures de paquets :
- IKE, c'est de l'UDP. Lorsque le premier paquet est trop gros, il est
fragmenté
- Coté destination, les fragments arrivent "dans le mauvais ordre" (mais
pourquoi ???)
- Le ré-assemblage des fragments ne se fait pas, et cela empêche la
négociation IKE de démarrer
Les conditions dans lesquelles un paquet IKE a besoin d'être fragmenté
et/ou les paquets arrivent dans le désordre, je ne les connais pas
vraiment. En revanche, dans mon client VPN logiciel (d'une autre
marque, je le rappelle), il y a une option "Restrict the size of the
first ISAKMP packet sent". Depuis que cette option existe (je dirais un
an ou deux), lorsque le problème se produit, elle permet de le résoudre.
Hope this helps...
Peut-être est-ce une application précoce de:
https://www.lemonde.fr/pixels/article/2024/04/22/europol-s-oppose-au-chiffrement-des-messageries_6229195_4408996.html
Le VPN ne fonctionnant plus, il faut passer que ça passe en clair ! :)
--
Jérôme Marteaux
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
