chlowden (Auteur du topic), Posté le: Lun 18 Juil 2022, 17:22 Sujet du message: Freebox OS (VPN): configurer une connexion en « IKEv2 »
Freebox OS (VPN): configurer une connexion en « IKEv2 »231218208696
Bonjour,
J'essaye de me connecter en VPN sur un Freebox en IKEv2 sur machine en Rocky / Centos Linux avec GNOME sans succes. En Mac je n'ai pas de problème. Est ce que quelqu'un a réussis à le faire avec GNOME ?
Merci
*** Modération *** Titre édité *** Modération ***
Stéphane_ping, Posté le: Jeu 21 Juil 2022, 12:19 Sujet du message:
114128105450
J'utilise le VPN de notre Freebox avec le protocole IPsec IKEv2, avec l'appli StrongSwan.
Tout fonctionne très bien.
Attention toutefois avec le protocole IPsec IKEv2 : les ports ne sont pas paramétrables :
Port IKE : 500
Port NAT : 4500
Si tu es passé en IP partagé, tu as des chances de ne pas avoir accès à cette plage de ports.
C'est le problème que j'avais eu...
Je voulais absolument garder ce protocole qui est le meilleur pour une connexion mobile car il n'y a pas de déconnexion lorsque tu passes du Wifi au réseau mobile et inversement.
Problème résolu en demandant une IP "Full Stack" sur l'interface de ton compte Free.
If you believe that charon-systemd should be allowed getattr access on the tpmrm0 chr_file by default.
Then you should report this as a bug.
You can generate a local policy module To allow this access.
Do
allow this access for now by executing:
# ausearch -c 'charon-systemd' --raw | audit2allow -M my-charonsystemd
# semodule -X 300 -i my-charonsystemd.pp
Jul 15 10:58:27 lowrocky setroubleshoot[7328]: AnalyzeThread.run(): Set alarm timeout To 10
Jul 15 10:58:28 lowrocky charon-nm[7305]: 16[IKE] retransmit 1 of request with message ID 0
Jul 15 10:58:28 lowrocky charon-nm[7305]: 16[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:58:35 lowrocky charon-nm[7305]: 01[IKE] retransmit 2 of request with message ID 0
Jul 15 10:58:35 lowrocky charon-nm[7305]: 01[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:58:48 lowrocky charon-nm[7305]: 04[IKE] retransmit 3 of request with message ID 0
Jul 15 10:58:48 lowrocky charon-nm[7305]: 04[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:59:12 lowrocky charon-nm[7305]: 08[IKE] retransmit 4 of request with message ID 0
Jul 15 10:59:12 lowrocky charon-nm[7305]: 08[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:59:24 lowrocky NetworkManager[1663]: <warn> [1657875564.6245] VPN[0x56074f04c9a0,30211bf0-950c-4c11-b2e1-7bb2881d6276,"IKEv2 christopher.Freebox OS.fr"]: connect timeout exceeded
Jul 15 10:59:24 lowrocky charon-nm[7305]: Connect timer expired, disconnecting.
Jul 15 10:59:24 lowrocky charon-nm[7305]: 09[IKE] destroying IKE_SA in state CONNECTING without notification
chlowden (Auteur du topic), Posté le: Sam 23 Juil 2022, 7:37 Sujet du message:
231218208696
Merci beaucoup pour vos conseil.
Pour info, il semble que les OS basé sur Red Hat sont assez réstrictive. Donc ils n'installent pas un module nécessaire:
[/code]sudo dnf install tpm2-abrmd-devel
[/code]
Plus il faut suivre les consignes en gras dans l'erreur
[/code]SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0. For complete SELinux messages run: sealert -l d7b4ab82-8db2-44d0-ae2e-7a4c61fda00a
Jul 23 07:11:57 lowrocky setroubleshoot[109670]: SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0.
If you believe that charon-systemd should be allowed getattr access on the tpmrm0 chr_file by default.
Then you should report this as a bug.
You can generate a local policy module To allow this access.
Do
allow this access for now by executing:
# ausearch -c 'charon-systemd' --raw | audit2allow -M my-charonsystemd
# semodule -X 300 -i my-charonsystemd.pp
chlowden (Auteur du topic), Posté le: Sam 23 Juil 2022, 8:00 Sujet du message:
231218208696
Maintenant, j'ai un probleme avec les certificats. Est ce que vous avez un exemple d'un fichier /etc/ipsec.conf qui marche? La mienne me semble un peu léger. Merci d'avance
Stéphane_ping, Posté le: Sam 23 Juil 2022, 10:15 Sujet du message:
114128105450
Pour simplifier, voici les étapes à respecter pour que ça fonctionne très bien :
- Configurer le serveur VPN de la Freebox. Plutôt que d'utiliser le n° d'IP, j'ai créé un nom de domaine, ce n'est pas très compliqué, suivre le pas à pas de la Freebox. Éviter les caractères spéciaux et les noms à rallonge pour le certificat.
- Aller dans le paramétrage du serveur VPN pour créer un utilisateur avec un mot de passe : attention au login, pas d'accent, pas d'espace, uniquement des caractères alphanumériques. Le mot de passe avec minimum 8 caractères. Sélectionner IP dynamique. C'est ce login et MDP qui serviront à se connecter plus tard.
- Configurer le protocole IPsec IKEv2 et l'activer (très simple).
- Dans StrongSwan, ajouter un profil VPN :
Serveur : adresse IP de la Freebox ou mieux le nom de domaine (nomdedomaine.Freebox OS.fr)
VPN type : IKEv2 EAP
Username : celui déclaré dans la Freebox
Password : idem
Profil name : Freebox VPN (par exemple)
Pas besoin normalement d'aller voir les paramètres avancés. Sauvegarder le profil. Ensuite, dans StrongSwan, il suffit de cliquer sur le profil pour se connecter (passe en vert).
Il faut déjà faire l'essai en étant connecté à ton Wifi. Ensuite, couper le Wifi sur ton Smartphone et faire l'essai en 4G/5G... et voilà !
Simple comme Bonjour !
Ensuite libre à toi de paramétrer une appli (CX Explorateur par exemple, mais il y en a plein d'autres) pour accéder à ton réseau Wifi...et tout ce dont tu as accès en Wifi tu l'auras en mobilité puisque le serveur VPN crée un tunnel crypte entre ta Freebox et ton Smartphone.
chlowden (Auteur du topic), Posté le: Dim 24 Juil 2022, 16:17 Sujet du message:
231218208696
Pour être honete, j'avais fait tout ce que vous avez écris déjà ... mais je n'ai pas le bon résultat en Linux. Ca marche en mac donc je ne vois pas pourquoi pas en Strongswan. Voila des images de ma config...
Stéphane_ping, Posté le: Dim 24 Juil 2022, 16:34 Sujet du message:
114128105450
Ahhhh, alors si tu es avec Linux... peut-être faut-il activer l'IPv6 ?
Dans les paramètres avancés de StrongSwan, il y a l'option à cocher... A essayer...
Je viens de vérifier à nouveau, car mon opérateur a fait quelques modifications apparemment : le flux entre StrongSwan et ta Freebox passe par le réseau mobile, et selon les réseaux, certaines options sont différentes vraisemblablement...
J'ai du désactiver l'option "use IPv6 transport adresses" car une fois connecté, je n'accédais plus à mon réseau...
C'est de nouveau opérationnel !
*** Modération *** Posts fusionnés *** Modération ***
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum