Freezone S'inscrire

FAQ FAQ Rechercher Rechercher Liste des Membres Liste des Membres Groupes d'utilisateurs Groupes d'utilisateurs S'enregistrer S'enregistrer
Freebox OS (VPN): configurer une connexion en « IKEv2 »
 
Poster un nouveau sujet    Répondre au sujet
   Univers Freebox Index du Forum -> Freebox / Freebox OS / Les App. (Freebox Connect, Freebox Files...)

 Auteur   Message 
chlowden
(Auteur du topic)
Hobbit de L'Univers


Inscrit le: 18 Juil 2022
Messages: 7
 
7 points
chlowden
(Auteur du topic), Posté le: Lun 18 Juil 2022, 17:22    Sujet du message: Freebox OS (VPN): configurer une connexion en « IKEv2 » Freebox OS (VPN): configurer une connexion en « IKEv2 » 231218 208696 		Répondre en citant
Bonjour,

J'essaye de me connecter en VPN sur un Freebox en IKEv2 sur machine en Rocky / Centos Linux avec GNOME sans succes. En Mac je n'ai pas de problème. Est ce que quelqu'un a réussis à le faire avec GNOME ?

Merci

*** Modération *** Titre édité *** Modération ***

Curtis Newton  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
Stéphane_ping
Geek de L'Univers


Inscrit le: 16 Aoû 2015
Messages: 1608
 
23843 points
Stéphane_ping, Posté le: Jeu 21 Juil 2022, 12:19    Sujet du message: 114128 105450 Répondre en citant
J'utilise le VPN de notre Freebox avec le protocole IPsec IKEv2, avec l'appli StrongSwan.

Tout fonctionne très bien.

Attention toutefois avec le protocole IPsec IKEv2 : les ports ne sont pas paramétrables :
Port IKE : 500
Port NAT : 4500

Si tu es passé en IP partagé, tu as des chances de ne pas avoir accès à cette plage de ports.
C'est le problème que j'avais eu...
Je voulais absolument garder ce protocole qui est le meilleur pour une connexion mobile car il n'y a pas de déconnexion lorsque tu passes du Wifi au réseau mobile et inversement.

Problème résolu en demandant une IP "Full Stack" sur l'interface de ton compte Free.

Very Happy  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
chlowden
(Auteur du topic)
Hobbit de L'Univers


Inscrit le: 18 Juil 2022
Messages: 7
 
7 points
chlowden
(Auteur du topic), Posté le: Ven 22 Juil 2022, 15:21    Sujet du message: 231218 208696 		Répondre en citant
Merci beaucoup pour ces infos. Mon problème semble un module mais je ne suis pas sure. Est ce que vous avez une idée ?
Code:

Jul 15 10:58:24 lowrocky NetworkManager[1663]: <info>  [1657875504.7641] VPN[0x56074f04c9a0,30211bf0-950c-4c11-b2e1-7bb2881d6276,"IKEv2 christopher.Freebox OS.fr"]: starting strongswan
Jul 15 10:58:24 lowrocky NetworkManager[1663]: <info>  [1657875504.7645] audit: op="connexion-activate" uuid="30211bf0-950c-4c11-b2e1-7bb2881d6276" name="IKEv2 christopher.Freebox OS.fr" pid=3747 uid=1000 result="success"
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[DMN] Starting charon NetworkManager backend (strongSwan 5.9.6)
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[PTS] TPM 2.0 - could not load "libtss2-tcti-tabrmd.so.0"
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[LIB] plugin 'tpm': failed To load - tpm_plugin_create returned NULL
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[LIB] OpenSSL FIPS mode(0) - disabled
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[LIB] created TUN device: tun0
Jul 15 10:58:24 lowrocky NetworkManager[1663]: <info>  [1657875504.7851] manager: (tun0): new Tun device (/org/freedesktop/NetworkManager/Devices/11)

]Jul 15 10:58:24 lowrocky systemd-udevd[7308]: link_config: autonegotiation is unset or enabled, the speed and duplex are not writable.
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[LIB] loaded plugins: nm-backend charon-nm pkcs11 aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints pkcs1 pkcs7 sshkey pem openssl gcrypt pkcs8 fips-prf gmp curve25519 chapoly xcbc cmac hmac kdf ctr ccm gcm drbg newhope curl kernel-netlink socket-default bypass-lan eap-identity eap-md5 eap-gtc eap-mschapv2 eap-TLS eap-ttls eap-peap
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Jul 15 10:58:24 lowrocky charon-nm[7305]: 00[JOB] spawning 16 worker threads
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] installed bypass policy for 192.168.0.0/24
Jul 15 10:58:24 lowrocky dbus-daemon[1318]: [system] Activating service name='org.fedoraproject.Setroubleshootd' requested by ':1.25' (uid=0 pid=1281 comm="/usr/sbin/sedispatch " label="system_u:system_r:auditd_t:s0") (using servicehelper)
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] installed bypass policy for 192.168.122.0/24
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] installed bypass policy for ::1/128
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] installed bypass policy for 2a01:e34:ecbd:9200::/64
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] installed bypass policy for fe80::/64
Jul 15 10:58:24 lowrocky charon-nm[7305]: 07[IKE] interface change for bypass policy for fe80::/64 (from ipsec0 To wlp112s0)
Jul 15 10:58:24 lowrocky charon-nm[7305]: 06[CFG] received initiate for NetworkManager connexion IKEv2 *******.Freebox OS.fr
Jul 15 10:58:24 lowrocky charon-nm[7305]: 06[CFG] using gateway identity '79.193.**.**'
Jul 15 10:58:24 lowrocky charon-nm[7305]: 06[IKE] initiating IKE_SA IKEv2 *******.Freebox OS.fr[1] To 79.193.***.**
Jul 15 10:58:24 lowrocky charon-nm[7305]: 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
Jul 15 10:58:24 lowrocky charon-nm[7305]: 06[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:58:25 lowrocky dbus-daemon[1318]: [system] Successfully activated service 'org.fedoraproject.Setroubleshootd'
Jul 15 10:58:26 lowrocky setroubleshoot[7328]: AnalyzeThread.run(): Cancel pending alarm
Jul 15 10:58:26 lowrocky setroubleshoot[7328]: failed To retrieve rpm info for /dev/tpmrm0
Jul 15 10:58:26 lowrocky dbus-daemon[1318]: [system] Activating service name='org.fedoraproject.SetroubleshootPrivileged' requested by ':1.2118' (uid=991 pid=7328 comm="/usr/libexec/platform-python -Es /usr/sbin/setroub" label="system_u:system_r:setroubleshootd_t:s0-s0:c0.c1023") (using servicehelper)
Jul 15 10:58:26 lowrocky dbus-daemon[1318]: [system] Successfully activated service 'org.fedoraproject.SetroubleshootPrivileged'
Jul 15 10:58:27 lowrocky setroubleshoot[7328]: SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0. For complete SELinux messages run: sealert -l d7b4ab82-8db2-44d0-ae2e-7a4c61fda00a
Jul 15 10:58:27 lowrocky setroubleshoot[7328]: SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0.
                                               
                                               *****  Plugin catchall (100. confidence) suggests   **************************
                                               
                                               If you believe that charon-systemd should be allowed getattr access on the tpmrm0 chr_file by default.
                                               Then you should report this as a bug.
                                               You can generate a local policy module To allow this access.
                                               Do
                                               allow this access for now by executing:
                                               # ausearch -c 'charon-systemd' --raw | audit2allow -M my-charonsystemd
                                               # semodule -X 300 -i my-charonsystemd.pp
                                               
Jul 15 10:58:27 lowrocky setroubleshoot[7328]: AnalyzeThread.run(): Set alarm timeout To 10
Jul 15 10:58:28 lowrocky charon-nm[7305]: 16[IKE] retransmit 1 of request with message ID 0
Jul 15 10:58:28 lowrocky charon-nm[7305]: 16[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:58:35 lowrocky charon-nm[7305]: 01[IKE] retransmit 2 of request with message ID 0
Jul 15 10:58:35 lowrocky charon-nm[7305]: 01[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:58:48 lowrocky charon-nm[7305]: 04[IKE] retransmit 3 of request with message ID 0
Jul 15 10:58:48 lowrocky charon-nm[7305]: 04[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:59:12 lowrocky charon-nm[7305]: 08[IKE] retransmit 4 of request with message ID 0
Jul 15 10:59:12 lowrocky charon-nm[7305]: 08[NET] sending packet: from 192.168.0.32[33362] To 79.193.***.**[500] (1016 bytes)
Jul 15 10:59:24 lowrocky NetworkManager[1663]: <warn>  [1657875564.6245] VPN[0x56074f04c9a0,30211bf0-950c-4c11-b2e1-7bb2881d6276,"IKEv2 christopher.Freebox OS.fr"]: connect timeout exceeded
Jul 15 10:59:24 lowrocky charon-nm[7305]: Connect timer expired, disconnecting.
Jul 15 10:59:24 lowrocky charon-nm[7305]: 09[IKE] destroying IKE_SA in state CONNECTING without notification
 
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
Stéphane_ping
Geek de L'Univers


Inscrit le: 16 Aoû 2015
Messages: 1608
 
23843 points
Stéphane_ping, Posté le: Ven 22 Juil 2022, 15:32    Sujet du message: 114128 105450 Répondre en citant
Very Happy

Non, mais en utilisant l'appli StrongSwan tu peux t'adresser au support, ils répondent assez vite.  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
chlowden
(Auteur du topic)
Hobbit de L'Univers


Inscrit le: 18 Juil 2022
Messages: 7
 
7 points
chlowden
(Auteur du topic), Posté le: Sam 23 Juil 2022, 7:37    Sujet du message: 231218 208696 		Répondre en citant
Merci beaucoup pour vos conseil.
Pour info, il semble que les OS basé sur Red Hat sont assez réstrictive. Donc ils n'installent pas un module nécessaire:


[/code]sudo dnf install tpm2-abrmd-devel
[/code]

Plus il faut suivre les consignes en gras dans l'erreur


[/code]SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0. For complete SELinux messages run: sealert -l d7b4ab82-8db2-44d0-ae2e-7a4c61fda00a
Jul 23 07:11:57 lowrocky setroubleshoot[109670]: SELinux is preventing /usr/sbin/charon-systemd from getattr access on the chr_file /dev/tpmrm0.

***** Plugin catchall (100. confidence) suggests **************************

If you believe that charon-systemd should be allowed getattr access on the tpmrm0 chr_file by default.
Then you should report this as a bug.
You can generate a local policy module To allow this access.
Do
allow this access for now by executing:
# ausearch -c 'charon-systemd' --raw | audit2allow -M my-charonsystemd
# semodule -X 300 -i my-charonsystemd.pp

[/code]  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
chlowden
(Auteur du topic)
Hobbit de L'Univers


Inscrit le: 18 Juil 2022
Messages: 7
 
7 points
chlowden
(Auteur du topic), Posté le: Sam 23 Juil 2022, 8:00    Sujet du message: 231218 208696 		Répondre en citant
Maintenant, j'ai un probleme avec les certificats. Est ce que vous avez un exemple d'un fichier /etc/ipsec.conf qui marche? La mienne me semble un peu léger. Merci d'avance

virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v$

# if it exists, include system wide crypto-policy defaults
include /etc/crypto-policies/back-ends/libreswan.config

# It is best To add your IPsec connexions as separate files
# in /etc/ipsec.d/
# include /etc/ipsec.d/*.conf

config setup
conn L2TP-PSK
authby=secret
auto=add
keyingtries=3

dpddelay=30
dpdtimeout=120
dpdaction=clear
rekey=Yes
ikelifetime=8h

keylife=1h
type=transport

# Replace IP address with your current default gateway IP

left= 192.168.0.254

auto=add
keyingtries=3
dpddelay=30
dpdtimeout=120
dpdaction=clear

rekey=Yes
ikelifetime=8h
keylife=1h
type=transport

# Replace IP address with your current default gateway IP
left= 192.168.0.254
leftprotoport=17/1701

# Replace IP address with your VPN Server's IP
right=192.206.48.98
rightprotoport=17/1701  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
Stéphane_ping
Geek de L'Univers


Inscrit le: 16 Aoû 2015
Messages: 1608
 
23843 points
Stéphane_ping, Posté le: Sam 23 Juil 2022, 10:15    Sujet du message: 114128 105450 Répondre en citant
Pour simplifier, voici les étapes à respecter pour que ça fonctionne très bien :

- Configurer le serveur VPN de la Freebox. Plutôt que d'utiliser le n° d'IP, j'ai créé un nom de domaine, ce n'est pas très compliqué, suivre le pas à pas de la Freebox. Éviter les caractères spéciaux et les noms à rallonge pour le certificat.

- Aller dans le paramétrage du serveur VPN pour créer un utilisateur avec un mot de passe : attention au login, pas d'accent, pas d'espace, uniquement des caractères alphanumériques. Le mot de passe avec minimum 8 caractères. Sélectionner IP dynamique. C'est ce login et MDP qui serviront à se connecter plus tard.

- Configurer le protocole IPsec IKEv2 et l'activer (très simple).

- Dans StrongSwan, ajouter un profil VPN :

Serveur : adresse IP de la Freebox ou mieux le nom de domaine (nomdedomaine.Freebox OS.fr)
VPN type : IKEv2 EAP
Username : celui déclaré dans la Freebox
Password : idem
Profil name : Freebox VPN (par exemple)

Pas besoin normalement d'aller voir les paramètres avancés. Sauvegarder le profil. Ensuite, dans StrongSwan, il suffit de cliquer sur le profil pour se connecter (passe en vert).

Il faut déjà faire l'essai en étant connecté à ton Wifi. Ensuite, couper le Wifi sur ton Smartphone et faire l'essai en 4G/5G... et voilà !

Simple comme Bonjour !

Ensuite libre à toi de paramétrer une appli (CX Explorateur par exemple, mais il y en a plein d'autres) pour accéder à ton réseau Wifi...et tout ce dont tu as accès en Wifi tu l'auras en mobilité puisque le serveur VPN crée un tunnel crypte entre ta Freebox et ton Smartphone.

Enjoy ! Very Happy  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
Stéphane_ping
Geek de L'Univers


Inscrit le: 16 Aoû 2015
Messages: 1608
 
23843 points
Stéphane_ping, Posté le: Dim 24 Juil 2022, 15:24    Sujet du message: 114128 105450 Répondre en citant
@chlowden
En suivant la procédure juste au-dessus, as-tu vu une amélioration ?  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
chlowden
(Auteur du topic)
Hobbit de L'Univers


Inscrit le: 18 Juil 2022
Messages: 7
 
7 points
chlowden
(Auteur du topic), Posté le: Dim 24 Juil 2022, 16:17    Sujet du message: 231218 208696 		Répondre en citant
Pour être honete, j'avais fait tout ce que vous avez écris déjà ... mais je n'ai pas le bon résultat en Linux. Ca marche en mac donc je ne vois pas pourquoi pas en Strongswan. Voila des images de ma config...

http://80.211.238.222/Screenshot%20from%202022-07-24%2016-02-17.png

http://80.211.238.222/Screenshot%20from%202022-07-24%2016-03-02.png

Merci beaucoup !  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
Stéphane_ping
Geek de L'Univers


Inscrit le: 16 Aoû 2015
Messages: 1608
 
23843 points
Stéphane_ping, Posté le: Dim 24 Juil 2022, 16:34    Sujet du message: 114128 105450 Répondre en citant
Ahhhh, alors si tu es avec Linux... peut-être faut-il activer l'IPv6 ?

Dans les paramètres avancés de StrongSwan, il y a l'option à cocher... A essayer... Very Happy

Je viens de vérifier à nouveau, car mon opérateur a fait quelques modifications apparemment : le flux entre StrongSwan et ta Freebox passe par le réseau mobile, et selon les réseaux, certaines options sont différentes vraisemblablement...

J'ai du désactiver l'option "use IPv6 transport adresses" car une fois connecté, je n'accédais plus à mon réseau...

C'est de nouveau opérationnel ! Very Happy

*** Modération *** Posts fusionnés *** Modération ***

Curtis Newton  
Revenir en haut Voir le profil de l'utilisateur Envoyer un message privé
  

Poster un nouveau sujet     Répondre au sujet

Univers Freebox Index du Forum -> Freebox / Freebox OS / Les App. (Freebox Connect, Freebox Files...)
Page 1 sur 1 Toutes les heures sont au format GMT + 2 Heures
 

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum





CoolVista Thème phpbb - Site adapté par Vincent Barrier  © 2005 - 2009 Univers Freebox