Fralac (Auteur du topic), Posté le: Lun 15 Avr 2024, 19:06 Sujet du message: FBX (VPN): connexion distante entre StrongSwan et la box
FBX (VPN): connexion distante entre StrongSwan et la box9708490326
Bonjour la communauté,
Je souhaiterais pouvoir me connecter à distance à mon serveur Freebox Pop afin de pouvoir utiliser OQEE à l'étranger avec mon Samsung S20. Pour cela, j'ai bien créé sur la Pop (version 4.7.9) le serveur VPN IPsec IKEv2 (avec IP dynamique) et dans StrongSwan le bon profil (serveur : xxx.Freebox OS.fr avec username et mot de passe). Résultat : quand je suis sur le réseau Wifi avec Strongswan activé, je me connecte avec le VPN immédiatement mais dès que je coupe le Wifi, la connexion est impossible (message : failed To establish VPN: Server is unreachable).
Ce qui est bizarre, c'est que je peux bien me connecter à distance sur la Pop, mais sans VPN !
Quelqu'un aurait-il une brillante idée ?
Nota 1 : j'ai essayé avec un autre téléphone (S10e), même souci (donc ça ne vient pas du S20 ou de sa config)
Nota 2 : Par contre, en utilisant Wireguard à distance cela fonctionne bien ! Mais j'ai besoin d'utiliser StrongSwan.
Merci et belle journée !
*** Modération *** Titre et mise en page édités *** Modération ***
SiliconBox, Posté le: Mer 17 Avr 2024, 18:10 Sujet du message:
240518217139
Quand vous testez en Wifi, ça signifie en gros que vous vous connectez au VPN de la Box en interne depuis le réseau personnel de la box, ce qu'il ne faut pas faire car ça crée une boucle et génère énormement d'anomalies.
Dernièrement mon téléphone mobile n'arrêtait pas de bugger, de faire des choses bizarres même s'il semblait fonctionner et je me suis rendu compte que j'avais oublié de couper le VPN sur mon mobile.
En tout état de cause, tester un VPN en Wifi de l'intérieur CA NE SERT RIGOUREUSEMENT A RIEN, ça ne donne aucune indication sur le bon ou mauvais fonctionnement du VPN, on doit toujours le tester de l'extérieur, donc ici ce qui compte c'est lorsque vous coupez le Wifi et que le téléphone bascule en réseau mobile 4G... ça marche "pô".
Comme l'a indiqué justement une personne ça pourrait éventuellement faire penser à un problème d'IP partagée. Soit vous demandez une IP Full Stack (24 heures mais avec un changement d'adresse IP), soit vous reparamétrez les ports du serveur VPN Freebox pour que ça écoute sur une plage de port qui vous appartient.
D'autre part... il y a eu des soucis avec l'IKEv2 qui ont été résolus avec les derniers firmwares. Si votre votre box n'a pas été redémarrée depuis un certain temps, elle n'a pas reçu cette mise à jour.
Autrement... IKEv2 fonctionne très bien (avec un firmware Freebox à jour ainsi qu'un client à jour soit Windows, Android, iOS, MacOS). Avec Strongswan sur Android, ça marche au poil.
Et pour Wireguard je ne suis pas d'accord, le serveur VPN Wireguard de la box ne supporte pas actuellement l'IPv6, sans IPv6 vous pouvez rencontrer de gros soucis. De plus en plus de fournisseurs de services ne sont accessibles qu'en IPv6 en raison de la pénurie d'adresse IPv4 qui est une réalité et non une fiction, en témoigne la mise ne place des IP partagées chez Free qui ne s'est pas faite par hasard.
D'autre part les choses s'inversent, la masse des CDN ou serveurs relais de contenu disponibles en IPv6 devient lentement bien plus importante que la masse de ces CDN en IPv4, donc dans bien des cas, la couche IPv6 sera plus véloce, alors que la couche IPv4 peut rencontrer des saturations, ce n'était pas le cas 10 ans aupravant.
Les seuls protocoles qu fonctionnent pleinement sur la box en supportant les deux couches IPv4 et IPv6 sont IKEv2, et OpenVPN bridgé.
- OpenVPN bridgé n'est disponible que sur PC, et ne le sera jamais sur Android ou ios pour des raisons techniques
- OpenVPN routé : le serveurs VPN Freebox n'est pas à jour et utilise des paramètres de chiffrement périmés, le client officiel "OpenVPN connect" refuse de se connecter à la Freebox, il faut passer par un client alternatif mais sans support d'IPv6
- Wireguard : pour le moment pas de support IPv6, donc pour moi ce serveur en l'état ne sert à rien.
denisski, Posté le: Jeu 18 Avr 2024, 11:48 Sujet du message:
5563650266
Il a le version 4.7.9 pour le FW donc pas de soucis pour ikev2.
Il m'arrive de me connecter en étant en sur mon Wifi perso sur les serveurs VPN de ma Freebox. Cela ne provoque pas plus de problème que cela. Tu peux avoir besoin de chiffrer ta connexion Wifi même sur ton réseau local si tu as des personnes curieuses su ton réseau local...
Si Wireguard lui rend le service pour OQEE, c'est déjà ça même s'il ne gère pas l'IPv6.
Du reste il fallait un réseau IPv6 pour faire fonctionner OQEE mais il fonctionne avec Wireguard. Je suppose que Free a fait sauter cette exigence depuis que OQEE est offert aux abonnés Free Mobile.
Fralac (Auteur du topic), Posté le: Mer 24 Avr 2024, 10:57 Sujet du message:
9708490326
Bonjour,
denisski a écrit:
Il a le version 4.7.9 pour le FW donc pas de soucis pour ikev2.
Il m'arrive de me connecter en étant en sur mon Wifi perso sur les serveurs VPN de ma Freebox. Cela ne provoque pas plus de problème que cela. Tu peux avoir besoin de chiffrer ta connexion Wifi même sur ton réseau local si tu as des personnes curieuses su ton réseau local...
Si Wireguard lui rend le service pour OQEE, c'est déjà ça même s'il ne gère pas l'IPv6.
Du reste il fallait un réseau IPv6 pour faire fonctionner OQEE mais il fonctionne avec Wireguard. Je suppose que Free a fait sauter cette exigence depuis que OQEE est offert aux abonnés Free Mobile.
Merci pour ta réponse et en phase avec toi.
Je continue mes recherches, solution doit bien exister car cela fonctionne chez pas mal de gens !
Fralac (Auteur du topic), Posté le: Mer 24 Avr 2024, 10:59 Sujet du message:
9708490326
Bonjour,
SiliconBox a écrit:
Quand vous testez en Wifi, ça signifie en gros que vous vous connectez au VPN de la Box en interne depuis le réseau personnel de la box, ce qu'il ne faut pas faire car ça crée une boucle et génère énormement d'anomalies.
Dernièrement mon téléphone mobile n'arrêtait pas de bugger, de faire des choses bizarres même s'il semblait fonctionner et je me suis rendu compte que j'avais oublié de couper le VPN sur mon mobile.
En tout état de cause, tester un VPN en Wifi de l'intérieur CA NE SERT RIGOUREUSEMENT A RIEN, ça ne donne aucune indication sur le bon ou mauvais fonctionnement du VPN, on doit toujours le tester de l'extérieur, donc ici ce qui compte c'est lorsque vous coupez le Wifi et que le téléphone bascule en réseau mobile 4G... ça marche "pô".
Comme l'a indiqué justement une personne ça pourrait éventuellement faire penser à un problème d'IP partagée. Soit vous demandez une IP Full Stack (24 heures mais avec un changement d'adresse IP), soit vous reparamétrez les ports du serveur VPN Freebox pour que ça écoute sur une plage de port qui vous appartient.
D'autre part... il y a eu des soucis avec l'IKEv2 qui ont été résolus avec les derniers firmwares. Si votre votre box n'a pas été redémarrée depuis un certain temps, elle n'a pas reçu cette mise à jour.
Autrement... IKEv2 fonctionne très bien (avec un firmware Freebox à jour ainsi qu'un client à jour soit Windows, Android, iOS, MacOS). Avec Strongswan sur Android, ça marche au poil.
Et pour Wireguard je ne suis pas d'accord, le serveur VPN Wireguard de la box ne supporte pas actuellement l'IPv6, sans IPv6 vous pouvez rencontrer de gros soucis. De plus en plus de fournisseurs de services ne sont accessibles qu'en IPv6 en raison de la pénurie d'adresse IPv4 qui est une réalité et non une fiction, en témoigne la mise ne place des IP partagées chez Free qui ne s'est pas faite par hasard.
D'autre part les choses s'inversent, la masse des CDN ou serveurs relais de contenu disponibles en IPv6 devient lentement bien plus importante que la masse de ces CDN en IPv4, donc dans bien des cas, la couche IPv6 sera plus véloce, alors que la couche IPv4 peut rencontrer des saturations, ce n'était pas le cas 10 ans aupravant.
Les seuls protocoles qu fonctionnent pleinement sur la box en supportant les deux couches IPv4 et IPv6 sont IKEv2, et OpenVPN bridgé.
- OpenVPN bridgé n'est disponible que sur PC, et ne le sera jamais sur Android ou ios pour des raisons techniques
- OpenVPN routé : le serveurs VPN Freebox n'est pas à jour et utilise des paramètres de chiffrement périmés, le client officiel "OpenVPN connect" refuse de se connecter à la Freebox, il faut passer par un client alternatif mais sans support d'IPv6
- Wireguard : pour le moment pas de support IPv6, donc pour moi ce serveur en l'état ne sert à rien.
Merci pour ta réponse. Je continue mes tests car cela doit fonctionner, y a pas de débat !
Merci pour tes pistes et en effet, la box est à jour.
Fralac (Auteur du topic), Posté le: Mer 24 Avr 2024, 13:58 Sujet du message:
9708490326
Merci à tous ! Mon problème est donc résolu grâce à vos pistes. Voici ce que j'ai fait pour que cela fonctionne:
- Passage en IP Full Stack car les ports 500 et 4500 ne m'étaient pas attribués
- Et surtout, dans les Advanced Settings de StrongSwan, j'ai activé le paramètre: "Use IPv6 transport addresses"
C'est le plus important, car si désactivé, cela ne fonctionne plus !
denisski, Posté le: Mer 24 Avr 2024, 14:38 Sujet du message:
5563650266
Fralac a écrit:
Merci à tous ! Mon problème est donc résolu grâce à vos pistes. Voici ce que j'ai fait pour que cela fonctionne:
- Passage en IP Full Stack car les ports 500 et 4500 ne m'étaient pas attribués
- Et surtout, dans les Advanced Settings de StrongSwan, j'ai activé le paramètre: "Use IPv6 transport addresses"
C'est le plus important, car si désactivé, cela ne fonctionne plus !
Tant mieux.
Je n'ai pas activé "Use IPv6 transport addresses". Par contre j'ai activé IPv4 et IPv6 sur le serveur VPN coté Freebox. C'est l'avantage par rapport à Wireguard.
Et j'ai activé l'IPv6 dans mon espace abonné Free Mobile. Comme je le disais, j'utilise plutôt Wireguard qui me permet de me connecter à des équipements sur le réseau local de mon serveur distant. Interface Web d'un switch ou d'une caméra IP par exemple.
Chose que je n'arrive pas à faire avec IpSec. Comme si il n'y avait pas de routage entre le réseau du VPN et le réseau local.
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum