J’ai eu beaucoup de soucis avec des problèmes de fragmentation sur les paquets isakmp trop grand. Comme c’est de l’UDP, toutes les astuces à base de bidouilles sur la MSS ne fonctionnent pas, et il faut espérer que le PMTUD fonctionne bien. Ça relève plus de la foi qu’autre chose. Et certaines livebox ou routeurs ont eu par moment des bugs et droppaient les fragments.
Si les paquets isakmp sont petits, ça passe bien, mais dès qu’on fait du certificat, ça peut être compliqué. Thierry > Le 16 mars 2020 à 18:49, Guillaume Genty (Waycom) <gge...@waycom.net> a écrit > : > > C'est marrant comme coïncidence ! J'ai le même problème de mon côté... > > > Je viens de passer une bonne heure à débugger le client VPN IPSec d'un > administratif de chez nous, pour avoir fini par trouver que certains paquets > n'arrivent pas ! > > C'est justement du FTTH Orange grand public avec Livebox > (J'ai testé avec un partage de connexion 4G, c'est monté tout de suite) > > La phase 1 monte bien en NAT-T (UDP ports 500 puis 4500) mais impossible de > monter la phase 2. > Une fois descendu dans le débug, les trames de setup SA de la phase 2 > n'arrivent jamais en face, alors que les keepalive de la phase 1 passent sans > problème au même moment. > Sauf que comme la première phase passe bien, aucun indicateur d'erreur sur > l'UI du client VPN qui indique juste que la connexion a réussi... > > Franchement c'est tellement tordu comme problème, j'ai des doutes que ça soit > volontaire de la part d'Orange ! > > Quelqu'un d'autre a déjà eu ces symptômes ? > > -- > Guillaume Genty | WAYCOM > Directeur Innovation et Expertise > 1 quai Marcel Dassault | 92150 Suresnes, FRANCE > T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22 > gge...@waycom.net | www.waycom.net > >> Le 16/03/2020 à 18:09, Jonathan Leroy - Inikup via frnog a écrit : >>> Le lun. 16 mars 2020 à 18:00, David Ponzone <david.ponz...@gmail.com> a >>> écrit : >>> Ben tu prends une trace sur tes ports egress. >> Ah oui au fait, le routeur est une Livebox. :D >> Je cherchais une solution plus simple que de monter un tunnel IPsec >> moi-même juste pour vérifier que le trafic passe bien. >> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
