On doit pas parler du même problème. Celui auquel je pense doit dater de 2021, concerne que SSL/Forticlient à priori, et se déclenche quand le client a accès à IPv6 alors que le serveur n’est pas dispo en IPv6.
« A good IPv6 is a disabled one ». David > Le 2 mai 2024 à 14:46, Vincent Tondellier <tonton+fr...@team1664.org> a écrit > : > > Bonjour, > > On jeudi 2 mai 2024 12 h 56 min 30 s CEST, David Ponzone wrote: >> Désactive IPv6 sur le client pour voir. > > C'est le contraire qu'il faut faire. En IPv6 ca passe, en IPv4 non > (probablement CGNAT ou autre mécanisme de transition a la con qui fout la > merde). > > (Re-)testé a l'instant sur un orange grand public, avec l'appli strongswan > sur android. > "Use IPv6 transport address" dans la conf coché : OK, décoché : KO. > (avec serveur IKEv2 strongswan et IPv6 activé, et kernel 5.10). > > Ca fait de mes souvenirs plus d'un an que c'est comme ça. > > Vincent. > > On jeudi 2 mai 2024 12 h 48 min 37 s CEST, Philippe ASTIER via frnog wrote: >> Salut à tous ! >> >> Je rencontre un souci très pénible. >> >> J’ai depuis plus de dix ans plusieurs clients avec des sites distants et des >> Fortigate. Lignes fibres pour la plupart aujourd'hui, chez Orange Pro, Free, >> FreePro, SFR, Colt, Unyc, peu importe. J’ai des tunnels IPSec entre les >> sites distants sans aucun souci, fiables, ça monte très vite en IKEv2. >> La plupart ont aussi un accès via leurs mobiles ou ordinateurs. SSL, IPSec, >> clients Forti selon les cas, mais pas eu beaucoup de soucis. >> >> Depuis quelques mois (dur à retracer), chez un seul client, impossible de >> monter un tunnel IPSec via iOS ou macOS quand ils sont en 4G/5G (sur le >> device ou en partage de connexion). >> Avec la même configuration, la connexion en wifi/ethernet depuis n’importe >> quel autre opérateur fonctionne sans souci. J’ai essayé via Free et FreePro >> mobiles, aucun problème, le tunnel est établie en 150 ms à peine. >> >> Sur Orange Pro Mobile, la négociation des phases 1 et 2 semble se passer >> normalement, puis j’ai quasi dans la foulée un message du type « recv >> ISAKMP SA delete » dans les logs de debug du Forti, et le tunnel ne monte >> pas. >> >> >> Comme je viens de manger du log de debug depuis des jours en m’arrachant la >> tête, je me suis dit que soumettre ça à la brillante sagacité de la liste >> pourrait me donner des pistes… >> Any idea ? >> >> >> (PS: oui, dans ce cas précis, on envisage le VPN SSL, voire même on est en >> train de mettre une solution ZTNA basée sur Wireguard, mais si ça pouvait >> juste marcher comme chez les autres opérateurs, ça me soulagerait des >> plaintes récurrentes et justifiées du client) > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
