Auteur Sujet: problème OPENVPN depuis le 30 janvier sur 4G et G Orange (Lu 911 fois)

laurentm · « **le:** 31 janvier 2025 à 11:58:26 »

Bonjour, les OpenVPN depuis des clients Linux ou Windows sur le port UDP 1194 continuent de fonctionner normalement, mais les OpenVPN intégrés aux téléphones Yealink T41S ne fonctionent plus du tout depuis hier !!!

Un des utilisateurs est en France dans le 92 avec BOX 5G Orange et l'autre au Portugal SOSH en roaming.
Le serveur OpenVPN est un PFSense en DataCenter chez Jaguar Network à Marseille.
A noter que les téléphones Yealink connectés depuis des abonnements fibre en France ou au Luxembourg ont leur OpenVPN qui continue de fonctionner normalement.
Cela m'est très difficile de changer de port sur les VPN des téléphones et de tout reconfigurer...

Je vais demander à l'uilisateur du Portugal de mettre une SIM d'un opérateur local pour voir si le problème persiste.

EDIT: même souci au Portugal avec une SIM Vodafone !

buddy · « **Réponse #1 le:** 31 janvier 2025 à 14:34:59 »

Bonjour,

si le soucis est le même avec Vodafone portugal, ça semble exclure Orange comme seul point commun.

Comment te connectes tu à OpenVPN ? (IPv4 ? IPv6 ?)
Tu as une adresse ip en "dur" dans ton fichier de config ? ou ça passe par un FDQN (serveur.ndd.fr)

vivien · « **Réponse #2 le:** 31 janvier 2025 à 15:33:03 »

Bonjour,

Tu n'as pas indiqué la situation depuis un mobile en France : cela fonctionne ou pas ?

Voici les 3 cas évoqués dans ton message :
- Roaming (conf WAN IPv4 only) : Échec
- Box 5G Orange (conf WAN IPv6 only) : Échec
- FTTH (conf double pile IPv4+IPv6) : OK

Avoir d'autre cas où cela fonctionne ou pas devrait aider à trouver la cause.

Personnellement, j'ai un box 5G, je peut faire de tests, mais tout ce que j'avais testé coté neutralité passait il y a quelques mois (excepté un cas assez spécifique cf 5G Home: Débit limité à 5 Mb/s avec les flux DSCP 2).

laurentm · « **Réponse #3 le:** 31 janvier 2025 à 16:41:22 »

En fait, c'était de ma faute

J'avais ajouté avant-hier un serveur de messagerie (qui n'utilise que les ports TCP 25, 993 et 587) mais qui nécessite un mapping NAT 1:1 en sortie afin de forcer l'ip sortante pour le SMTP
parmi mes trente ipv4 publiques gérées par ce PFSense et être dans les clous avec l'enregistrement SPF publié sur le DNS du domaine concerné.

J'ai désactivé le paramètre NAT reflection sur ce 1:1 et les téléphones se sont ré-enregistrés.

L'OpenVPN des remote users sur PC en port UDP 1194 (qui n'avait jamais cessé de fonctionner) était sur une autre ip publique.

Ce qui m'a surpris c'est que les autres 10 téléphones eux aussi avec OpenVPN mais connectés dans des box fibre ne se sont jamais déconnectés.

Mon explication (mais je peux me tromper complètement) serait qu'OpenVPN sur mobile avec CG-NAT n'a pas apprécié qu'il y ait encore un autre NAT ajouté et forcé en sortie du PFSense.