La Fibre

Fournisseurs d'accès à Internet fixe en France métropolitaine => Free => Incidents Free => Discussion démarrée par: shadow60 le 30 mai 2022 à 17:21:38

Titre: [Résolu] Connection VPN IPsec avec NAT-T impossible
Posté par: shadow60 le 30 mai 2022 à 17:21:38

Bonjour tout le monde,

Nouvel abonné Freebox Pop FTTH depuis Vendredi (SFR FTTH avant), j'ai un soucis pour me connecter à un site distant via VPN IPsec avec NAT-T (Forticlient).
J'ai fait une capture Wireshark sur ma machine, rien de probant, premiers paquets en 500 puis en 4500 (NAT-T).
Par contre, sur le FW distant (Fortigate), je vois bien les paquets arriver mais pas depuis le port 500, je vois du udp 23230 > udp 500. Au final ca tombe en timeout. Une idée ?
Merci !

Titre: Connection VPN IPsec avec NAT-T impossible
Posté par: Myck205 le 30 mai 2022 à 17:24:22

Citation de: shadow60 le 30 mai 2022 à 17:21:38

Bonjour tout le monde,

Nouvel abonné Freebox Pop FTTH depuis Vendredi (SFR FTTH avant), j'ai un soucis pour me connecter à un site distant via VPN IPsec avec NAT-T (Forticlient).
J'ai fait une capture Wireshark sur ma machine, rien de probant, premiers paquets en 500 puis en 4500 (NAT-T).
Par contre, sur le FW distant (Fortigate), je vois bien les paquets arriver mais pas depuis le port 500, je vois du udp 23230 > udp 500. Au final ca tombe en timeout. Une idée ?
Merci !

Bonjour,

Une IP full stack a été demandé ?

Titre: Connection VPN IPsec avec NAT-T impossible
Posté par: shadow60 le 30 mai 2022 à 17:33:11

Non je n'ai pas demandé d'IP full stack vu que je n'ai pas besoin de faire de redirection de ports chez moi.
Par contre je me connecte à plusieurs sites distants dans le cadre de mon travail (IT).
Je ne maitrise pas la gateway en front du FW pour ce site mais je suis certain qu'il n'y a que le port 500 d'ouvert (redirection de port sur la gateway), pensez-vous qu'une IPv4 full stack de mon côté pourrait résoudre le problème ?

Quelques extraits des logs du FW du site distant:
ike 0:v-users-1:54: sent IKE msg (P1_RETRANSMIT): 192.168.3.10:500->88.174.xxx.xxx:23230, len=600, vrf=0, id=370d7a13c8820334/fb31425003c85284
ike shrank heap by 126976 bytes
ike 0:v-users-1:54: out [...]
ike 0:v-users-1:54: sent IKE msg (P1_RETRANSMIT): 192.168.3.10:500->88.174.xxx.xxx:23230, len=600, vrf=0, id=370d7a13c8820334/fb31425003c85284
ike shrank heap by 135168 bytes
ike 0:v-users-1:54: out
[...]
ike 0:v-users-1:54: sent IKE msg (P1_RETRANSMIT): 192.168.3.10:500->88.174.xxx.xxx:23230, len=600, vrf=0, id=370d7a13c8820334/fb31425003c85284
ike shrank heap by 135168 bytes
ike 0:v-users-1:54: negotiation timeout, deleting
ike 0:v-users-1: connection expiring due to phase1 down
ike 0:v-users-1: deleting
ike 0:v-users-1: deleted
ike shrank heap by 143360 bytes

Titre: Connection VPN IPsec avec NAT-T impossible
Posté par: shadow60 le 30 mai 2022 à 17:43:19

J'ai eu un retour assez rapide du presta en charge de la GW distante. La DMZ vers le FW pour l'UDP avait sauté de la config, bloquant le 4500... Au final hasard de timing avec mon changement chez Free :)

J'ai bien fait de ne pas me précipiter pour demander une IP Full stack, je n'en vois pas le besoin pour mon cas d'usage et si ça peut aider l'effort collectif de pénurie d'ipv4...

On peut donc clore le sujet, merci de m'avoir lu !