Auteur Sujet: Stabilité du VPN avec le client Windows 10 intégré  (Lu 4725 fois)

0 Membres et 1 Invité sur ce sujet

FreetPro

  • Abonné Free Pro
  • *
  • Messages: 9
Stabilité du VPN avec le client Windows 10 intégré
« le: 21 septembre 2021 à 11:57:30 »
Bonjour,
nouveaux chez Free PRO Fibre, nous utilisons le serveur VPN "rudimentaire" de la freebox PRO et le client intégré à Windows 10, paramétré au plus simple et avec les options par défaut :
Nom ou adresse du serveur : xxxxxxxxxxx.box.freepro.com
Type de réseau privé virtuel : Protocole IKEv2 (version 2 d'Internet Key Exchange)
Type d'informations de connexion : Nom d'utilisateur et mot de passe
La connexion s'effectue sans problème mais nous avons de gros problèmes de stabilité, avec 2 symptômes possibles :
- le client VPN repasse à "déconnecté" après quelques minutes, et bien sûr nous perdons l'accès au LAN
- le client VPN reste à "connecté" mais nous perdons l'accès au LAN
Nous ne disposons que de quelques observations supplémentaires :
- le temps au bout duquel l'accès est perdu n'est pas fixe (1 minute, 1 heure...)
- le problème ne semble pas lié à la taille des données échangées (transfert de plusieurs Go en cours ou absence d'activité)
- une connexion utilisant un client StrongSwan sous android est nettement plus robuste.
PowerShell et la base de registre permettent d'accéder à des options cachées par défaut (ex : https://lafibre.info/vpn/vpn-ikev2-vs-openvpn-vs-et-combat-de-coqs/) mais personne chez nous ne maîtrise le sujet.

Avez-vous eu à régler ce genre de problème de stabilité ?

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #1 le: 21 septembre 2021 à 13:09:10 »
Bonjour,

j'ai pas mal de recul sur l'IKEv2 puisque je l'utilise au quotidien avec Strongswan comme serveurs et iOS/MacOS/Windows comme clients.

J'ai cherché pendant très longtemps pourquoi des utilisateurs sur Windows, certains avaient une connexion avec une stabilité irréprochable sur un ADSL pourri et d'autres des déconnexions immédiates ou à des fréquences variables sur FTTH 1 Gbps. J'ai tout fait, drivers, màj Windows, passage du Wi-Fi en câblé etc etc... Sur environnement Apple, jamais eu de soucis, connexion au VPN, 1h ou 1 semaine de connexion, ça ne bouge jamais...

En fait, le client natif Windows est stupide sur un point : il défini son "localid" avec l'adresse IP locale (ex. 192.168.1.10), bien sûr, aucun moyen de modifier cela, alors que le localid est extrêmement important en IKEv2 (rien en PowerShell ne permet de modifier le localid, pourtant le champ existe dans la configuration (Get-NetIPsecMainModeSA.LocalFirstID.Identity). Et du coup dès que 2 utilisateurs avec la même IP LAN se connectent, ils vont avoir le même localid, Strongswan va donc drop les deux connexions.

La solution est simple en attendant la possibilité de modifier le localid (on peut attendre longtemps, ça a déjà été signalé, mais jamais implémenté depuis. Ça n'a pas l'air d'intéresser grand monde, ex : https://social.technet.microsoft.com/Forums/office/en-US/4ccd9cae-379e-4ea0-b17a-45713525c915/setup-ipsec-ikev2-adapter-with-ike-local-identity-with-username-instead-of-ip-address-by-default?forum=win10itpronetworking), c'est de modifier l'IP locale, soit avec un bail DHCP statique, ou en changeant carrément le range. C'est du bricolage sur Windows pour l'instant, mais c'est le seul moyen que j'ai trouvé pour contourner le problème.

Si quelqu'un s'y connaît en Strongswan, il y a peut-être le moyen de dupliquer les localid sans entrainer une fermeture de connexion.

FreetPro

  • Abonné Free Pro
  • *
  • Messages: 9
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #2 le: 21 septembre 2021 à 14:49:53 »
Bonjour,
si je comprends la réponse, le fait que plusieurs personnes se connectent de chez elles, avec un réseau local généralement paramétré en 192.168.0.x risque déjà de provoquer des déconnexion si elles ont reçu la même adresse IP locale. En soi, c'est effectivement une limitation.
Mais dans le cas de ma TPE, nous avons le même problème lorsque nous nous connectons depuis nos anciens locaux dans lesquels chaque PC (sous Windows 10) a une IP fixe. Il semble donc y avoir un autre souci. Il serait peut-être intéressant d'utiliser un autre client, je vais me renseigner sur ce qui existe pour Windows.

Comme je suis dans les nouveaux locaux aujourd'hui (avec la Freebox PRO donc) j'ai tenté quelque chose : je me suis connecté sur le wifi invité et j'ai activé une connexion VPN en choisissant le type de réseau "Automatique" au lieu de Ikev2. Je n'ai aucun problème de connexion depuis ce matin. Ce que ne comprends pas en revanche, c'est ce que m'affiche un Get-VPNConnection.
dans le cas de la connexion paramétrée selon les préconisations de Free (cf mon premier post), testée depuis chez moi :
TunnelType            : Ikev2
AuthenticationMethod  : {Eap}
EncryptionLevel       : Optional
L2tpIPsecAuth         :

dans le cas de la connexion actuelle (qui semble mieux marcher mais je retesterai depuis chez moi) :
TunnelType            : Automatic
AuthenticationMethod  : {Eap}
EncryptionLevel       : Optional
L2tpIPsecAuth         : Certificate

Le fait de choisir "Automatique" donne accès à l'onglet L2TP dans les propriétés de la connexion et fixe d'autres valeurs par défaut. Je ne sais pas du tout si cela peut être un indice intéressant ?

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #3 le: 21 septembre 2021 à 16:24:32 »
Les utilisateurs se connectent bien avec leur propre identifiant ? Car suivant comment Free paramètre le "uniqueids", utiliser le même ID peut faire tomber les SA actifs.

Si la Freebox répond aussi en L2TP/IPsec, c'est qu'un serveur tourne aussi sur ce protocole, cependant je ne maitrise pas celui-ci. S'il fonctionne mieux, pourquoi pas l'utiliser si la confidentialité des échanges n'est pas sensible.

FreetPro

  • Abonné Free Pro
  • *
  • Messages: 9
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #4 le: 21 septembre 2021 à 21:15:14 »
Les utilisateurs ont bien leur propre identifiant, pas de problème de ce côté-là. Mais votre remarque est bonne : la sécurité nous importe et nous préférons utiliser ikev2 s'il est plus sûr. Ce qui nous ramène au problème initial : difficile d'utiliser le VPN intégré à la box si on perd souvent la connexion.
Les tests de ce soir montrent un problème de stabilité (ou doit-on plutôt parler de robustesse ?) avec deux utilisateurs et même avec un seul.
Une fois connecté (de chez moi, avec l'IP locale 192.168.0.6), j'ai lancé un transfert de fichiers d'un disque partagé du LAN vers mon PC. Et bien que Windows indique toujours la connexion comme active, j'ai eu plusieurs fois des erreurs de transfert, que j'ai pu contourner en déconnectant le client puis en le reconnectant, et en demandant à Windows de réessayer de transférer le fichier en erreur. J'ai eu les mêmes symptômes quand un autre utilisateur était connecté (avec une autre IP locale) et quand j'étais seul, donc on ne peut pas invoquer un conflit d'ID cette fois-ci.

On ne peut rien configurer côté box dans cette version de l'interface et en particulier on ne peut pas choisir les protocoles. Je pourrais à la rigueur comprendre que l'offre Free PRO soit "jeune" mais en l'état, ce n'est clairement pas un fonctionnement acceptable pour une entreprise, même petite. Et comme je ne peux pas configurer grand chose non plus côté client, je désespère... J'ai d'ailleurs refait un test avec un client strongSwan sous android et cette fois-ci j'ai eu le même genre d'erreurs.

Quelqu'un d'autre a-t-il ce genre de problème avec cette box ?

A titre personnel j'ai un autre type de box du même opérateur, et je n'ai pas ce problème de perte de connexions incessantes.

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #5 le: 22 septembre 2021 à 13:51:05 »
Possible de faire un test avec un environnement Apple ? iPhone / iPad / Mac ? Comme je sais que le client natif est parfaitement stable, on pourrait orienter le défaut vers la Freebox Pro ou la ligne elle même.

Je n'ai pas accès à une Freebox Pro, mais avec une Delta, je n'ai absolument aucun problème de déconnexion.

FreetPro

  • Abonné Free Pro
  • *
  • Messages: 9
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #6 le: 22 septembre 2021 à 19:01:53 »
Je n'ai qu'un vieil iPhone sous iOS 10.3.3 mais merci pour l'idée, je devrais trouver un collègue mieux équipé. A suivre donc !

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #7 le: 22 septembre 2021 à 21:39:19 »
Ça suffit pour tester à mon avis, iOS 10 supporte l'IKEv2 normalement.

FreetPro

  • Abonné Free Pro
  • *
  • Messages: 9
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #8 le: 05 octobre 2021 à 21:18:06 »
Je reprends le sujet pour partager quelques constatations, mais toujours pas de solution...
Je n'ai pas pu me connecter via un appareil Apple mais j'ai fait un test simple :
- si je lance un transfert de fichiers partagés sur le LAN vers mon PC (sous Windows 10), j'ai en général une erreur de transfert en moins de 5 minutes. Et parfois non. L'état du VPN reste "connecté" mais je n'accède simplement plus aux données. Si je ferme la connexion et que je la rouvre, l'accès est à nouveau fonctionnel. Je constate aussi que le débit fluctue beaucoup
- si je fais le même test depuis une VM Windows 7 tournant sur le même PC, le client VPN de Windows 7 étant lancé sur la VM, les transferts se font apparemment sans erreur, également avec un débit fluctuant. Je ne peux donc pas incriminer ma connexion ADSL.
Les retours des utilisateurs essayant d'accéder au LAN par le VPN de cette box depuis Windows 10 se résument donc à "ça plante souvent, mais pas toujours" sans que nous ayons trouvé la cause. Je vais arrêter de chercher pour un moment, en espérant qu'un nouveau firmware permettra un jour de paramétrer le serveur VPN ou que quelqu'un postera une solution pour le même problème.
Echec, donc.

Antigravi_T

  • Invité
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #9 le: 07 octobre 2021 à 13:18:22 »
Bonjour à T,

Pour palier aux soucis de Windows du VPN entre périphériques, vous pouvez tester ceci :

Sous Windows  pour L2TP/Ipsec >

(W) + R.
 
Tapez au clavier regedit puis la touche "enter" > oui

Dans Regedit >

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

Menu :

Edition > Nouveau  > DWORD= "AssumeUDPEncapsulationContextOnSendRule" > touche "enter".


Cliquez  droit de la souris sur  "AssumeUDPEncapsulationContextOnSendRule", puis cliquez sur Modifier.

Dans la boite Donnée Valeur, tapez 2 et cliquez sur OK.

Redémarrez l'ordinateur.
« Modifié: 08 octobre 2021 à 09:36:07 par Antigravi_T »

darkmoon

  • Abonné Free fibre
  • *
  • Messages: 730
  • ↓ 5 Gbps | ↑ 700Mbps (SGL 69)
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #10 le: 07 octobre 2021 à 13:42:53 »
Il dit qu'il voit pas le rapport ...

iMarco27

  • Abonné Orange Fibre
  • *
  • Messages: 1 421
Stabilité du VPN avec le client Windows 10 intégré
« Réponse #11 le: 07 octobre 2021 à 14:34:33 »
Coucou Hector, ta solution est pour le L2TP/Ipsec, l'IKEv2 n'est pas concerné par cette manipulation.

Sinon je ne vois pas quelle solution il pourrait y avoir, à part contacter le support technique pour leur remonter l'information. J'utilise tous les jours le client VPN natif de Windows 10 et MacOS sans jamais avoir de déconnexion (la dernière fois l'ordi était resté allumé une semaine, le VPN était encore connecté).