Auteur Sujet: Livebox V4 Fortinet Tunnels Ipsec intersite (Lu 14656 fois)

QuentinCD · « **Réponse #12 le:** 11 avril 2018 à 10:22:24 »

Bonjour Slothy,

Merci pour ton aide, je n'ai pas eu le temps de reprendre les tests depuis ton dernier message. Voila ce que j'ai tester récemment, j'ai mis les interfaces des Fortigates en mode monitoring (sur les interfaces allant vers les livebox) afin de regarder les requettes IKE et voila ce que j'obtiens :

coté 100D :

coté 90D :

On voit que les paquets IKE (ISAKMP) provenant de mon 90D arrivent bien sur le 100D en revanche le 90D lui ne reçoit aucun paquet, j'ai donc tester de rejouer le paquet depuis un serveur linux se trouvant sur internet et mon 90D reçoit bien le paquet :

je persiste donc à dire qu'orange doit me bloquer quelque part mais uniquement sur un site (celui de mon 100D) . Je ne comprends pas du tout, les box/abonnements sont les mêmes sur les deux sites. $:-\$

Slothy · « **Réponse #13 le:** 11 avril 2018 à 12:20:01 »

Reset la livebox devant le 100D, il y a peut-être une conf VPN dessus qui ferait qu'elle intercepte les requêtes (c'est le cas sur une Freebox V6/4K par exemple).
Mieux, si possible vire la et connecte l'ONT directement au forti avec le VLAN 835. Le 100D aura pas de soucis en PPPoE.

QuentinCD · « **Réponse #14 le:** 11 avril 2018 à 16:10:38 »

J'ai reset la box mais rien n'y fait je n'ai toujours pas de trame isakmp entrante coté 90D. Concernant l'ONT j'en ai un sur le site de mon 90D en revanche la box qui m'a été livrée sur le site du 100D n'en possède pas j'ai un adaptateur fibre directement branché sur livebox. Les modèles de livebox sont identique ( LIVEBOX V4 SAGEM CS50001 ).

Slothy · « **Réponse #15 le:** 11 avril 2018 à 18:09:04 »

J'ai plus trop d'idée, mais Orange ne bloque pas, c'est sûr. Peut-être que c'est lié au fait que tu sois en cluster sur le site qui pose problème ?

Mark5 · « **Réponse #16 le:** 16 avril 2018 à 08:37:55 »

Pour info, UPNP + Machine sous OSX + "Accès à mon Mac" activé + NAT-T = port 4500 redirigé vers le Mac.
J'ai eu le cas récemment (tunnel LT2P over IPSEC) et ça a été un enfer à diagnostiquer.
Je ne voyais pas non plus les paquets ISAKMP arriver.
Bon, c'était sur un Edgerouter Lite, mais j'imagine que ça peut aussi arriver sur d'autres matériels...

QuentinCD · « **Réponse #17 le:** 17 mai 2018 à 10:29:28 »

Bonjour,

Je viens déterrer mon post après plusieurs semaines d'absence. Mark5 je n'avais pas vu votre réponse. J'ai du mal a comprendre, dans votre cas qu'est-ce qui bloquait les requêtes ISAKMP ?
De mon coté nous sommes passé sur des offres pro après avoir rencontré une commerciale de chez Orange nous affirmant qu'il serait possible de monter nos tunnels. Les deux nouvelles livebox V4 pro sont arrivées et sont installées, j'ai revu mes paramétrages et les Fortigates sont déclarés en DMZ sur les box mais les tunnels ne monte toujours pas. J'ai appelé le service support pro de Orange ce matin et personne ne peux me donner une réponse concrète concernant ce que je souhaites faire, pire on me dit à demi mot de passer sur une offre Business... je suis atterré par le niveau de service chez Orange. Je pense donc acheter des routeurs pour remplacer les deux livebox pro. Je pensais acheter ce modèle: Linksys LRT214 , qu'en pensez vous ?

Slothy · « **Réponse #18 le:** 17 mai 2018 à 18:35:10 »

Ce que Mark5 veut dire c'est que vu que tu es en double NAT avec DMZ, la livebox ne laisse pas passer les paquets ISAKMP. Le but du NAT-T justement c'est d'encapsuler ça dans de l'UDP si l'ISAKMP passe pas (ports 500 et 4500). En soi ça ne pose pas de problème, ça fausse juste ton diagnostic.

Pour le coup je vois pas ce que tu attends d'Orange, ils vont pas configurer les routeurs à ta place, leur liaison est fonctionnelle. Ce serait pareil chez OBS.

Tu veux pas virer les livebox plutôt au lieu de vouloir les remplacer ?

QuentinCD · « **Réponse #19 le:** 18 mai 2018 à 09:06:12 »

Bonjour Slothy,

Merci pour ta réponse et ce point technique. j'abandonne l'idée de monter mon VPN à travers les livebox, je pars sur l'achat de deux routeurs MikroTik rb3011. Enfin concernant Orange je suis juste consterné par la réponse fourni de la part du support pro, " on ne sais pas ". je n'attends nullement une aide technique pour la configuration des box mais une réponse claire afin de savoir si oui ou non le problème vient d'une restriction de la box ou de leur réseau.

armando64 · « **Réponse #20 le:** 01 juin 2020 à 23:01:16 »

Je conseillerais de mettre directement les Fortinet en WAN sur les lignes Orange et d'enlever completement les Livebox. Ca simplifie le reseau et surtout le debuggage IPsec

MadFlasher · « **Réponse #21 le:** 02 juin 2020 à 15:28:58 »

Haaaa les VPN sur les LiveBox $:-\$
Selon le modèle de LiveBox on a des résultats différents... je n'ai plus le modèle exact en tête mais désactiver l'UPnP (manip qui n'a rien à voir en apparence...) sur la LiveBox m'avait permis de récupérer les paquets "qui disparaissent" vers mon routeur...
Chez Orange, la DMZ a une drôle de définition

ça serait dû à leurs fonctions de VPN et accès distant intégrés : tu utilises Orange ou tu n'auras rien !

Mais sinon oui, virer la Livebox ! au moins quand ça ne fonctionne pas, pas besoin de faire des incantations... Par contre j'ai un doute concernant le support Orange si n'arrivent plus à interroger leur équipement.