La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: QuentinCD le 06 avril 2018 à 11:30:05
-
Bonjour,
Je travail en tant qu'administrateur système et réseau dans un groupe scolaire éclaté sur plusieurs sites. La gestion des interconnexions est un enjeu important et pas toujours simple à gérer. A l'heure actuelle nous disposons de liens dédiés cuivre SDSL 2Mb/s afin d’interconnecter nos différent sites. Nous souhaiterions interconnecter ces sites via des tunnels IPsec. Chaque sites disposent de fortigate (90D, 100D , 200D , 300D) nous avons récemment souscrit à des offres Fibre Orange (offre grand public Jet) sur deux sites afin d'effectuer des tests, nous allons passé sur du pro pour bénéficier d'IP fixe (non disponible en grand public).
Après avoir configuré les tunnels sur les deux Fortigates concernés nous nous sommes uppercut que les livebox V4 ne permettaient pas de faire transiter ces protocoles :( source : https://communaute.orange.fr/t5/ma-connexion/Tunnel-IKE-IPSec-Livebox-Pro-4/td-p/1508355 (https://communaute.orange.fr/t5/ma-connexion/Tunnel-IKE-IPSec-Livebox-Pro-4/td-p/1508355)
Je souhaiterais donc les remplacer par des routeurs , j'en ai repéré deux modèles chez l'un de nos fournisseur et je souhaitais avoir votre avis :
Cisco RV320 https://www.cisco.com/c/en/us/products/routers/rv320-dual-gigabit-wan-vpn-router/index.html?dtid=osscdc000283 (https://www.cisco.com/c/en/us/products/routers/rv320-dual-gigabit-wan-vpn-router/index.html?dtid=osscdc000283)
Linksys LRT214 https://www.linksys.com/fr/p/P-LRT214/ (https://www.linksys.com/fr/p/P-LRT214/)
Quels sont les prérequis à vérifier pour le choix d'un routeur en vu d'un remplacement de livebox (les deux disposent d'un boitier fibre).
Merci.
-
Salut,
Si tu passes sur une offre Pro avec IP fixe, tu sera sur l'ancienne archi en PPPoE au lieu de la nouvelle archi DHCP d'Orange.
En PPPoE, si tu remplace la Livebox, il faut bien penser à optimiser la MTU ainsi que le TCP MSS.
-
Bonjour Nh3xus,
Je te remercie pour ta réponse, j'ai lu que l’archi PPPoE risquait d'évoluer dans les années à venir , l'idée serait de ne pas changer de routeur dans la mesure du possible.
Merci pour tes précisions concernant le MTU et le TCP MSS, ce sont des notions avec lesquelles je ne suis pas familier. Je vais me renseigner sur le forum lorsque j'aurais reçu mes routeurs pour leur configuration.
Dans un premier temps je souhaiterais faire le bon choix matériel.
-
Salut,
Tu te trompes, il est parfaitement possible de monter un tunnel VPN avec un Fortigate derrière une livebox V4 ou pro V4.
J'ai ta configuration exacte chez des clients et ça ne pose pas de problème du moment que tu as bien configuré la DMZ de la Livebox et que ton tunnel a le NAT-T activé.
Par ailleurs, attention en PPPoE si tu enlèves la box, sur les petits modèles <100D, l'interface virtuelle PPPoE ne bénéficiera pas de l'offload et ton pare-feu va saturer et arrêter de répondre en cas de gros transfert. Problème résolu sur la gamme E.
L'ajustement MTU/MSS sera effectué automatiquement, pas de prise de tête à ce niveau.
-
Salut Slothy,
Merci pour ton retour , je suis particulièrement intéressé par tes connaissances sur le sujet. Ma configuration est la suivante :
Fortiwifi 90D d'un coté et cluster (actif/passif) de fortigate 100D de l'autre.
- J'ai configuré la DMZ des livebox sur l'adresse IP de l'interface WAN de mes fotigates.
- Le NAT-T est bien activé.
La phase 1 n’aboutit pas voici le message d'erreur :
ike 0::625: peer identifier IPV4_ADDR 192.168.100.253
ike 0: IKEv1 Aggressive, comes ***.***.***.***:1025->192.168.101.254 9
ike 0:d41737bddeb836b6/0000000000000000:625: incoming proposal:
ike 0:d41737bddeb836b6/0000000000000000:625: proposal id = 0:
ike 0:d41737bddeb836b6/0000000000000000:625: protocol id = ISAKMP:
ike 0:d41737bddeb836b6/0000000000000000:625: trans_id = KEY_IKE.
ike 0:d41737bddeb836b6/0000000000000000:625: encapsulation = IKE/none
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_ENCRYPT_ALG, val=AES_CBC, key-len=128
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:d41737bddeb836b6/0000000000000000:625: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:d41737bddeb836b6/0000000000000000:625: type=OAKLEY_GROUP, val=MODP1536.
ike 0:d41737bddeb836b6/0000000000000000:625: ISAKMP SA lifetime=86400
ike 0:d41737bddeb836b6/0000000000000000:625: negotiation failure
ike Negotiate ISAKMP SA Error: ike 0:d41737bddeb836b6/0000000000000000:625: no SA proposal chosen
-
On voit bien que les deux réussissent à dialoguer mais ne se comprennent pas, c'est un problème de configuration.
Tu pourrais faire un c/c de la conf phase1 et phase2 des 2 côtés ? Quelle est la version FortiOS sur les deux ?
Pense à masquer les IP publiques ou à les remplacer par des fictives.
-
Mon Fortigate 100D est en version v5.4.3 (build1111) et le Fortiwifi 90D est en version v5.6.2 build (1486).
Concernant les phases , la deux n'a pas été configurée je voulais tester le bon fonctionnement de la 1 , voici les confs
Fortigate 100D :
(https://i.imgur.com/vLquCka.jpg)
Fortiwifi 90D
(https://i.imgur.com/q7CIVY0.jpg)
j'ai revérifié les interfaces des fortigates sont bien déclarées en DMZ sur les livebox.
-
Je voulais dire en CLI. Peu d'infos sont visibles dans la GUI, c'est pas fiable. Normalement tu as toujours une P2 par contre même si c'est celle par défaut.
config vpn ipsec phase1-interface
show
config vpn ipsec phase2-interface
show
-
Fortigate 100D :
config vpn ipsec phase1-interface
show
edit "bourse_to_jjr"
set interface "dmz"
set peertype any
set proposal aes128-sha1
set dpd disable
set dhgrp 5
set remote-gw ***.***.11.141
set psksecret ENC 6MY/iY72vge57o7H6DiN5ZJichqPzn/ldTXwmPAYtYiS21yvSpxt79P3FdYdymgjCxe/2/M/CrJ0tCdDerlp1BBHdTS3vJKJMb7VmlP1lrY5exjAU8ydoXPn4uTJTWd+iT2Sy/nc/C1vnwP8K28b9BdlXaa2UevlWNqAP2WauMgSGkBPxBGeRzRolz8DeLVa57R4Rw==
Fortiwifi 90D
config vpn ipsec phase1-interface
show
edit "jjr_to_rousseau"
set interface "internal2"
set peertype any
set proposal aes128-sha1
set dpd disable
set dhgrp 5
set remote-gw ***.***.86.83
set psksecret ENC 28Aplss5zgTBxqLg36w/H4zFn5FjxjXwOpgXF+MgMHUt4zEICylYT4wQGAY3OR3uFN9cnTA7504LrZ2jlmvvFWILK9Yw/QnRt4wIjJrb4tIxzRfnWuTFFncN1d/JmmQ7jV1B2SGR9GbnpgynX1Br1CIMRTco7u+lsnijLWz55u5yqrbgii5XcpWRtdzUBhwxinltsQ==
-
Je vois rien d'anormal, mais pour que ça monte il faut une phase2 je pense.
Sinon tu peux essayer de forcer l'IP de l'interface wan à utiliser (dmz sur le 100 et internal2 sur le 90 à ce que je vois) dans la phase1, en général on fait ça quand il y a plusieurs adresses sur une interface :
set local-gw X.X.X.X
-
Je viens de fixer les passerelles a utiliser mais j'ai toujours le même message d'erreur
ike 0:bourse_to_jjr:16587: out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
ike 0:bourse_to_jjr:16587: sent IKE msg (P1_RETRANSMIT): 192.168.100.1:500->***.***.***.***:500, len=292, id=a7627ae92187e0f8/0000000000000000
ike 0: comes ***.***.***.***:1087->192.168.100.253:500,ifindex=6....
ike 0: IKEv1 exchange=Identity Protection id=096788c4196d031b/0000000000000000 len=292
ike 0: in 096788C4196D031B00000000000000000110020000000000000001240D00003C000000010000000100000030010100010000002801010000800B0001000C00040001518080010007800E00808003000180020002800400050D0000144A131C81070358455C5728F20E95452F0D0000147D9419A65310CA6F2C179D9215529D560D000014CD60464335DF21F87CFDB2FC68B6A4480D00001490CB80913EBB696E086381B5EC427B1F0D00001416F6CA16E4A4066D83821A0F0AEAA8620D0000144485152D18B6BBCD0BE8A8469579DDCC0D000014AFCAD71368A1F1C96B8696FC775701000D0000144048B7D56EBCE88525E7DE7F00D6C2D30D0000184048B7D56EBCE88525E7DE7F00D6C2D3C0000000000000148299031757A36082C6A621DE00000000
ike 0:096788c4196d031b/0000000000000000:16589: responder: main mode get 1st message...
ike 0:096788c4196d031b/0000000000000000:16589: VID RFC 3947 4A131C81070358455C5728F20E95452F
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-03 7D9419A65310CA6F2C179D9215529D56
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-02 CD60464335DF21F87CFDB2FC68B6A448
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-02\n 90CB80913EBB696E086381B5EC427B1F
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-01 16F6CA16E4A4066D83821A0F0AEAA862
ike 0:096788c4196d031b/0000000000000000:16589: VID draft-ietf-ipsec-nat-t-ike-00 4485152D18B6BBCD0BE8A8469579DDCC
ike 0:096788c4196d031b/0000000000000000:16589: VID DPD AFCAD71368A1F1C96B8696FC77570100
ike 0:096788c4196d031b/0000000000000000:16589: VID FRAGMENTATION 4048B7D56EBCE88525E7DE7F00D6C2D3
ike 0:096788c4196d031b/0000000000000000:16589: VID FRAGMENTATION 4048B7D56EBCE88525E7DE7F00D6C2D3C0000000
ike 0:096788c4196d031b/0000000000000000:16589: VID FORTIGATE 8299031757A36082C6A621DE00000000
ike 0:096788c4196d031b/0000000000000000:16589: incoming proposal:
ike 0:096788c4196d031b/0000000000000000:16589: proposal id = 0:
ike 0:096788c4196d031b/0000000000000000:16589: protocol id = ISAKMP:
ike 0:096788c4196d031b/0000000000000000:16589: trans_id = KEY_IKE.
ike 0:096788c4196d031b/0000000000000000:16589: encapsulation = IKE/none
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_ENCRYPT_ALG, val=AES_CBC, key-len=128
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_HASH_ALG, val=SHA.
ike 0:096788c4196d031b/0000000000000000:16589: type=AUTH_METHOD, val=PRESHARED_KEY.
ike 0:096788c4196d031b/0000000000000000:16589: type=OAKLEY_GROUP, val=MODP1536.
ike 0:096788c4196d031b/0000000000000000:16589: ISAKMP SA lifetime=86400
ike 0:096788c4196d031b/0000000000000000:16589: negotiation failure
ike Negotiate ISAKMP SA Error: ike 0:8e1d0ab64f675e6f/0000000000000000:16606: no SA proposal chosen
PS : j'ai également retiré le mode agressive (IKE).
Je ne comprends pas pourquoi la phase n’aboutis pas , les deux fortigates se voient bien d'après les logs. Mais si vous m'assurez qu'il est possible de faire fonctionner les tunnels derrière des livebox V4 en mode DMZ c'est qu'il y a forcement un problème coté config. :-[
-
Je persiste mais je suis à peu près certain que sans phase2 ça ne montera pas.
Voici une conf simple et fonctionnelle :
config vpn ipsec phase1-interface
edit "VPN_Wan1"
set interface "wan1"
set peertype any
set proposal aes128-sha1 aes256-sha1
set remote-gw X.X.X.X
set psksecret ENC xxxxxxxxxxxxxxxxxxxxxxxxxxxx
next
end
config vpn ipsec phase2-interface
edit "P2_VPN_Wan1"
set phase1name "VPN_Wan1"
set proposal aes128-sha1 aes256-sha1
set keepalive enable
next
end
-
Bonjour Slothy,
Merci pour ton aide, je n'ai pas eu le temps de reprendre les tests depuis ton dernier message. Voila ce que j'ai tester récemment, j'ai mis les interfaces des Fortigates en mode monitoring (sur les interfaces allant vers les livebox) afin de regarder les requettes IKE et voila ce que j'obtiens :
coté 100D :
(https://i.imgur.com/sMx5DEJ.jpg)
coté 90D :
(https://i.imgur.com/C8lASOw.jpg)
On voit que les paquets IKE (ISAKMP) provenant de mon 90D arrivent bien sur le 100D en revanche le 90D lui ne reçoit aucun paquet, j'ai donc tester de rejouer le paquet depuis un serveur linux se trouvant sur internet et mon 90D reçoit bien le paquet :
(https://i.imgur.com/o1gURQG.jpg)
je persiste donc à dire qu'orange doit me bloquer quelque part mais uniquement sur un site (celui de mon 100D) . Je ne comprends pas du tout, les box/abonnements sont les mêmes sur les deux sites. :-\
-
Reset la livebox devant le 100D, il y a peut-être une conf VPN dessus qui ferait qu'elle intercepte les requêtes (c'est le cas sur une Freebox V6/4K par exemple).
Mieux, si possible vire la et connecte l'ONT directement au forti avec le VLAN 835. Le 100D aura pas de soucis en PPPoE.
-
J'ai reset la box mais rien n'y fait je n'ai toujours pas de trame isakmp entrante coté 90D. Concernant l'ONT j'en ai un sur le site de mon 90D en revanche la box qui m'a été livrée sur le site du 100D n'en possède pas j'ai un adaptateur fibre directement branché sur livebox. Les modèles de livebox sont identique ( LIVEBOX V4 SAGEM CS50001 ).
-
J'ai plus trop d'idée, mais Orange ne bloque pas, c'est sûr. Peut-être que c'est lié au fait que tu sois en cluster sur le site qui pose problème ?
-
Pour info, UPNP + Machine sous OSX + "Accès à mon Mac" activé + NAT-T = port 4500 redirigé vers le Mac.
J'ai eu le cas récemment (tunnel LT2P over IPSEC) et ça a été un enfer à diagnostiquer.
Je ne voyais pas non plus les paquets ISAKMP arriver.
Bon, c'était sur un Edgerouter Lite, mais j'imagine que ça peut aussi arriver sur d'autres matériels...
-
Bonjour,
Je viens déterrer mon post après plusieurs semaines d'absence. Mark5 je n'avais pas vu votre réponse. J'ai du mal a comprendre, dans votre cas qu'est-ce qui bloquait les requêtes ISAKMP ?
De mon coté nous sommes passé sur des offres pro après avoir rencontré une commerciale de chez Orange nous affirmant qu'il serait possible de monter nos tunnels. Les deux nouvelles livebox V4 pro sont arrivées et sont installées, j'ai revu mes paramétrages et les Fortigates sont déclarés en DMZ sur les box mais les tunnels ne monte toujours pas. J'ai appelé le service support pro de Orange ce matin et personne ne peux me donner une réponse concrète concernant ce que je souhaites faire, pire on me dit à demi mot de passer sur une offre Business... je suis atterré par le niveau de service chez Orange. Je pense donc acheter des routeurs pour remplacer les deux livebox pro. Je pensais acheter ce modèle: Linksys LRT214 , qu'en pensez vous ?
-
Ce que Mark5 veut dire c'est que vu que tu es en double NAT avec DMZ, la livebox ne laisse pas passer les paquets ISAKMP. Le but du NAT-T justement c'est d'encapsuler ça dans de l'UDP si l'ISAKMP passe pas (ports 500 et 4500). En soi ça ne pose pas de problème, ça fausse juste ton diagnostic.
Pour le coup je vois pas ce que tu attends d'Orange, ils vont pas configurer les routeurs à ta place, leur liaison est fonctionnelle. Ce serait pareil chez OBS.
Tu veux pas virer les livebox plutôt au lieu de vouloir les remplacer ?
-
Bonjour Slothy,
Merci pour ta réponse et ce point technique. j'abandonne l'idée de monter mon VPN à travers les livebox, je pars sur l'achat de deux routeurs MikroTik rb3011. Enfin concernant Orange je suis juste consterné par la réponse fourni de la part du support pro, " on ne sais pas ". je n'attends nullement une aide technique pour la configuration des box mais une réponse claire afin de savoir si oui ou non le problème vient d'une restriction de la box ou de leur réseau.
-
Je conseillerais de mettre directement les Fortinet en WAN sur les lignes Orange et d'enlever completement les Livebox. Ca simplifie le reseau et surtout le debuggage IPsec :)
-
Haaaa les VPN sur les LiveBox :-\
Selon le modèle de LiveBox on a des résultats différents... je n'ai plus le modèle exact en tête mais désactiver l'UPnP (manip qui n'a rien à voir en apparence...) sur la LiveBox m'avait permis de récupérer les paquets "qui disparaissent" vers mon routeur...
Chez Orange, la DMZ a une drôle de définition :(
ça serait dû à leurs fonctions de VPN et accès distant intégrés : tu utilises Orange ou tu n'auras rien ! :P
Mais sinon oui, virer la Livebox ! au moins quand ça ne fonctionne pas, pas besoin de faire des incantations... Par contre j'ai un doute concernant le support Orange si n'arrivent plus à interroger leur équipement.