Page 6 sur 9

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 07:34
par dsebire
je viens de voir un truc qui me plait pas dans l'ancien log: sur le Policy du tunnel qui est ouvert, tu n'as pas le port côté client.....
a tous les coups, sosh bloque le l2tp :/

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 11:55
par augur1
À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.

Pourtant : le 24-01-2017 à 15:05:28, de la même manière
A présent, en bridge, le VPN fonctionne.

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 12:44
par kalistyan
Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN. :o
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 13:07
par augur1
USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 14:57
par dsebire
À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.
ah non, free filtre rien, testé maintes et maintes fois.
donc cherche côté android ;)

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 15:03
par dsebire
Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN. :o
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.
ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis.
c'est du texte !!!

et c'est pas le firewall que tu change, c'est la conf du VPN

avec la conf que tu as fait, il va comparer ta conf (DNS) avec ce que lui envoi celui d'en face (une IP vu que ça marche quand tu met une IP) et en comparant en ASCII, bah évidement, ça marche pas :D

met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.
ça sert d'identifiant (=authentification), pas pour trouver ou te connecter

ça pas super clair sur le zyxel, ça l'est bcp plus quand le PEER du zyxel est un linux/strongswan la ou la doc est très explicite

PS: me suis fait avoir au debut aussi ;)

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 15:17
par dsebire
USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!
[:rofl]
va falloir que tu reprenne des cours réseau :/
je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.

les 3 protocoles nécessaires a l'établissement d'un tunnel IPSec sont AH, GRE et ESP (IP47, IP50 et IP51 je sais plus dans quel ordre) qui sont des protocoles IP au même titre que TCP (IP 6) ou UDP (IP 17)

ouvrir les ports 0-65535 va ouvrir TCP ou UDP mais pas GRE ou ESP ou AH
il est donc nécessaire de mettre le routeur dans la DMZ d'une LiveBox qui est le seul moyen de router ces protocoles !!!!
il est impossible de créer des règles NAT autre que UDP/TCP sur une LiveBox

PS: le 4eme protocole nécessaire pour du IPSec c'est IKE: UDP 500

après ya NAT-T (UDP 4500) qui peut être utile, et L2TP (UDP 1701) ou PPTP (UDP 1723) qui sont des surcouches à IPSEC

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 15:24
par augur1
[:rofl]
va falloir que tu reprenne des cours réseau :/
ou plutôt que j'en prenne !!!!!!!!! :ange:
quand j'aurais le temps :sweat:
je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.
C'est le support Zyxel qui le dit !
=> https://www.zyxel.fr/support/knowledgebase/detail/3439
=> https://www.zyxel.fr/support/download/59165_1
Comment faire du VPN IPSEC derrière une Livebox pro v2 SAGEM ?
KB-3488 Dernière mise à jour: 12.12.2013

Problèmes rencontrés
Une simple règle NAT du port 500 et 4500 ne fonctionne pas
Une DMZ à destination de l’USG ne fonctionne pas.

Solution
La seule solution fonctionnelle à ce jour est de faire une redirection de la totalité des ports sur le WAN de l’USG, donc de 0 à 65535.

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 15:44
par dsebire
si tu savais la quantité de connerie qu'il y a sur leur site/DOC
au début des USG100/1000, il se passait pas 1 mois sans que je les appelle pour leur signaler un bug de firmware ou dans leur doc

pour info, j'ai un client chez qui ça marchait parfaitement en DMZ (ils ont depuis changé de box)

Topic Zyxel | USG

Publié : mar. 31 janv. 2017 20:16
par kalistyan
ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis. c'est du texte !!!
:jap:
et c'est pas le firewall que tu change, c'est la conf du VPN
Dans cette phrase, il faut comprendre, pare-feu = device ;)
J'aurais dû écrire, USG. :d
met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.
Cela n' pas été précisé, mais j'ai bien la correspondance sur le pfSense. ;)
D'où mon interrogation :??:




Topic Zyxel | USG

Publié : mer. 1 févr. 2017 07:12
par dsebire
t'as pas une option dans le PF justement pour convertir le DNS en IP ?
la norme dit que c'est une comparaison de texte mais rien ne dit que t'as pas le droit de "bricoler" la chaine avant ;)

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 10:51
par dsebire
suis en train d'essayer de faire marcher une clef 3g sur un zyxel 110; bah c'est pas gagné.

clef détectée, mais le routeur indique carte SIM manquante ou HS.

évidement, la clef fonctionne parfaitement sur un PC :/

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 10:57
par augur1
Toutes ne sont pas compatibles.
Y a une compatibility list sur leur support...

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 11:07
par dsebire
normalement, celle la est sensée fonctionner (Alcatel X220L identique a une huawei 173)

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 11:08
par augur1
Wep mais si modele ok mais firmware pas compatible avec le zyxel = ko

Le zyxel est à jour ?

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 11:46
par dsebire
firmware de la clef, aucune idée.
firmware du zyxel oui, dernier en date.

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 12:26
par biour
crossflash du firmware de la clé possible?

Topic Zyxel | USG

Publié : lun. 6 févr. 2017 13:01
par dsebire
Je sais pas.
J'attend une réponse du support si un firmware peut causer le message que j'ai

Sinon, vais prendre une clef qui est dans la liste.

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 07:37
par dsebire
bon, comme d'hab, le support ne sait rien dire a part filer un lien vers la liste des clef officiellement supportées.

du coup j'en ai eu mare, j'ai pris une de celles de la liste, la seule unique sans firmware pour assurer une compatibilité max.

bah ça marche du feu de dieu !

par contre, je l'ai configurée en failback de mes 2 VDSL, mais la connexion reste ouverte en permanence (mais 0 data qui passe)

je sais pas si l'operateur va apprécier....

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 10:39
par Zedoune
je vais tenter une expérience au travail et remplacer un zyxel dual wan par du pfsense dans un premier temps au bureau (c'est pas trop critique). Après, dans le datacenter, je vais peut être mettre 2 pfsense en HA pour remplacer mes USG-210. J'en peux plus de ces merdes

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 12:25
par yahaha
et tu as regardé du coté de sophos?

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 13:02
par kalistyan
J'en peux plus de ces merdes
Qui des problèmes rencontrés ? :/


Topic Zyxel | USG

Publié : lun. 20 févr. 2017 13:47
par Zedoune
et tu as regardé du coté de sophos?
ça coûte dans les 700 € ?
Qui des problèmes rencontrés ? :/
routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 13:56
par dsebire
Jamais eu de soucis avec les tunnels ipsec.
Je dois en trouver un qui a une centaine de jours d'uptime...

J'étais emmerdé chez un client avant de m'appercevoir que c'était une des box qui avait un souci (erreurs crc sur la ligne)

Topic Zyxel | USG

Publié : lun. 20 févr. 2017 14:03
par yahaha

ça coûte dans les 700 € ?
Qui des problèmes rencontrés ? :/
routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.
pas la version home qui gère -->50ip