Topic Zyxel | USG

Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

je viens de voir un truc qui me plait pas dans l'ancien log: sur le Policy du tunnel qui est ouvert, tu n'as pas le port côté client.....
a tous les coups, sosh bloque le l2tp :/
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Topic Zyxel | USG

Message par augur1 »

À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.

Pourtant : le 24-01-2017 à 15:05:28, de la même manière
A présent, en bridge, le VPN fonctionne.
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Topic Zyxel | USG

Message par kalistyan »

Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN. :o
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Topic Zyxel | USG

Message par augur1 »

USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.
ah non, free filtre rien, testé maintes et maintes fois.
donc cherche côté android ;)
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN. :o
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.
ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis.
c'est du texte !!!

et c'est pas le firewall que tu change, c'est la conf du VPN

avec la conf que tu as fait, il va comparer ta conf (DNS) avec ce que lui envoi celui d'en face (une IP vu que ça marche quand tu met une IP) et en comparant en ASCII, bah évidement, ça marche pas :D

met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.
ça sert d'identifiant (=authentification), pas pour trouver ou te connecter

ça pas super clair sur le zyxel, ça l'est bcp plus quand le PEER du zyxel est un linux/strongswan la ou la doc est très explicite

PS: me suis fait avoir au debut aussi ;)
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!
[:rofl]
va falloir que tu reprenne des cours réseau :/
je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.

les 3 protocoles nécessaires a l'établissement d'un tunnel IPSec sont AH, GRE et ESP (IP47, IP50 et IP51 je sais plus dans quel ordre) qui sont des protocoles IP au même titre que TCP (IP 6) ou UDP (IP 17)

ouvrir les ports 0-65535 va ouvrir TCP ou UDP mais pas GRE ou ESP ou AH
il est donc nécessaire de mettre le routeur dans la DMZ d'une LiveBox qui est le seul moyen de router ces protocoles !!!!
il est impossible de créer des règles NAT autre que UDP/TCP sur une LiveBox

PS: le 4eme protocole nécessaire pour du IPSec c'est IKE: UDP 500

après ya NAT-T (UDP 4500) qui peut être utile, et L2TP (UDP 1701) ou PPTP (UDP 1723) qui sont des surcouches à IPSEC
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Topic Zyxel | USG

Message par augur1 »

[:rofl]
va falloir que tu reprenne des cours réseau :/
ou plutôt que j'en prenne !!!!!!!!! :ange:
quand j'aurais le temps :sweat:
je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.
C'est le support Zyxel qui le dit !
=> https://www.zyxel.fr/support/knowledgebase/detail/3439
=> https://www.zyxel.fr/support/download/59165_1
Comment faire du VPN IPSEC derrière une Livebox pro v2 SAGEM ?
KB-3488 Dernière mise à jour: 12.12.2013

Problèmes rencontrés
Une simple règle NAT du port 500 et 4500 ne fonctionne pas
Une DMZ à destination de l’USG ne fonctionne pas.

Solution
La seule solution fonctionnelle à ce jour est de faire une redirection de la totalité des ports sur le WAN de l’USG, donc de 0 à 65535.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

si tu savais la quantité de connerie qu'il y a sur leur site/DOC
au début des USG100/1000, il se passait pas 1 mois sans que je les appelle pour leur signaler un bug de firmware ou dans leur doc

pour info, j'ai un client chez qui ça marchait parfaitement en DMZ (ils ont depuis changé de box)
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Topic Zyxel | USG

Message par kalistyan »

ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis. c'est du texte !!!
:jap:
et c'est pas le firewall que tu change, c'est la conf du VPN
Dans cette phrase, il faut comprendre, pare-feu = device ;)
J'aurais dû écrire, USG. :d
met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.
Cela n' pas été précisé, mais j'ai bien la correspondance sur le pfSense. ;)
D'où mon interrogation :??:



Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

t'as pas une option dans le PF justement pour convertir le DNS en IP ?
la norme dit que c'est une comparaison de texte mais rien ne dit que t'as pas le droit de "bricoler" la chaine avant ;)
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

suis en train d'essayer de faire marcher une clef 3g sur un zyxel 110; bah c'est pas gagné.

clef détectée, mais le routeur indique carte SIM manquante ou HS.

évidement, la clef fonctionne parfaitement sur un PC :/
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Topic Zyxel | USG

Message par augur1 »

Toutes ne sont pas compatibles.
Y a une compatibility list sur leur support...
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

normalement, celle la est sensée fonctionner (Alcatel X220L identique a une huawei 173)
Avatar de l’utilisateur
augur1
Messages : 13138
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Topic Zyxel | USG

Message par augur1 »

Wep mais si modele ok mais firmware pas compatible avec le zyxel = ko

Le zyxel est à jour ?
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

firmware de la clef, aucune idée.
firmware du zyxel oui, dernier en date.
Avatar de l’utilisateur
biour
Messages : 24064
Inscription : ven. 12 janv. 2018 17:44

Topic Zyxel | USG

Message par biour »

crossflash du firmware de la clé possible?
Image
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

Je sais pas.
J'attend une réponse du support si un firmware peut causer le message que j'ai

Sinon, vais prendre une clef qui est dans la liste.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

bon, comme d'hab, le support ne sait rien dire a part filer un lien vers la liste des clef officiellement supportées.

du coup j'en ai eu mare, j'ai pris une de celles de la liste, la seule unique sans firmware pour assurer une compatibilité max.

bah ça marche du feu de dieu !

par contre, je l'ai configurée en failback de mes 2 VDSL, mais la connexion reste ouverte en permanence (mais 0 data qui passe)

je sais pas si l'operateur va apprécier....
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Topic Zyxel | USG

Message par Zedoune »

je vais tenter une expérience au travail et remplacer un zyxel dual wan par du pfsense dans un premier temps au bureau (c'est pas trop critique). Après, dans le datacenter, je vais peut être mettre 2 pfsense en HA pour remplacer mes USG-210. J'en peux plus de ces merdes
yahaha
Messages : 1831
Inscription : ven. 12 janv. 2018 17:44
Localisation : Bruxelles

Topic Zyxel | USG

Message par yahaha »

et tu as regardé du coté de sophos?
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Topic Zyxel | USG

Message par kalistyan »

J'en peux plus de ces merdes
Qui des problèmes rencontrés ? :/

Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Topic Zyxel | USG

Message par Zedoune »

et tu as regardé du coté de sophos?
ça coûte dans les 700 € ?
Qui des problèmes rencontrés ? :/
routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Topic Zyxel | USG

Message par dsebire »

Jamais eu de soucis avec les tunnels ipsec.
Je dois en trouver un qui a une centaine de jours d'uptime...

J'étais emmerdé chez un client avant de m'appercevoir que c'était une des box qui avait un souci (erreurs crc sur la ligne)
yahaha
Messages : 1831
Inscription : ven. 12 janv. 2018 17:44
Localisation : Bruxelles

Topic Zyxel | USG

Message par yahaha »


ça coûte dans les 700 € ?
Qui des problèmes rencontrés ? :/
routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.
pas la version home qui gère -->50ip
Répondre