Topic Zyxel | USG

[dsebire]

je viens de voir un truc qui me plait pas dans l'ancien log: sur le Policy du tunnel qui est ouvert, tu n'as pas le port côté client.....
a tous les coups, sosh bloque le l2tp :/

[augur1]

À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.

Pourtant : le 24-01-2017 à 15:05:28, de la même manière

A présent, en bridge, le VPN fonctionne.

[kalistyan]

Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN.
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.

[augur1]

USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!

[dsebire]

À priori Free Mobile 16 € aussi : testé hier sur un mobile One Plus+, sans succès :/

OU ALORS : c'est Android qui ne veut pas !!!!
=> Android 6.01 sur le Wifi d'une Livebox, data 3G/4G désactvié = même symptôme.

ah non, free filtre rien, testé maintes et maintes fois.
donc cherche côté android

[dsebire]

Je ne comprends pas. :/

IP : A.A.A.A = ip dynamique CLIENT
IP : B.B.B.B = ip fixe SUPPORT

Avec la configuration ci-dessous, le tunnel se monte sans problème.
Le hic, dès que l'ip du client change, je dois intervenir sur le pare-feu. :/

Local ID Type : IP
Content : A.A.A.A
Peer ID Type : IP
Content : B.B.B.B

Du coup, j'ai testé avec ceci.

Local ID Type : DNS
Content : sarl.dtdns.net
Peer ID Type : IP
Content : B.B.B.B

Malheureusement, impossible de monter le VPN.
C'est pourtant la même chose, non ?

Côté client, il y a une livebox en amont de l'USG 20.
Côté support, Freebox (bridge) en amont du pfSense.

ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis.
c'est du texte !!!

et c'est pas le firewall que tu change, c'est la conf du VPN

avec la conf que tu as fait, il va comparer ta conf (DNS) avec ce que lui envoi celui d'en face (une IP vu que ça marche quand tu met une IP) et en comparant en ASCII, bah évidement, ça marche pas

met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.
ça sert d'identifiant (=authentification), pas pour trouver ou te connecter

ça pas super clair sur le zyxel, ça l'est bcp plus quand le PEER du zyxel est un linux/strongswan la ou la doc est très explicite

PS: me suis fait avoir au debut aussi

[dsebire]

USG 20 dans DMZ de la Livebox ?
... parce qu'il est dit qu'avec une Livebox il ne faut pas mettre le USG dans la DMZ mais ouvrir les port de 0 à 65 555 !!

[:rofl]
va falloir que tu reprenne des cours réseau :/
je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.

les 3 protocoles nécessaires a l'établissement d'un tunnel IPSec sont AH, GRE et ESP (IP47, IP50 et IP51 je sais plus dans quel ordre) qui sont des protocoles IP au même titre que TCP (IP 6) ou UDP (IP 17)

ouvrir les ports 0-65535 va ouvrir TCP ou UDP mais pas GRE ou ESP ou AH
il est donc nécessaire de mettre le routeur dans la DMZ d'une LiveBox qui est le seul moyen de router ces protocoles !!!!
il est impossible de créer des règles NAT autre que UDP/TCP sur une LiveBox

PS: le 4eme protocole nécessaire pour du IPSec c'est IKE: UDP 500

après ya NAT-T (UDP 4500) qui peut être utile, et L2TP (UDP 1701) ou PPTP (UDP 1723) qui sont des surcouches à IPSEC

[augur1]

[:rofl]
va falloir que tu reprenne des cours réseau :/

ou plutôt que j'en prenne !!!!!!!!!
quand j'aurais le temps

je sais pas ou t'as lu cette énormité mais a mon avis sur un truc pas sérieux et encore moins par un mec qui sait de quoi il parle.

C'est le support Zyxel qui le dit !
=> https://www.zyxel.fr/support/knowledgebase/detail/3439
=> https://www.zyxel.fr/support/download/59165_1

Comment faire du VPN IPSEC derrière une Livebox pro v2 SAGEM ?
KB-3488 Dernière mise à jour: 12.12.2013

Problèmes rencontrés
Une simple règle NAT du port 500 et 4500 ne fonctionne pas
Une DMZ à destination de l’USG ne fonctionne pas.

Solution
La seule solution fonctionnelle à ce jour est de faire une redirection de la totalité des ports sur le WAN de l’USG, donc de 0 à 65535.

[dsebire]

si tu savais la quantité de connerie qu'il y a sur leur site/DOC
au début des USG100/1000, il se passait pas 1 mois sans que je les appelle pour leur signaler un bug de firmware ou dans leur doc

pour info, j'ai un client chez qui ça marchait parfaitement en DMZ (ils ont depuis changé de box)

[kalistyan]

ah non, les ID c'est pas des IP ou des champs DNS qui sont convertis. c'est du texte !!!

et c'est pas le firewall que tu change, c'est la conf du VPN

Dans cette phrase, il faut comprendre, pare-feu = device
J'aurais dû écrire, USG. :d

met des 2 coté la même chose, par exemple du DNS (dans ton PEER et dans leur LOCAL), ou un champ texte je crois qu'on peut le faire.

Cela n' pas été précisé, mais j'ai bien la correspondance sur le pfSense.
D'où mon interrogation

[dsebire]

t'as pas une option dans le PF justement pour convertir le DNS en IP ?
la norme dit que c'est une comparaison de texte mais rien ne dit que t'as pas le droit de "bricoler" la chaine avant

[dsebire]

suis en train d'essayer de faire marcher une clef 3g sur un zyxel 110; bah c'est pas gagné.

clef détectée, mais le routeur indique carte SIM manquante ou HS.

évidement, la clef fonctionne parfaitement sur un PC :/

[augur1]

Toutes ne sont pas compatibles.
Y a une compatibility list sur leur support...

[dsebire]

normalement, celle la est sensée fonctionner (Alcatel X220L identique a une huawei 173)

[augur1]

Wep mais si modele ok mais firmware pas compatible avec le zyxel = ko

Le zyxel est à jour ?

[dsebire]

firmware de la clef, aucune idée.
firmware du zyxel oui, dernier en date.

[biour]

crossflash du firmware de la clé possible?

[dsebire]

Je sais pas.
J'attend une réponse du support si un firmware peut causer le message que j'ai

Sinon, vais prendre une clef qui est dans la liste.

[dsebire]

bon, comme d'hab, le support ne sait rien dire a part filer un lien vers la liste des clef officiellement supportées.

du coup j'en ai eu mare, j'ai pris une de celles de la liste, la seule unique sans firmware pour assurer une compatibilité max.

bah ça marche du feu de dieu !

par contre, je l'ai configurée en failback de mes 2 VDSL, mais la connexion reste ouverte en permanence (mais 0 data qui passe)

je sais pas si l'operateur va apprécier....

[Zedoune]

je vais tenter une expérience au travail et remplacer un zyxel dual wan par du pfsense dans un premier temps au bureau (c'est pas trop critique). Après, dans le datacenter, je vais peut être mettre 2 pfsense en HA pour remplacer mes USG-210. J'en peux plus de ces merdes

[yahaha]

et tu as regardé du coté de sophos?

[kalistyan]

J'en peux plus de ces merdes

Qui des problèmes rencontrés ? :/

[Zedoune]

et tu as regardé du coté de sophos?

ça coûte dans les 700 € ?

Qui des problèmes rencontrés ? :/

routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.

[dsebire]

Jamais eu de soucis avec les tunnels ipsec.
Je dois en trouver un qui a une centaine de jours d'uptime...

J'étais emmerdé chez un client avant de m'appercevoir que c'était une des box qui avait un souci (erreurs crc sur la ligne)

[yahaha]

ça coûte dans les 700 € ?

Qui des problèmes rencontrés ? :/

routeur qui s'arrête de répondre dans un sens (plus de sortie mais le trafic entrant fonctionne). La HA qui est toute moisie pour du cluster actif/passif.
Des VPN IPSEC pas stable du tout.

pas la version home qui gère -->50ip