Bonjour

Apres un upgrade de fedora32 vers fedora33 ma config openfortivpn ne fonctionne plus.

plus precisement

j'arrive a lancer le vpn a m'authentifier
openfortivpn -c /etc/openfortivpn/config
INFO:   Connected to gateway.
Two-factor authentication token: 
INFO:   Authenticated.
INFO:   Remote gateway has allocated a VPN.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/1
INFO:   Got addresses: [172.31.208.27], ns [193.50.0.34, 193.50.0.35]
INFO:   Negotiation complete.
INFO:   Negotiation complete.
local  IP address 172.31.208.27
remote IP address 192.0.2.1
primary   DNS address 193.50.0.34
secondary DNS address 193.50.0.35
INFO:   Interface ppp0 is UP.
INFO:   Setting new routes...
INFO:   Adding VPN nameservers...
INFO:   Tunnel is up and running.
j'obtiens bien les routes
netstat -nr 
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG        0 0          0 enp4s0f1
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 ppp0
132.167.194.6   0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
172.16.0.0      0.0.0.0         255.240.0.0     U         0 0          0 ppp0
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0
192.0.2.1       0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 enp4s0f1
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0 ppp0
192.168.124.0   0.0.0.0         255.255.255.0   U         0 0          0 virbr0
193.50.0.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.1.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.2.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.2.252    192.168.0.254   255.255.255.255 UGH       0 0          0 enp4s0f1
193.50.3.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
194.57.241.80   0.0.0.0         255.255.255.248 U         0 0          0 ppp0
195.83.221.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.222.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.223.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.224.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0

mais je ping par exemple vers mon serveur DNS ne fonctionne pas.

par contre quand je rtegarde le traffic du tunnel je vois bien que le ping pars de ma machine et me revient dans le tunnel
tcpdump -i enp4s0f1 host vpn.ibfj-evry.fr
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp4s0f1, link-type EN10MB (Ethernet), capture size 262144 bytes
13:03:00.982949 IP grocanar.59988 > vpn.ibfj-evry.fr.https: Flags [P.], seq 2982187072:2982187186, ack 874604832, win 501, options [nop,nop,TS val 74605440 ecr 328273879], length 114
13:03:00.990929 IP vpn.ibfj-evry.fr.https > grocanar.59988: Flags [.], ack 114, win 31, options [nop,nop,TS val 328273968 ecr 74605440], length 0
13:03:01.111088 IP grocanar.59988 > vpn.ibfj-evry.fr.https: Flags [P.], seq 114:228, ack 1, win 501, options [nop,nop,TS val 74605568 ecr 328273968], length 114
13:03:01.119149 IP vpn.ibfj-evry.fr.https > grocanar.59988: Flags [.], ack 228, win 31, options [nop,nop,TS val 328273981 ecr 74605568], length 0

mais a l extremite du tunnel je ne vois rien revenir
 tcpdump -i ppp0
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
13:05:04.886846 IP grocanar > ns2.cng.fr: ICMP echo request, id 1, seq 792, length 64
13:05:05.014731 IP grocanar > ns2.cng.fr: ICMP echo request, id 3, seq 192, length 64
C'est comme si il y avait un souci de decapsulation du traffic au moment du retour.

Est ce que quelqu'un a deja vu par le passe ce genre de problemes?
Je n'ai pas regardé en détail, mais est-ce que ça ne serait pas lié au niveau de sécurité qui a été augmenté côté Fedora.

De façon globale tu peux abaisser le niveau avec la commande
# update-crypto-policies --set LEGACY
Pour revenir à celui par défaut
# update-crypto-policies --set DEFAULT
Bonjour

merci
helas cela n a pas resolu mon probleme.
Cete manipulation gere les probemes de connection
or j'arrive bien a me connecter sans souci
les routes sont bonnes
le traffic passe
c'est juste au retour que le traffic n est pas decapsulé.
Tu peux augmenter le degré de verbosité pour voir s'il n'y pas quelque chose de plus qui apparait ?
Bon j'ai fait une mise a jour ce matin
et maintenant cela fonctionne.
la seule chose que je vois de pertinant c'est une mise a jour du kernel.

bon je vais pouvoir revenir a ma fedora pour me connecter a distance
Il y avait quoi d'autre dans la mise à jour ?

Au pire redémarre sur le kernel précédent pour confirmer ton hypothèse.
j'ai crie victoire trop vite
cela ne fonctionne plus de nouveau ce matin

je viens de ressayer tous les kernel et cela me fait la meme chose.
Bon au final il n t avait pas de problemes

simplement un ptit plaisantin avait enlever la possibilite de faire du ping dans la politique du firewall.

au final le reste du raffic fonctionne bien
Ça sent le gros PEBKAC au final :hammer:

Par contre comment expliques-tu le fait que ce soit tombé en marche à un moment du coup ?