Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fin de maintenance pour Fedora 32

#1 30/11/2020 14:09:01

grocanar
Membre
Inscription : 22/05/2005
Messages : 301

apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Bonjour

Apres un upgrade de fedora32 vers fedora33 ma config openfortivpn ne fonctionne plus.

plus precisement

j'arrive a lancer le vpn a m'authentifier

openfortivpn -c /etc/openfortivpn/config
INFO:   Connected to gateway.
Two-factor authentication token: 
INFO:   Authenticated.
INFO:   Remote gateway has allocated a VPN.
Using interface ppp0
Connect: ppp0 <--> /dev/pts/1
INFO:   Got addresses: [172.31.208.27], ns [193.50.0.34, 193.50.0.35]
INFO:   Negotiation complete.
INFO:   Negotiation complete.
local  IP address 172.31.208.27
remote IP address 192.0.2.1
primary   DNS address 193.50.0.34
secondary DNS address 193.50.0.35
INFO:   Interface ppp0 is UP.
INFO:   Setting new routes...
INFO:   Adding VPN nameservers...
INFO:   Tunnel is up and running.

j'obtiens bien les routes

netstat -nr 
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic   MSS Fenêtre irtt Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG        0 0          0 enp4s0f1
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 ppp0
132.167.194.6   0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
172.16.0.0      0.0.0.0         255.240.0.0     U         0 0          0 ppp0
172.17.0.0      0.0.0.0         255.255.0.0     U         0 0          0 docker0
192.0.2.1       0.0.0.0         255.255.255.255 UH        0 0          0 ppp0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 enp4s0f1
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0 ppp0
192.168.124.0   0.0.0.0         255.255.255.0   U         0 0          0 virbr0
193.50.0.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.1.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.2.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
193.50.2.252    192.168.0.254   255.255.255.255 UGH       0 0          0 enp4s0f1
193.50.3.0      0.0.0.0         255.255.255.0   U         0 0          0 ppp0
194.57.241.80   0.0.0.0         255.255.255.248 U         0 0          0 ppp0
195.83.221.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.222.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.223.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0
195.83.224.0    0.0.0.0         255.255.255.0   U         0 0          0 ppp0

mais je ping par exemple vers mon serveur DNS ne fonctionne pas.

par contre quand je rtegarde le traffic du tunnel je vois bien que le ping pars de ma machine et me revient dans le tunnel

tcpdump -i enp4s0f1 host vpn.ibfj-evry.fr
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp4s0f1, link-type EN10MB (Ethernet), capture size 262144 bytes
13:03:00.982949 IP grocanar.59988 > vpn.ibfj-evry.fr.https: Flags [P.], seq 2982187072:2982187186, ack 874604832, win 501, options [nop,nop,TS val 74605440 ecr 328273879], length 114
13:03:00.990929 IP vpn.ibfj-evry.fr.https > grocanar.59988: Flags [.], ack 114, win 31, options [nop,nop,TS val 328273968 ecr 74605440], length 0
13:03:01.111088 IP grocanar.59988 > vpn.ibfj-evry.fr.https: Flags [P.], seq 114:228, ack 1, win 501, options [nop,nop,TS val 74605568 ecr 328273968], length 114
13:03:01.119149 IP vpn.ibfj-evry.fr.https > grocanar.59988: Flags [.], ack 228, win 31, options [nop,nop,TS val 328273981 ecr 74605568], length 0

mais a l extremite du tunnel je ne vois rien revenir

 tcpdump -i ppp0
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
13:05:04.886846 IP grocanar > ns2.cng.fr: ICMP echo request, id 1, seq 792, length 64
13:05:05.014731 IP grocanar > ns2.cng.fr: ICMP echo request, id 3, seq 192, length 64

C'est comme si il y avait un souci de decapsulation du traffic au moment du retour.

Est ce que quelqu'un a deja vu par le passe ce genre de problemes?

Hors ligne

#2 30/11/2020 18:42:46

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 544
Site Web

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Je n'ai pas regardé en détail, mais est-ce que ça ne serait pas lié au niveau de sécurité qui a été augmenté côté Fedora.

De façon globale tu peux abaisser le niveau avec la commande

# update-crypto-policies --set LEGACY

Pour revenir à celui par défaut

# update-crypto-policies --set DEFAULT

F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#3 01/12/2020 12:08:27

grocanar
Membre
Inscription : 22/05/2005
Messages : 301

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Bonjour

merci
helas cela n a pas resolu mon probleme.
Cete manipulation gere les probemes de connection
or j'arrive bien a me connecter sans souci
les routes sont bonnes
le traffic passe
c'est juste au retour que le traffic n est pas decapsulé.

Hors ligne

#4 03/12/2020 18:55:50

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 544
Site Web

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Tu peux augmenter le degré de verbosité pour voir s'il n'y pas quelque chose de plus qui apparait ?


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#5 04/12/2020 09:47:01

grocanar
Membre
Inscription : 22/05/2005
Messages : 301

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Bon j'ai fait une mise a jour ce matin
et maintenant cela fonctionne.
la seule chose que je vois de pertinant c'est une mise a jour du kernel.

bon je vais pouvoir revenir a ma fedora pour me connecter a distance

Hors ligne

#6 04/12/2020 10:23:34

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 544
Site Web

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Il y avait quoi d'autre dans la mise à jour ?

Au pire redémarre sur le kernel précédent pour confirmer ton hypothèse.


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#7 07/12/2020 11:53:08

grocanar
Membre
Inscription : 22/05/2005
Messages : 301

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

j'ai crie victoire trop vite
cela ne fonctionne plus de nouveau ce matin

je viens de ressayer tous les kernel et cela me fait la meme chose.

Dernière modification par grocanar (07/12/2020 13:49:03)

Hors ligne

#8 07/12/2020 20:12:48

grocanar
Membre
Inscription : 22/05/2005
Messages : 301

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Bon au final il n t avait pas de problemes

simplement un ptit plaisantin avait enlever la possibilite de faire du ping dans la politique du firewall.

au final le reste du raffic fonctionne bien

Hors ligne

#9 07/12/2020 21:14:30

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 544
Site Web

Re : apres upgrade vers la fedora33 openfortivpn ne fonctionne plus

Ça sent le gros PEBKAC au final hammer

Par contre comment expliques-tu le fait que ce soit tombé en marche à un moment du coup ?


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

Pied de page des forums