freebox vpn ikev2

Depuis l'arrêt du support du protocole PPTP dans iOS, jugé pas assez sécurisé, il est désormais possible de monter un tunnel VPN avec le protocole IKEV2 entre votre terminal iOS / Android et votre Freebox. Non sans difficulté malheureusement, due à un manque de documentation de la part de Free sur les fonctions avancées de la Freebox V6...

Pour activer un VPN IKEV2, rendez-vous sur le portail d'administration de votre freebox depuis votre réseau local : http://mafreebox.freebox.fr

Définissez un compte utilisateur VPN et activez le service IKEV2 depuis la page "Serveur VPN " :

freebox activation vpn

Une fois le service activé, une popup devrait vous indiquer que ce service n'est pas disponible malgré le fait que vous ayez activé le service VPN IKEV2 : "Ce service n'est pas disponible sur votre connexion".

Quand vous vous rendez sur la page de gestion des ports de votre Freebox, les ports sont de couleur rouge ?

Ceci est probablement lié au fait que vous n'avez pas fait de demande d'une IP fixe auprès de Free, cette demande peut se faire en 30 minutes depuis le portail Free, onglet "Ma Freebox" :

freebox ip fixe fullstack

Attendez 30 minutes après l'activation de cette fonction et redémarrez votre Freebox, une nouvelle adresse IP devrait vous être assignée par Free. Cette action vous permettra de déverrouiller les ports qui s'affichaient en rouge depuis l'outil de gestion des ports de votre Freebox :

freebox ouverture ports ikev2

Ensuite, il vous faut un certificat SSL et un nom de domaine pour que le service IKEV2 soit complètement opérationnel. C'est ce que j'ai pu constater faisant mes tests sur un domaine personnel sans SSL, celui-ci n'était pas compatible avec le service IKEV2. Ce problème est d'ailleurs confirmé par d'autres utilisateurs sur le portail d'anomalie Free : https://dev.freebox.fr/bugs/task/20...

Rendez-vous sur la page de gestion des domaines et demandez un domaine en freeboxos.fr, un certificat SSL Letsencrypt vous sera délivré dans les quelques minutes qui suivent votre demande.

freebox domaine ssl

Dès lors que le domaine est actif, redémarrez votre Freebox et rendez-vous sur la page de configuration du service IKEV2 pour vérifier que le domaine utilisé est bien le domaine en *.freeboxos.fr.

Il ne vous reste qu'à configurer le VPN depuis votre terminal, pour cela il vous suffit de recopier les valeurs affichées dans le panneau de configuration du VPN IKEV2 dans le paramétrage VPN de votre terminal mobile :

  • Sur iOS : directement dans les paramètres VPN du menu "général" du paramétrage de votre terminal.
  • Sur Android: via l'application StrongSwan disponible depuis le Play Store.

Testez ensuite le service depuis une connexion 3G/4G, la communication devrait être normalement opérationnelle...

En espérant que cet article puisse sauver les Freenautes qui sont tombés sur les tickets en cours autour de l'IKEV2. N'hésitez pas à me laisser un commentaire si cet article a permis de configurer votre VPN correctement !

1. Le , 12:14 par douardo
d8cf9f23e22eb2892bb5e2857b36c71e

Un grand MERCI pour cet article! Il a solutionné mon problème concernant l'utilisation du serveur VPN Freebox sur iOS. Et c'est notamment la création du certificat qui a résolu mon problème. Encore merci :)

2. Le , 15:49 par Eric
9929a143591cf5907e108a55d05f6a4b

Yes ça marche sur iPad/iPhone et sur Android 7.0 via StrongSwan avec le profil IKEv2 EAP (username/password) avec user et mot de passe défini sur la freebox.
Utilisation du VPN :
Sur Android via les paramètres "sans fil et réseaux" -> ... plus et Entrée VPN (lancement de strongSwan puis cliquer sur votre profil) une fois connecté présence de la clé dans la barre du haut.
Sur iPad/iPhone dans réglage et en haut à gauche le bouton VPN. Une fois connecté présence du logo vpn en haut à gauche (iOS 10.3.3)

Merci :)

3. Le , 15:55 par Eric
9929a143591cf5907e108a55d05f6a4b

Petit complément un redémarrage de la freebox a été nécessaire sinon j'avais une erreur de mot de passe refusé ! Alors que user et mot de passe existaient depuis un moment et étaient utilisés en pptp (pptp maintenant désactivé)

4. Le , 23:53 par Ludovic
9ab09dd3e305f924f8930e20e1a35843

@Eric : Merci pour l'astuce du reboot ! J'ai redémarré ma box pour la prise en compte du nom de l'IP fixe.

5. Le , 19:09 par Alouest
fddb46186ceb462db5396b13af478534

Nickel, ça marche chez moi, ça me permet de sécuriser un peu l'accès à ma centrale domotique qui était un peu à poil sur Internet !!
Par contre je n'ai pas eu besoin de passer par l'étape "adresse IP fixe full stack", ça devait déjà être actif chez moi (j'ai pas souvenir de l'avoir déjà fait en tout cas). C'est peut être automatique quand tu demandes un nom de domaine perso (ce que j'ai fait il y'a quelque temps déjà).
Merci pour ce tuto simple et rapide !!

6. Le , 23:20 par FRed
fd6d5134cb7f3fc7dd337a0ba4ce30bf

Merci,
Pour le coup de l'ip fixe difficile de le savoir!

7. Le , 21:24 par Pierre
54432c88f8e4c22d033ffbca016eb041

Bonjour !
Merci pour ce tuto qui m'a permis de me connecter à ma Freebox via IKE sur mon Iphone!
Effectivement le certificat doit jouer un rôle indispensable pour que cela fonctionne.
Bonne continuation !
Pierre

8. Le , 23:13 par Luc
2cbd4a34484a3b876a18b470ec18dd7a

Ca marche super !! Un grand merci pour ce tuto qui m’ a permis de connecter IPad et IPhone avec ma Freebox :)
Bonne continuation,
Luc

9. Le , 12:17 par Alain
0df2b2507c8a750db24d3a6a5aac0b41

Merci pour ce tuto clair, cela fonctionne ! Une précision : lors de la configuration des utilisateurs, j'ai du attribuer une "IP fixe", le réglage par défaut "Ip dynamique" ne permettait pas au VPN de s'établir.

10. Le , 14:36 par denis
cef4ee273851f4c86aaebd6ed8e23e50

Ca ne marche pas je n'arrive pas a ouvrir le VPN
Comment faut il configure mon Iphone ou mon Ipad ?

11. Le , 23:12 par francois
e4a0bad4f439d6675947f0753975708b

bonjour,

Je viens de passer quelques soirées sur l'établissement du pont vpn entre mon android et la freebox revolution (dégroupée, fibre), et... et bien non.

Je n'arrive toujous pas à établir de connexion. Strongswan me répond "server not reacheable".

J'ai l'impression d'avoir suivi les instructions. J'ai même essayé en prenant un utilisateur avec une IP fixe (qui m'a permis d'avoir une connexion, la seule fois, mais la connexion ne me donnait qu'accès à mon réseau local...).

Je vous joins un extrait du log. Si quelqu'un a une piste, je suis preneur.

13:24:47 09[CFG] requesting ocsp status from 'http://isrg.trustid.ocsp.identrust.... ...
13:24:59 09[CFG] ocsp response correctly signed by "C=US, O=Digital Signature Trust, OU=DST, CN=DST CA X3 OCSP Signer, E=pki-ops@IdenTrust.com"
13:24:59 09[CFG] ocsp response is valid: until Jan 31 23:23:03 2018
13:24:59 09[CFG] certificate status is good
13:24:59 09[CFG] reached self-signed root ca with a path length of 1
13:24:59 09[IKE] authentication of 'monnomzzz.freeboxos.fr' with RSA_EMSA_PKCS1_SHA2_256 successful
13:24:59 09[IKE] server requested EAP_IDENTITY (id 0x00), sending 'fkUUUUUU'
13:24:59 09[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]
13:24:59 09[NET] sending packet: from 10.217.VVV.XXX[35372] to 82.251.1XX.YYY[4500] (92 bytes)
13:25:01 03[IKE] retransmit 1 of request with message ID 2
13:25:01 03[NET] sending packet: from 10.217.VVV.XXX[35372] to 82.251.1XX.YYY[4500] (92 bytes)
13:25:04 16[IKE] retransmit 2 of request with message ID 2
13:25:04 16[NET] sending packet: from 10.217.VVV.XXX[35372] to 82.251.1XX.YYY[4500] (92 bytes)
13:25:07 04[IKE] retransmit 3 of request with message ID 2
13:25:07 04[NET] sending packet: from 10.217.VVV.XXX[35372] to 82.251.1XX.YYY[4500] (92 bytes)
13:25:13 06[IKE] giving up after 3 retransmits
13:25:13 06[IKE] peer not responding, trying again (2/0)
13:25:13 07[IKE] unable to terminate IKE_SA: ID 1 not found
13:25:13 06[IKE] initiating IKE_SA android[1] to 82.251.1XX.YYY
13:25:13 06[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
13:25:13 06[NET] sending packet: from 10.217.VVV.XXX[55143] to 82.251.1XX.YYY[500] (704 bytes)
13:25:15 09[IKE] retransmit 1 of request with message ID 0
13:25:15 09[NET] sending packet: from 10.217.VVV.XXX[55143] to 82.251.1XX.YYY[500] (704 bytes)
13:25:15 00[IKE] destroying IKE_SA in state CONNECTING without notification

12. Le , 16:16 par Juliette
d9e4f4b4e40f89cbf4e71307dd04226f

Très intéressant !!

13. Le , 16:37 par Charlie
3e3f2b1aa9dd7c1d4f287eb1ad3508e3

Merci pour cet article bien détaillé.

Pour ceux qui recherchent un VPN qui fonctionnera à la fois sur Android, iOS et Freebox, je vous inviter à consulter ce site http://comparatif-vpn.fr/ qui présente et compare de nombreux fournisseurs de qualité.

14. Le , 10:26 par Philippe
56626a933497c0693c085232d38c8dea

Même problème que François (log similaire)...

Le serveur ne répond pas.
Les ports sont bien ouverts d'après Freebox OS.

15. Le , 13:40 par Alexis
4261ea7d40e14317416631b2f18ddd17

Merci pour cet article, après plusieurs essais infructueux pour configurer un VPN (d'abord en mode OpenVPN rooted ou bridged), j'ai enfin un VPN opérationnel IPSEC/IKev2 pour connecter mon iPhone à ma Freebox afin de consulter mes cameras IP sans risque de les exposer sur internet..

Sans votre article je n'aurais pas réussi, la documentation free est trop pauvre, le lien avec le nom de domaine et le certificat n'était pas évident..

Alexis

16. Le , 12:04 par Stéphane
f6414da20473fe6c9702bf66ab3841c6

Merci ! Enfin un tuto qui fonctionne !
J'avais tenté avec Open VPN Connect et téléchargé le profil généré avec ma Freebox V6 (Open VPN routé)..., ça eu fonctionné, mais ça ne fonctionne plus aujourd'hui.
C'est parfait, je peux même regarder la TV en mobilité, même à l'étranger, via l'application Freebox Compagnon, Télévision.
Seul petit hic, certaines chaines sont grisées (TF1, Canal, M6,...) mais bon, pas trop grave --> une solution ?

Bref, BRAVO !
Petite question subsidiaire : je tente désespérément de connecter l'excellente application ES Explorateur en FTP sur ma Freebox V6 : ça fonctionne lorsque je suis en WIFI (normal...), mais lorsque je suis en mobilité (depuis l'extérieur donc) impossible : j'accède à mon IP fixe, mais le répertoire est vide !?
Une idée ? Un autre (très bon) tuto ?
Merci d'avance,
Stéphane

17. Le , 20:50 par Andre
068db64735cc11aff43c839ff1faea2c

merci pour cet article ça fonctionne !

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.