Aller au contenu

🔐 FAQ-005 — Plus d’accès VPN/IPSec (Vigor 3900)

Résumé

Perte du tunnel IPSec sur Draytek Vigor 3900.
Objectif : rétablir la connectivité site-à-site ou road-warrior en vérifiant profil, SA, propositions, PSK, ports 500/4500, NAT-T et horodatage.

🧪 Symptômes typiques

  • Accès inter-sites KO, ping inter-LAN en échec.
  • Journal Vigor : No proposal chosen, Peer not responding, MISMATCH ID/PSK, IKE phase1 failed, DPD timeout.
  • Le tunnel apparaît Down ou Idle dans le statut VPN.

✅ Vérifications rapides (poste local)

  • Tester la sortie Internet du site : bat ping 8.8.8.8

  • Tester la passerelle distante publique : bat ping <IP_publique_pair>

    Si le ping public est filtré par le pair, continuer.

  • Traceroute vers la passerelle publique distante : bat tracert <IP_publique_pair>

  • Vérifier que UDP 500/4500 ne sont pas bloqués en sortie par un pare-feu amont.

🧭 Contrôles côté Vigor 3900

  1. Ouvrir l’admin Vigor → Login admin (cf. KeePass).
  2. Aller dans VPN status / SA Monitor
  3. Le profil IPSec ciblé est-il Up ?

  4. Si Down → bouton Connect / Dial si présent.

  5. Aller dans VPN / IPsec (liste des profils)

  6. Le profil est Enable ?
  7. L’IP/hostname peer est correcte ?
  8. Pre-Shared Key conforme (copier/coller depuis KeePass).

  9. Local/Remote ID (FQDN/IP) cohérents avec le pair.

  10. Propositions IKE (Phase 1)

  11. Version : IKEv1 (ou IKEv2 selon le contrat).
  12. Chiffrement/Intégrité : ex. AES-256 / SHA-1 (ou SHA-256).
  13. DH Group : ex. 14 (2048 bits).

  14. Lifetime : ex. 28800s.

  15. Propositions IPSec (Phase 2)

  16. Mode : Tunnel.
  17. Chiffrement/Intégrité : ex. AES-256 / SHA-1.
  18. PFS : ON, Group ex. 14.
  19. Lifetime : ex. 3600s.

  20. Local subnet / Remote subnet exacts (CIDR corrects, pas d’overlap).

  21. NAT-Traversal & DPD

  22. NAT-T : Enable si l’un des côtés est derrière NAT.

  23. DPD : Enable avec intervalle raisonnable (ex. 30s).

  24. Horloge / NTP

  25. Menu System Time : date/heure correctes ? NTP actif ?

  26. Un écart d’horloge casse souvent IKE (certificats/expirations).

  27. Journal

  28. VPN Log : relever l’erreur exacte avant action.

♻️ Remise en route du tunnel

  1. Clear SA du profil visé (SA Monitor → Disconnect/Clear).
  2. Disable le profil 5 secondes → Enable.
  3. Cliquer Connect/Dial.
  4. Observer Phase 1 puis Phase 2 dans le journal.
Astuce

Si No proposal chosen : aligner exactement Phase 1/2 avec le pair.
Si MISMATCH ID/PSK : regénérer/recoller la PSK des deux côtés.
Si Peer not responding / DPD timeout : vérifier IP publique distante, filtre opérateur, ou coupure au pair.

🔁 Vérifs côté pair (à coordonner)

  • Profil Enable et actif.
  • PSK identique.
  • Propositions identiques (ordre parfois sensible).
  • Sous-réseaux correctement déclarés et routés.
  • Aucune règle de pare-feu ne bloque UDP 500/4500 ou ESP (50).
  • En cas de double NAT au pair → NAT-T obligatoire.

🧯 Contournements temporaires

  • Baisser temporairement l’exigence crypto (ex. AES-128/SHA-1, PFS OFF) pour diagnostiquer, puis revenir au niveau requis.
  • Passer en IKEv2 si les deux bords le supportent et que la politique le permet.

📎 Annexes & captures (placeholders)

Vigor3900 – SA Monitor Vigor3900 – Profil IPSec Vigor3900 – System Time / NTP

✅ Checklist de sortie

  • Tunnel Up et trafic inter-LAN OK.
  • Logs propres sans renegociation en boucle.
  • Horloge synchronisée NTP.
  • Sauvegarde de la config après correction.