Auteur Sujet: Remplacer Freebox Révolution par un FortiGate (Lu 4930 fois)

sebigeli · « **le:** 27 janvier 2023 à 11:19:23 »

Bonjour,

Je suis en ZMD, j'ai donc un ONU et une Freebox Révolution. J'ai un IPv4 full stack. Je ne me sers pas de la fonction téléphone, ni même TV et ni même du WIFI délivré par la box. Pour la TV en cas de besoin, il y a l'appli TV/Android Oqee. Cette Freebox Révolution consomme environ 20W ce n'est pas rien et elle ne me sert que pour le transit internet, j'aimerais la supprimer, ça me ferait gagner quelques watt et aussi de la place dans ma baie réseau.

J'aimerais que mon FortiGate 40F porte mes IP publiques pour pouvoir me passer de la Freebox. J'ai vu plusieurs tutoriels et je ne sais pas s'ils sont toujours fonctionnels, je pense que certains on déjà pu faire cette mise en place et je suis preneur de quelques informations.

A savoir que je n'ai pas de convertisseur SFP/RJ45 mais j'ai un switch manageable avec des ports SFP/SFP+ et lorsque je branche le câble de l'ONU vers mon port SFP ça fonctionne bien, le port s'allume. Mon switch est bien évidemment raccordé à mon FortiGate. C'est le FortiGate qui s'occupe du routage de tous mes réseaux à la maison.

J'ai quelques interrogations, le vlan 836 je dois bien le tagguer sur le port du switch arrivant à l'ONU et il sera ensuite prolongé jusqu'à mon FortiGate normalement ?

La modification de l'adresse MAC doit se faire sur le port physique qui portera l'IP publique donc mon FortiGate ?

Je suis preneur de quelques exemples de configuration si certains ont pu déjà remplacer leur Freebox par un FortiGate.

Merci

buddy · « **Réponse #1 le:** 27 janvier 2023 à 13:55:51 »

Bonjour,

Ce n'est pas simple de remplacer une Freebox, il y a plein de configurations à faire et il faut voir si le fortigate gère le partage le ipip6. As tu fais tout cet aspect de la configuration ?

Sinon puisque tu n'utilises quasi aucune fonction de la révolution, pourquoi ne pas partir sur une box Free qui consomme moins? La pop par exemple ? ou la mini 4K si tu arrives encore à l'avoir.

sebigeli · « **Réponse #2 le:** 27 janvier 2023 à 14:07:04 »

Oui je suis bien au courant, j'ai vu ça, pour moi il gère les tunnels ipip6, ça s'appelle un tunnel 4in6.

https://docs.fortinet.com/document/fortigate/7.2.3/administration-guide/74432/ipv6-tunneling

La box mini 4k n'est plus disponible et la Freebox Pop était plus cher, c'est pour cela que j'avais pris la Révolution. C'est la 1er fois que je passe chez Free, je n'avais jamais eu de Freebox entre les mains jusqu'à maintenant.

Pour l'instant, j'ai seulement fait des tests, je n'ai plus rien de mis en place.

sebigeli · « **Réponse #3 le:** 31 janvier 2023 à 19:20:30 »

Personne n'a d'idée où n'a réalisé ce genre de configuration ?
Merci

sebigeli · « **Réponse #4 le:** 14 septembre 2023 à 23:50:20 »

Quelqu'un peut m'aiguiller et me donner quelques informations pour réaliser l'opération ? Où un tuto qui serait encore applicable dans mon cas ?

Pour la configuration du FortiGate je devrais pouvoir me débrouiller.

J'ai brancher le câble DAC sur le port de mon switch, j'ai taggué ce port dans le vlan 836. Un autre port qui sert à relié le switch à un port de mon FortiGate a également été taggué en 836. J'ai changé l'adresse mac sur l'interface physique en question par celle de la Freebox. J'ai créé un vlan 836 également dessus et j'ai activé le dhcpv6 et j'ai obtenu une adresse IPv6, le ping vers une IP et un nom fonctionne correctement, j'ai également forcé le mtu à 1700. Je dois maintenant faire un tunnel 4in6, le problème c'est pour trouver l'adresse ipv6 local et celle qui servira de relay, je suis un peu perdu, quelqu'un peut m'aider ?

Edit :
Je pense avoir trouvé l'adresse local et celle de relay avec une capture de packet, pour celle de relay j'avais une adresse qui ressemble à XXXX:XXXX:XXXX:XXXX:0:ffff:ffff:0:, j'ai du retiré les deux points de la fin pour que le FortiGate accepte la configuration, est-ce correcte ? Ensuite sur l'interface VPN je dois configurer mon adresse IPv4 j'imagine ?

Je ne sais pas si l'adresse IPv6 fourni par dhcpv6 est correcte, elle est en /128, est-ce normal ? c'est censé être du /60 ou /64, je vais peut-être passer en statique pour être sur.

Si j'y parviens je ferais un tuto avec la configuration complète sur le FGT etc...

Merci !

JDoe · « **Réponse #5 le:** 05 octobre 2023 à 22:03:52 »

J'utilise un Fortigate 1500D sur une fibre free derrière une freebox delta en mode bridge.
Ma config fonctionne parfaitement pour la TV et internet, je frole les 7Gb/s https://lafibre.info/1gb-free/vos-debits-freebox-delta-10gb/msg1014195/#msg1014195.
Je peux partager ma conf, maintenant il est possible que la conf avec la freebox revolution soit très différente.

sebigeli · « **Réponse #6 le:** 05 octobre 2023 à 22:21:39 »

Ah oui quand même, un 1500D c'est énorme ahah, ça doit faire du bruit et consommer, j'en avais un en production au taff il y a quelques années. Là j'ai du remplacer notre 2200E par un 1800F le week-end dernier.

J'ai réussi à faire fonctionner la partie IPv6 mais mon tunnel 4in6 ne monte pas, je veux bien ton aide si possible, le principe doit être le même je pense.

Tu as un discord ou autre ? Je veux bien la configuration du FortiGate, je penses avoir réussi à récupéré les bonnes informations.

Je ferais un tuto quand j'aurais un peu de temps si j'arrive à mes fins.

beaumois · « **Réponse #7 le:** 05 octobre 2023 à 22:58:09 »

Bonjour tout le monde !!
Moi aussi je suis intéressé par une conf de fortigate derrière une Freebox delta en bridge

J ai installé un cluster de 100F le WE dernier et j'ai donc 2 forti 140E sur les bras

Merci

A++

Fuli10 · « **Réponse #8 le:** 06 octobre 2023 à 10:27:30 »

Hello,
Je n'ai pas de fortigate mais un openwrt. Je peux te donner ce que j'ai compris du tunnel ipip à monter.
D'abord, il faut que ton routeur utilise l'adresse IPv6 tonprefix:0:ffff:ffff:0 comme IPv6 source du tunnel.
Le peer du tunnel étant je pense toujours la même ipv6 2a01:e00:29:200a::fffd (potentiellement le :29:200a: peut changer suivant la région, je ne sais pas).
Enfin la route IPv4 par défaut doit être via le device ipip.
Après je t'avoue que j'ai pas créé le tunnel ipip avec openwrt, mais laissé le module map s'en charger (avec quelques modification car sinon il ne monte que le quart d'IPv4).

JDoe · « **Réponse #9 le:** 06 octobre 2023 à 12:12:08 »

Citation de: sebigeli le 05 octobre 2023 à 22:21:39

Ah oui quand même, un 1500D c'est énorme ahah, ça doit faire du bruit et consommer, j'en avais un en production au taff il y a quelques années. Là j'ai du remplacer notre 2200E par un 1800F le week-end dernier.

J'ai réussi à faire fonctionner la partie IPv6 mais mon tunnel 4in6 ne monte pas, je veux bien ton aide si possible, le principe doit être le même je pense.

Tu as un discord ou autre ? Je veux bien la configuration du FortiGate, je penses avoir réussi à récupéré les bonnes informations.

Je ferais un tuto quand j'aurais un peu de temps si j'arrive à mes fins.

Avant j'avais un 300D limité à 1Gb/s que j'ai changé par un 1500D pour exploiter les 10Gb/s.
Oui ça fait du bruit et ça consomme de l'électricité .... mais je dispose d'une installation photovoltaique qui couvre toute ma conso électrique et j'ai déporté ma baie dans l'abris de jardin, toute mon infra est en 10Gb/s, fibre partout dans la maison et jusque l'abris de jardin, un peu de wifi AC.

ATTENTION: je viens de relire ton besoin sebigeli: enlever la freebox. Dans la conf ci-dessous je conserve la freebox que je mets en mode bridge et je récupère les IP publiques sur le forti, donc ça ne répond pas à ton besoin.

Voilà la conf que j'ai avec une Freebox delta en mode bridge, connexion PON, fibre multimode OM3 entre la freebox et le forti (ou cable DAC ou n'importe qui va bien)

Interface WAN connectée à la freebox, configurée en DHCP:
edit "port33" # editer le port connecté à la freebox set vdom "Rockbe_1" # mettre le vdom qui va bien set mode dhcp set distance 10 set allowaccess ping # pas obligatoire set type physical set alias "ISP1_FBX10G" # mettre le libellé qui va bien set device-identification enable # pas obligatoire set lldp-reception enable # pas obligatoire set estimated-upstream-bandwidth 80000000 # pas obligatoire, à ajuster en fonction de la qualité de la fibre set estimated-downstream-bandwidth 5600000 # pas obligatoire, à ajuster en fonction de la qualité de la fibre set monitor-bandwidth enable # pas obligatoire set role wan set snmp-index 35 config ipv6 set ip6-address aaaa:aaa:aaa:aaaa::2/64 # ici je mets l'ipv6 suivante juste après celle de la freebox, donc la :2 set ip6-allowaccess ping set ip6-send-adv enable set ip6-other-flag enable config ip6-prefix-list edit aaaa:aaa:aaa:aaaa::/64 *** set autonomous-flag enable # commande à saisir, mais n'apparait pas dans la conf *** set onlink-flag enable # commande à saisir, mais n'apparait pas dans la conf next end end next

Rajouter la route ipv6:config router static6 edit 1 set gateway bbbb::bbbb:bbbb:bbbb:bbbb # mettre ici adresse ipv6 du lien local, à récupérer sur la freebox set device "port33" next end
Rajouter ensuite les règles de flux qui vont bien.

Avec ça j'obtiens de l'internet et de la TV. Je n'ai configuré que l'IP v4 et v6, rien au niveau vlan, et pas de tunnel ip.
Et j'utilise aussi le SDWAN avec un IPS2 qui est du Free 4G...

sebigeli · « **Réponse #10 le:** 11 octobre 2023 à 23:34:11 »

Citation de: Fuli10 le 06 octobre 2023 à 10:27:30

Hello,
Je n'ai pas de fortigate mais un openwrt. Je peux te donner ce que j'ai compris du tunnel ipip à monter.
D'abord, il faut que ton routeur utilise l'adresse IPv6 tonprefix:0:ffff:ffff:0 comme IPv6 source du tunnel.
Le peer du tunnel étant je pense toujours la même ipv6 2a01:e00:29:200a::fffd (potentiellement le :29:200a: peut changer suivant la région, je ne sais pas).
Enfin la route IPv4 par défaut doit être via le device ipip.
Après je t'avoue que j'ai pas créé le tunnel ipip avec openwrt, mais laissé le module map s'en charger (avec quelques modification car sinon il ne monte que le quart d'IPv4).

Salut,

Merci pour ton retour !

La partie IPv6 semble fonctionner, j'ai repris l'adresse IPv6 mentionner dans la Freebox, elle est sous forme XXXX:XXX:XXX:XXXX::1, j'ai repris le début de l'adresse et j'ai ajouté un /60 à la fin et ça répond au ping, je ne sais pas si c'est OK, sur le tuto pour linux il est mentionné que c'est bien une /60

Pour la partie IPv4, je monte un tunnel ipv6, je ne sais pas trop quoi mettre comme destination, j'ai mis l'ip que j'ai récupéré en faisant un tel sur un port aléatoire depuis un autre équipement sur l'adresse ipv4 et en faisant un tcpdump :

https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/88620/config-system-ipv6-tunnel

config system ipv6-tunnel
edit transit-wan
set source 2a01:e00:29:200a::fffd
set destination xxxx:xxx:xxx:xxxx:0:ffff:ffff:0:
set interface vlan836
next
end

La forme des adresses IP sont correcte ? J'ai également penser à mettre ma route ipv4 par défaut vers le tunnel ipv6, et je configure l'adresse ipv4 en direct sur l'interface créé par le tunnel, aucune idée si c'est le bon fonctionnement.

Merci !

ouaibix · « **Réponse #11 le:** 12 octobre 2023 à 08:35:41 »

Citation de: sebigeli le 11 octobre 2023 à 23:34:11

config system ipv6-tunnel
edit transit-wan
set source 2a01:e00:29:200a::fffd
set destination xxxx:xxx:xxx:xxxx:0:ffff:ffff:0:
set interface vlan836
next
end

La forme des adresses IP sont correcte ? J'ai également penser à mettre ma route ipv4 par défaut vers le tunnel ipv6, et je configure l'adresse ipv4 en direct sur l'interface créé par le tunnel, aucune idée si c'est le bon fonctionnement.

Salut,

Tu as inversé source et destination.
Voici ma conf complète et fonctionnelle, ipv6 + ipv4 via ipip6 tunnel, sur un FortiWifi 80F.
Pour le coup j'ai retiré le SFP de la box pour le planter direct dans le Forti

Interface physique:

Citer

fwf01 (wan1) # show
config system interface
edit "wan1"
set vdom "root"
set allowaccess ping
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-allowaccess ping
set autoconf enable
end
set macaddr f4:ca:xx:xx:xx:xx
set mtu-override enable
set mtu 1700
next
end

Interface ipv6

Citer

fwf01 (free-ipv6) # show
config system interface
edit "free-ipv6"
set vdom "root"
set allowaccess ping
set external enable
set device-identification enable
set role wan
set snmp-index 30
set preserve-session-route enable
set ip-managed-by-fortiipam disable
config ipv6
set ip6-mode dhcp
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
set ip6-dns-server-override disable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/64
next
end
end
set interface "wan1"
set mtu-override enable
set mtu 1700
set vlanid 836
next
end

Tunnel IPIP6

Citer

fwf01 (ipv6-tunnel) # show
config system ipv6-tunnel
edit "free-ipv4"
set source 2a01:xxxx:xxxx:xxxx:0:ffff:ffff:0
set destination 2a01:e00:29:200a::fffd
set interface "free-ipv6"
next
end

Interface ipv4

Citer

fwf01 (free-ipv4) # show
config system interface
edit "free-ipv4"
set vdom "root"
set ip 82.65.xx.xx 255.255.255.255
set allowaccess ping
set type tunnel
set external enable
set role wan
set snmp-index 34
set preserve-session-route enable
set interface "free-ipv6"
next
end

Routes ipv4

Citer

fwf01 (static) # show
config router static
edit 1
set priority 1024
set device "free-ipv4"
next
end

Routes ipv6

Citer

fwf01 (static6) # show
config router static6
edit 1
set device "free-ipv6"
next
end

Reste plus qu'à faire les policies qui vont bien

Si ça intéresse certains, j'ai fait pareil sur ma wan2 avec Bouygues, la conf ici: https://lafibre.info/remplacer-bbox/ftth-remplacer-sa-bbox-ftth-par-un-routeur-fortigate/msg1037323/#msg1037323