Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 34324 fois)

fibrezmoi · « **Réponse #24 le:** 12 novembre 2020 à 10:03:23 »

Ok, en effet ça peut être gênant, sur le site principal nous avons un 101F, mais sur les petits sites des 40F, en v6.2.5 build1142 (GA), ils n'ont pas beaucoup de fonctions gourmandes activées (en tous cas pour l'instant...), mais ça viendra au fur et à mesure de la sécurisation du SI. Le pppoe permettra tout de même de valider que la connexion fonctionne, avant de s'écharper sur le dhcp client

Slothy · « **Réponse #25 le:** 12 novembre 2020 à 21:19:40 »

Le PPPoE fonctionne à 1 Gb/s depuis les versions E.

Par contre, quand on active les filtres, ça tombe beaucoup plus vite que si on était sur une interface routée, car l'ASIC ne peut rien accélérer.

fibrezmoi · « **Réponse #26 le:** 16 novembre 2020 à 17:15:46 »

Citation de: Hakujou le 10 septembre 2020 à 13:25:17

Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.

Faut-il tagguer tout le traffic en CS6, ou seulement les requêtes DHCP ?

zoc · « **Réponse #27 le:** 16 novembre 2020 à 17:41:14 »

Seulement DHCP, sinon débit très limité. La CoS 802.1p (attention ce n'est pas la prio IP DSCP) à 6 favorise la latence, et c'est forcément au détriment du débit.

novitski · « **Réponse #28 le:** 16 janvier 2021 à 17:11:19 »

Bonjour,

Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?

fibrezmoi · « **Réponse #29 le:** 31 mai 2021 à 10:01:29 »

Citation de: novitski le 16 janvier 2021 à 17:11:19

Bonjour,

Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?

Non, il faut un ONT, soit celui intégré à l'intérieur de la livebox v5 (mais alors le fortigate n'est plus en direct), soit l'ONT au format "SFP" fourni par Orange avec les livebox v4 (déjà pas évidente à obtenir en 2020 d'après les retours sur ce forum, est-ce encore possible en 2021 ?)

kiwina · « **Réponse #30 le:** 31 mai 2021 à 22:04:56 »

Bonne nuit,
De Barcelone, nous rencontrons ces mêmes problèmes. Orange dit que l'adressage DHCP fonctionne sur le VLAN 20 ou 832.

Nous avons une livebox 6+ avec ONT intégré et notre fortigate est un 200E
Lorsque nous mettons la livebox en mode ONT, on suppose que le trafic passe par le port 4 vers notre pare-feu, mais avec DHCP il n'y a aucun moyen de nous connecter

J'ai lu ici qu'il peut être configuré comme PPPoE?
Pouvez-vous me dire les données PPPoE?

Dans le cas où ce n'est pas possible avec PPPoE et c'est uniquement possible avec DHCP, quelles seraient les étapes à suivre?

Merci beaucoup pour votre travail

vella77220 · « **Réponse #31 le:** 15 novembre 2021 à 18:51:42 »

Citation de: neo_hijacker le 10 septembre 2020 à 13:22:45

Bonjour,

Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)

Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.

Et si j'en crois cette KB, le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)

J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)

Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...

Voici ma conf pour ceux que ca intéresse :

Code: [Sélectionner]
config system interface edit "orange832" set vdom "root" set mode dhcp config client-options edit 90 set code 90 set value "xxxxxxxxxxx" next edit 77 set code 77 set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833" next edit 60 set code 60 set value "736167656d" next end set allowaccess ping set dns-server-override disable set interface "wan2" set vlanid 832 next end

Hello neo_hijacker,

A quoi coresponde te set value ?

Cordialement

cetipabo · « **Réponse #32 le:** 15 novembre 2021 à 19:11:51 »

@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:

Code: [Sélectionner]

SentOption        : 60,61,77,90
SentOption 60            : 736167656d     <-- correspond en ASCII à : sagem
SentOption 61            : 01XXXXXXXXXXXX   <--- correspond à l'adresse MAC de la livebox
SentOption 77            : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834  <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4
SentOption 90            : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange

En ipv6 c'est le meme principe avec les options 11,15,16 et 17

Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'il faut envoyer.

Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5
LiveBoxInfo 1.9.5 pour LiveBox 2

LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4
LBMonitor 2.4 pour LiveBox 2

vella77220 · « **Réponse #33 le:** 15 novembre 2021 à 19:46:56 »

Citation de: cetipabo le 15 novembre 2021 à 19:11:51

@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:
Code: [Sélectionner]
SentOption : 60,61,77,90 SentOption 60 : 736167656d <-- correspond en ASCII à : sagem SentOption 61 : 01XXXXXXXXXXXX <--- correspond à l'adresse MAC de la livebox SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4 SentOption 90 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange
En ipv6 c'est le meme principe avec les options 11,15,16 et 17

Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'ils faut envoyer.

Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5
LiveBoxInfo 1.9.5 pour LiveBox 2

LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4
LBMonitor 2.4 pour LiveBox 2

Merci beaucoup.

Par contre je ne savais pas qu'il y avait Option 61.

Merci pour l'info.

nscheffer · « **Réponse #34 le:** 07 février 2022 à 16:25:01 »

Dans l'attente d'une prochaine mise à jour de FortiOS qui devrait permettre de virer les deux Livebox et de faire la CoS 6 directement depuis le FortiGate et d'avoir les options pour le client DHCP en IPv6, voila ma configuration actuelle :
Orange Fibre Grand Public -> ONT LEOX -> Livebox 5 ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> Livebox Pro 5 -> FortiGate Firewall

La version future sans les Livebox
Orange Fibre Grand Public -> ONT LEOX ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> FortiGate Firewall

Il ne restera plus qu'à remplacer les premiers boitiers ONT LEOX qui sont en Giga Ethernet par les futur modèles prévus cette année qui seront en 2.5G Ethernet.

Derrière le Firewall avec un lien double 2x10G j'ai un Switch avec de l'Ultra PoE (60W) et des ports mG (100M, 1G, 2.5G, 5G et 10G) en ethernet
Ensuite j'ai plusieurs bornes Wifi 802.11ax (Wifi 6) ou chaque borne est en Ultra PoE et un lien ethernet 2.5G
FortiGate Firewall -> Liaison 2x 10G -> Fortinet Switch -> Liaison 2,5G -> Fortinet AP (Borne Wifi)

J'ai fait un test depuis mon iPhone 13 en Wifi et j'ai été surpris du résultat pour du Wifi avec en moyenne de 1Gbps et par moment 1,2Gbps en pointe...
J'ai fait le test avec l'app Fast de Netflix car c'est celle qui arrive le mieux à exploiter le maximum du potentiel de mon installation.

fibrezmoi · « **Réponse #35 le:** 07 février 2022 à 16:42:44 »

J'ai discuté avec Orange Business Service, ils vont pouvoir m'installer une FTTH (offre Business Internet Entreprise Fibre Max, à peine plus chère qu'une ftth grand public, mais débit moins élevé: 500/200M pour l'instant, 1G/500M prévu fin 2022), en mode bridge

: cela nécessite une "prestation sur mesure" (payante, c'est sorti à moins de 300€, et il a fallu 1 à 2 mois de délai pour valider la demande), mais cela permets de rendre la configuration officielle et pérenne pour leur service technique (support, futures évolutions, etc...)