Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 34222 fois)

Pablo · « **le:** 16 novembre 2016 à 22:42:48 »

Salut,

j'ai lu pas mal des threads dans le forum (mais pas le 100% donc je m'excuse si la réponse à ma question existe déjà)...
Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom. Est-ce que on peut configurer pfSense ou Linux ou meme un ERL pour passer l'adresse public (IPv4; IPv6 désirable) dans la meme façon qu'on configure un modem en mode bridge?

L'idée c'est ça:

Merci

kgersen · « **Réponse #1 le:** 16 novembre 2016 à 23:45:11 »

en IPv6 oui sans probleme car Orange fournit un /56 donc on peut router sans problème un ou plusieurs /64 vers le Fortigate.

en IPv4 il faut faire du double NAT (beurk). un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).

peut-etre un solution avec un bridge L2 et un 'DHCP proxy' ? mais je n'ai jamais fait ce genre de truc...

mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?

Nh3xus · « **Réponse #2 le:** 17 novembre 2016 à 00:00:25 »

Citer

on peut router sans problème un ou plusieurs /64 vers le Fortigate.

La livebox 4 sait déléguer des préfixes ? (vraie question)

Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.

Dam64 · « **Réponse #3 le:** 17 novembre 2016 à 00:18:42 »

Citation de: Nh3xus le 17 novembre 2016 à 00:00:25

La livebox 4 sait déléguer des préfixes ? (vraie question)

Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.

Non la lb4 a le même fonctionnement que la play de mémoire

kgersen · « **Réponse #4 le:** 17 novembre 2016 à 00:18:54 »

Citation de: Nh3xus le 17 novembre 2016 à 00:00:25

La livebox 4 sait déléguer des préfixes ? (vraie question)

non c'est comme la lb3.

On parlait de mettre un ERL ou un Linux ou un Pfsense a la place de la livebox. Eux savent déléguer des prefix.

Dam64 · « **Réponse #5 le:** 17 novembre 2016 à 00:20:40 »

Citation de: Pablo le 16 novembre 2016 à 22:42:48

Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom.

Peux tu préciser le modèle du Fortigate ? Version du firmware ?

Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222

Pour la partie ipv6 ils devaient intégrer le dhcp-pd au firmware 5.4, après je n'ai pas trop suivi.

Pablo · « **Réponse #6 le:** 17 novembre 2016 à 15:44:36 »

Citation de: kgersen le 16 novembre 2016 à 23:45:11

un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).

Dommage

Citer

mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?

Oui j'avait recherché partout... La version 5.6 beta va sortir bientot, je vais recuperer l'admin guide pour voir si ils ont ajouté quelque chose à ce sujet.

Citation de: Dam64 le 17 novembre 2016 à 00:20:40

Peux tu préciser le modèle du Fortigate ? Version du firmware ?

FortiWifi 90D, 5.4.1

Citer

Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222

J'avait regardé cet article mais c'est pour le serveur DHCP, non?

Dam64 · « **Réponse #7 le:** 17 novembre 2016 à 15:56:22 »

Ah dommage que tu ne réponde que maintenant. Un mec de Fortinet était dans mes locaux il y a 30min.

Citation de: Pablo le 17 novembre 2016 à 15:44:36

J'avait regardé cet article mais c'est pour le serveur DHCP, non?

Non regarde bien c'est pour la partie dhcp client.
Par contre je ne connais pas la version 5.4.x, mais regarde si tu as "additional options" les dans le menu : system --> network --> interface --> "interface wan"

Pablo · « **Réponse #8 le:** 17 novembre 2016 à 16:44:02 »

Citation de: Dam64 le 17 novembre 2016 à 15:56:22

Non regarde bien c'est pour la partie dhcp client.

Je m'etais basé sur cette discussion: https://forum.fortinet.com/FindPost/135555

Mais je vais regarder à nouveau.

lenoxys · « **Réponse #9 le:** 30 novembre 2016 à 16:09:40 »

En v5.4 :

Il faut brancher ONT sur le port wan1 de votre boitier fortigate 90D

config system interface edit "wan1" set mode static unset allowaccess unset role wan next edit "wan1.835" set vdom "root" set mode pppoe set username "fti/********" set password ******** set interface "wan1" set vlanid 835 set role wan next end

Le boitier devrait recevoir une adresse ip publique après une minute :

FGT # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* 0.0.0.0/0 [5/0] via ***.***.***.***, ppp1 C ***.***.***.***/32 is directly connected, ppp1 C 192.168.1.0/24 is directly connected, lan C ***.***.***.***/32 is directly connected, ppp1

Par contre, je n'ai pas testé la télé et le téléphone nécessite d'emuler un pppoe server ce que ne peut réaliser un fortigate.

Pablo · « **Réponse #10 le:** 30 novembre 2016 à 16:17:37 »

Citation de: lenoxys le 30 novembre 2016 à 16:09:40

edit "wan1.835" set vdom "root" set mode pppoe set username "fti/********" set password ******** set interface "wan1" set vlanid 835 set role wan next end

Oui, avec le PPPoE ça marche, jamais eu des soucis.
Par contre, le problème est en mode DHCP où on peut pas specifier les options custom.

lenoxys · « **Réponse #11 le:** 30 novembre 2016 à 19:38:58 »

config system dhcp server edit 1 set dns-service default set default-gateway 192.168.1.1 set interface "internal" config ip-range edit 1 set start-ip 192.168.1.100 set end-ip 192.168.1.200 next end config options edit 1 set code 77 set type ip set ip "192.168.1.1" next end set vci-match enable set vci-string "sagem" next end

you can change vci under global dhcp config and if you need to set 77 dhcp option use "config options".