La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Pablo le 16 novembre 2016 à 22:42:48
-
Salut,
j'ai lu pas mal des threads dans le forum (mais pas le 100% donc je m'excuse si la réponse à ma question existe déjà)...
Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom. Est-ce que on peut configurer pfSense ou Linux ou meme un ERL pour passer l'adresse public (IPv4; IPv6 désirable) dans la meme façon qu'on configure un modem en mode bridge?
L'idée c'est ça:
(https://www.dropbox.com/s/6bz91mjdr87awkg/livebox%20remplacer%20fortigate%20topo.png?raw=1)
Merci :)
-
en IPv6 oui sans probleme car Orange fournit un /56 donc on peut router sans problème un ou plusieurs /64 vers le Fortigate.
en IPv4 il faut faire du double NAT (beurk). un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).
peut-etre un solution avec un bridge L2 et un 'DHCP proxy' ? mais je n'ai jamais fait ce genre de truc...
mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?
-
on peut router sans problème un ou plusieurs /64 vers le Fortigate.
La livebox 4 sait déléguer des préfixes ? (vraie question)
Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.
-
La livebox 4 sait déléguer des préfixes ? (vraie question)
Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.
Non la lb4 a le même fonctionnement que la play de mémoire
-
La livebox 4 sait déléguer des préfixes ? (vraie question)
non c'est comme la lb3.
On parlait de mettre un ERL ou un Linux ou un Pfsense a la place de la livebox. Eux savent déléguer des prefix.
-
Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom.
Peux tu préciser le modèle du Fortigate ? Version du firmware ?
Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222 (http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222)
Pour la partie ipv6 ils devaient intégrer le dhcp-pd au firmware 5.4, après je n'ai pas trop suivi.
-
un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).
Dommage :(
mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?
Oui j'avait recherché partout... La version 5.6 beta va sortir bientot, je vais recuperer l'admin guide pour voir si ils ont ajouté quelque chose à ce sujet.
Peux tu préciser le modèle du Fortigate ? Version du firmware ?
FortiWifi 90D, 5.4.1
Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222 (http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222)
J'avait regardé cet article mais c'est pour le serveur DHCP, non?
-
Ah dommage que tu ne réponde que maintenant. Un mec de Fortinet était dans mes locaux il y a 30min.
J'avait regardé cet article mais c'est pour le serveur DHCP, non?
Non regarde bien c'est pour la partie dhcp client.
Par contre je ne connais pas la version 5.4.x, mais regarde si tu as "additional options" les dans le menu : system --> network --> interface --> "interface wan"
-
Non regarde bien c'est pour la partie dhcp client.
Je m'etais basé sur cette discussion: https://forum.fortinet.com/FindPost/135555
Mais je vais regarder à nouveau.
-
En v5.4 :
Il faut brancher ONT sur le port wan1 de votre boitier fortigate 90D
config system interface
edit "wan1"
set mode static
unset allowaccess
unset role wan
next
edit "wan1.835"
set vdom "root"
set mode pppoe
set username "fti/********"
set password ********
set interface "wan1"
set vlanid 835
set role wan
next
end
Le boitier devrait recevoir une adresse ip publique après une minute :
FGT # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
S* 0.0.0.0/0 [5/0] via ***.***.***.***, ppp1
C ***.***.***.***/32 is directly connected, ppp1
C 192.168.1.0/24 is directly connected, lan
C ***.***.***.***/32 is directly connected, ppp1
Par contre, je n'ai pas testé la télé et le téléphone nécessite d'emuler un pppoe server ce que ne peut réaliser un fortigate.
-
edit "wan1.835"
set vdom "root"
set mode pppoe
set username "fti/********"
set password ********
set interface "wan1"
set vlanid 835
set role wan
next
end
Oui, avec le PPPoE ça marche, jamais eu des soucis.
Par contre, le problème est en mode DHCP où on peut pas specifier les options custom.
-
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.1
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.100
set end-ip 192.168.1.200
next
end
config options
edit 1
set code 77
set type ip
set ip "192.168.1.1"
next
end
set vci-match enable
set vci-string "sagem"
next
end
you can change vci under global dhcp config and if you need to set 77 dhcp option use "config options".
-
config system dhcp server
C'est de la configuration du serveur dhcp que tu nous montre là.
Ce qui nous intéresse c'est la partie client
-
et la ?
config system interface
edit "wan2"
set vdom "root"
set mode dhcp
set type physical
set dhcp-client-identifier "sagem"
next
end
-
Presque , il manque les options 77 et 90 :D
-
Je remonte un peu le sujet mais depuis le firmware 6.4 des fortigate, il est possible de spécifier des options dhcp,
https://docs.fortinet.com/document/fortigate/6.4.0/new-features/796636/dhcp-client-options
Quelqu'un aurait un setup compatible 6.4 pour tester tout ça ? :)
merci !
-
Pas teste avec Orange encore, mais si quelqu'un a besoin d'aide je peux aider par MP en remote :)
-
Je ne vois rien d'équivalent pour le DHCPv6, donc je doute que ce soit possible d'avoir de l'IPv6 avec un Fortigate.
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
-
Hello,
Je viens de faire l’acquisition d’un FortiGate pour remplacer ma Livebox 4 Fibre Sosh.
Le FortiGate tourne en 6.4.2.
Je cherche à me connecter en DHCP V4, du moins dans un premier temps.
Avez-vous réussi de votre côté ?
Merci.
-
Bonjour,
Malheureusement non.... Cf ce qui est indiqué 2 posts au dessus. Le forti ne tag pas les trames DHCPv4 en DSCP donc cela ne fonctionne pas...
-
Je devrai bientôt vous rejoindre, j'ai 3 Fortigate récemment installés et bientôt 5 de plus, pour du SD-WAN avec sdsl + ftth fibre orange.
Je veux que mes forti portent la connexion wan et l'ip fixe en direct (pas de livebox avec double-nat et &)
Une première livebox installé, malheureusement une v5 avec ONT intégré, il faut donc que j'obtienne d'Orange un ONT externe (boitier ONT ou ONT SFP, mais enregistré dans leur système) ou un changement pour une livebox v4 (qui aura donc un ONT externe)
Pppoe, voué à disparaitre de ce qu'on entends (des sources fiables?), et avec aussi ses défauts, ou dhcp-client avec les options, ce sujet sera précieux pour avancer ;)
-
Le probleme du PPPOE sur les Fortigate est qu'il n'est pas traité en ASIC... il est traité en CPU donc perfs minables sur les petits boitiers avec SoC.
-
Ok, en effet ça peut être gênant, sur le site principal nous avons un 101F, mais sur les petits sites des 40F, en v6.2.5 build1142 (GA), ils n'ont pas beaucoup de fonctions gourmandes activées (en tous cas pour l'instant...), mais ça viendra au fur et à mesure de la sécurisation du SI. Le pppoe permettra tout de même de valider que la connexion fonctionne, avant de s'écharper sur le dhcp client :P
-
Le PPPoE fonctionne à 1 Gb/s depuis les versions E.
Par contre, quand on active les filtres, ça tombe beaucoup plus vite que si on était sur une interface routée, car l'ASIC ne peut rien accélérer.
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
Faut-il tagguer tout le traffic en CS6, ou seulement les requêtes DHCP ?
-
Seulement DHCP, sinon débit très limité. La CoS 802.1p (attention ce n'est pas la prio IP DSCP) à 6 favorise la latence, et c'est forcément au détriment du débit.
-
Bonjour,
Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?
-
Bonjour,
Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?
Non, il faut un ONT, soit celui intégré à l'intérieur de la livebox v5 (mais alors le fortigate n'est plus en direct), soit l'ONT au format "SFP" fourni par Orange avec les livebox v4 (déjà pas évidente à obtenir en 2020 d'après les retours sur ce forum, est-ce encore possible en 2021 ?)
-
Bonne nuit,
De Barcelone, nous rencontrons ces mêmes problèmes. Orange dit que l'adressage DHCP fonctionne sur le VLAN 20 ou 832.
Nous avons une livebox 6+ avec ONT intégré et notre fortigate est un 200E
Lorsque nous mettons la livebox en mode ONT, on suppose que le trafic passe par le port 4 vers notre pare-feu, mais avec DHCP il n'y a aucun moyen de nous connecter
J'ai lu ici qu'il peut être configuré comme PPPoE?
Pouvez-vous me dire les données PPPoE?
Dans le cas où ce n'est pas possible avec PPPoE et c'est uniquement possible avec DHCP, quelles seraient les étapes à suivre?
Merci beaucoup pour votre travail
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
Hello neo_hijacker,
A quoi coresponde te set value ?
Cordialement
-
@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:
SentOption : 60,61,77,90
SentOption 60 : 736167656d <-- correspond en ASCII à : sagem
SentOption 61 : 01XXXXXXXXXXXX <--- correspond à l'adresse MAC de la livebox
SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4
SentOption 90 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange
En ipv6 c'est le meme principe avec les options 11,15,16 et 17
Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'il faut envoyer.
Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5 (https://lafibre.info/images/routeur/LiveboxInfov2.0.15.zip)
LiveBoxInfo 1.9.5 pour LiveBox 2 (https://lafibre.info/images/routeur/LiveboxInfov1.9.5.zip)
LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4 (https://lafibre.info/images/routeur/LBmonitor2.6.4.zip)
LBMonitor 2.4 pour LiveBox 2 (https://lafibre.info/images/routeur/LBmonitor2.4.zip)
-
@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:
SentOption : 60,61,77,90
SentOption 60 : 736167656d <-- correspond en ASCII à : sagem
SentOption 61 : 01XXXXXXXXXXXX <--- correspond à l'adresse MAC de la livebox
SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4
SentOption 90 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange
En ipv6 c'est le meme principe avec les options 11,15,16 et 17
Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'ils faut envoyer.
Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5 (https://lafibre.info/images/routeur/LiveboxInfov2.0.15.zip)
LiveBoxInfo 1.9.5 pour LiveBox 2 (https://lafibre.info/images/routeur/LiveboxInfov1.9.5.zip)
LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4 (https://lafibre.info/images/routeur/LBmonitor2.6.4.zip)
LBMonitor 2.4 pour LiveBox 2 (https://lafibre.info/images/routeur/LBmonitor2.4.zip)
Merci beaucoup.
Par contre je ne savais pas qu'il y avait Option 61.
Merci pour l'info.
-
Dans l'attente d'une prochaine mise à jour de FortiOS qui devrait permettre de virer les deux Livebox et de faire la CoS 6 directement depuis le FortiGate et d'avoir les options pour le client DHCP en IPv6, voila ma configuration actuelle :
Orange Fibre Grand Public -> ONT LEOX -> Livebox 5 ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> Livebox Pro 5 -> FortiGate Firewall
La version future sans les Livebox
Orange Fibre Grand Public -> ONT LEOX ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> FortiGate Firewall
Il ne restera plus qu'à remplacer les premiers boitiers ONT LEOX qui sont en Giga Ethernet par les futur modèles prévus cette année qui seront en 2.5G Ethernet.
Derrière le Firewall avec un lien double 2x10G j'ai un Switch avec de l'Ultra PoE (60W) et des ports mG (100M, 1G, 2.5G, 5G et 10G) en ethernet
Ensuite j'ai plusieurs bornes Wifi 802.11ax (Wifi 6) ou chaque borne est en Ultra PoE et un lien ethernet 2.5G
FortiGate Firewall -> Liaison 2x 10G -> Fortinet Switch -> Liaison 2,5G -> Fortinet AP (Borne Wifi)
J'ai fait un test depuis mon iPhone 13 en Wifi et j'ai été surpris du résultat pour du Wifi avec en moyenne de 1Gbps et par moment 1,2Gbps en pointe...
J'ai fait le test avec l'app Fast de Netflix car c'est celle qui arrive le mieux à exploiter le maximum du potentiel de mon installation.
-
J'ai discuté avec Orange Business Service, ils vont pouvoir m'installer une FTTH (offre Business Internet Entreprise Fibre Max, à peine plus chère qu'une ftth grand public, mais débit moins élevé: 500/200M pour l'instant, 1G/500M prévu fin 2022), en mode bridge :P : cela nécessite une "prestation sur mesure" (payante, c'est sorti à moins de 300€, et il a fallu 1 à 2 mois de délai pour valider la demande), mais cela permets de rendre la configuration officielle et pérenne pour leur service technique (support, futures évolutions, etc...)
-
J'ai discuté avec Orange Business Service, ils vont pouvoir m'installer une FTTH (offre Business Internet Entreprise Fibre Max, à peine plus chère qu'une ftth grand public, mais débit moins élevé: 500/200M pour l'instant, 1G/500M prévu fin 2022), en mode bridge :P : cela nécessite une "prestation sur mesure" (payante, c'est sorti à moins de 300€, et il a fallu 1 à 2 mois de délai pour valider la demande), mais cela permets de rendre la configuration officielle et pérenne pour leur service technique (support, futures évolutions, etc...)
Aujourd'hui j'ai une offre Orange Pro Fibre avec 2Gbps en descendant et 1Gbps en montant (avec le LEOX actuel qui plafonne à 1Gbps) pour moins de 50€HT par mois, quand tu dis à peine plus chère tu peux préciser ?
-
Aujourd'hui j'ai une offre Orange Pro Fibre avec 2Gbps en descendant et 1Gbps en montant (avec le LEOX actuel qui plafonne à 1Gbps) pour moins de 50€HT par mois, quand tu dis à peine plus chère tu peux préciser ?
65 en tarif public, et 51 via un tarif négocié par un gros groupement d'achat.
Je suis un peu triste de ne pas avoir les débits d'une fibre "Orange Pro" (j'en ai aussi, sur d'autres sites où je peux me permettre de mettre un forti derrière le NAT d'une livebox), mais 1G/500M à ce prix là est déjà intéressant pour compléter la FTTO que j'ai déjà.
-
65 en tarif public, et 51 via un tarif négocié par un gros groupement d'achat.
Je suis un peu triste de ne pas avoir les débits d'une fibre "Orange Pro" (j'en ai aussi, sur d'autres sites où je peux me permettre de mettre un forti derrière le NAT d'une livebox), mais 1G/500M à ce prix là est déjà intéressant pour compléter la FTTO que j'ai déjà.
La bonne nouvelle est que bientôt on pourra avoir un Foritgate sans la Livebox avec juste un ONT/GPON de type SFP ou Ethernet (comme le LEOX) !!
En cours de développement la CoS 6 pour les requêtes initiées depuis le FortiGate comme un DHCP Request ou Solicit et les options clients pour le DHCPv6 Solicit (elles sont sur le DHCPv4 Request)...
Rien n'est encore validé en interne mais cela est bien parti pour avoir cela d'ici quelques mois, je ferai un post quand j'aurai des news.
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
Hello @Hakujou comment tu fais ça ? ça m'interesserais de savoir la procedure pour le faire, est-ce que cette solution est fiable ?
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
Messieurs/mesdames bonjour,
Je viens de virer mon Mikrotik pour un Fortigate 40F.
Dans les 2 cas, j'ai la situation suivante:
- Orange Pro avec ONT uniquement (pas de Livebox... enfin si mais dans un carton :D )--> Branché en ethernet sur le routeur
- Box SFR THD de merde --> Mode bridge, branchée en ethernet sur le routeur
Je vous remercie, Neo_Hijacker, pour la syntaxe (je ne suis pas très calé en Fortigate, et je l'ai acheté justement pour pouvoir servir mes clients ;) )
Ayant repris les 90/77 de mon futur-ex-Mikrotik, la prise DHCP fonctionne parfaitement en VLAN832.
<-- est content
Edit: PS: il ne me manque plus qu'à récupérer l'IPv6 Orange et faire chier SFR pour avoir de l'IPv6 également.
-
Messieurs/mesdames bonjour,
Je viens de virer mon Mikrotik pour un Fortigate 40F.
Dans les 2 cas, j'ai la situation suivante:
- Orange Pro avec ONT uniquement (pas de Livebox... enfin si mais dans un carton :D )--> Branché en ethernet sur le routeur
- Box SFR THD de merde --> Mode bridge, branchée en ethernet sur le routeur
Je vous remercie, Neo_Hijacker, pour la syntaxe (je ne suis pas très calé en Fortigate, et je l'ai acheté justement pour pouvoir servir mes clients ;) )
Ayant repris les 90/77 de mon futur-ex-Mikrotik, la prise DHCP fonctionne parfaitement en VLAN832.
<-- est content
Edit: PS: il ne me manque plus qu'à récupérer l'IPv6 Orange et faire chier SFR pour avoir de l'IPv6 également.
Bonjour @patrickbeau
A aujourd'hui sur un Fortigate même avec le dernier OS (7.2.1) vous pouvez faire toutes les options DHCPv4 (60,61, 77 et 90) mais par contre vous ne pouvez pas :
- envoyer la CoS 6 pour les requêtes DHCPv4 Request et DHCPv6 Sollicit (il y a une demande de Feature Request qui est toujours en attente !)
- vous ne pouvez pas ajouter d'option en DHCPv6, non supporté à ce jour (idem une demande de Feature Request est aussi en cours)
Du coup je me demande commnet vos pouvez vous connecter avec le FortiGate et Orange en IPv4 ? Sinon vous êtes sur une plaque (chanceux) ou vous n'avez pas/plus besoin de la COS 6
Par contre IPv6 avec Orange et FortiGate impossible à aujourd'hui....
Nicolas
-
Bonjour @patrickbeau
A aujourd'hui sur un Fortigate même avec le dernier OS (7.2.1) vous pouvez faire toutes les options DHCPv4 (60,61, 77 et 90) mais par contre vous ne pouvez pas :
- envoyer la CoS 6 pour les requêtes DHCPv4 Request et DHCPv6 Sollicit (il y a une demande de Feature Request qui est toujours en attente !)
- vous ne pouvez pas ajouter d'option en DHCPv6, non supporté à ce jour (idem une demande de Feature Request est aussi en cours)
Du coup je me demande commnet vos pouvez vous connecter avec le FortiGate et Orange en IPv4 ? Sinon vous êtes sur une plaque (chanceux) ou vous n'avez pas/plus besoin de la COS 6
Par contre IPv6 avec Orange et FortiGate impossible à aujourd'hui....
Nicolas
@nscheffer,
Mon offre Orange Pro avec IP fixe date d'avril 2020.
Le routeur est sorti du carton, mise à jour vers le dernier OS.
61 ne sert à rien. 60, 77 et 90 sont configurés.
Voici ma configuration, avec les chaines 77/90 non divulguées ;)
Ca fonctionne pour l'ipv4, et je ne vous cache pas que je ne vais pas me laisser faire pour l'IPv6. Je vais continuer à chercher car c'est essentiel pour moi (j'ai un cluster minio que je veux configurer en IPv6).
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 77
set code 77
set value "2b4653564470923756UDYFZJZ3U239U7592e4c697665626f7833" (oui ce n'est pas la vraie chaine ;) )
next
edit 60
set code 60
set value "736167656d"
next
edit 90
set code 90
set value "00000000000000000000001a09000005580102460724Y24039TYU032U44397967" (oui ce n'est pas la vraie chaine ;) )
next
end
set alias "orange"
set device-identification enable
set monitor-bandwidth enable
set role wan
set snmp-index 5
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 23
next
end
end
set interface "wan"
set vlanid 832
next
end
-
Bonjour,
Je me permets de remonter ce fil suite aux différentes manips que j'ai réalisé avec succès ces derniers jours.
J'ai réussi à faire fonctionner un GPON-ONU-34-20BI directement dans un Fortigate 500D en 6.4.14 en suivant les explications de akhamar (https://github.com/akhamar/orange-2500mbps-G010SP) et de patrickbeau.
La connexion en succès à été réalisée à Lille sur une ligne installée fin Février 2023.
Le module inséré ne semble pas être reconnu officiellement par le firewall, mais le port monte une fois l'ONU démarré.
La configuration d'une interface VLAN832 en DHCP avec les options 60, 77 et 90 permet de récupérer une IP publique en v4.
Je n'ai pas d’utilité de l'IPv6, je n'ai pas cherché à faire fonctionner le dialogue mais effectivement ca ne semble pas être aussi simple que pour l'IPv4.
Le fait que le Forti accepte le module optique est intéressant, ca simplifie l'installation et ca permet de maintenir la température de l'ONU à une valeur plus correcte, je pense qu'elle est descendue de 15-20°C par rapport au MC220L.
-
Bonjour,
Je me permets de remonter ce fil suite aux différentes manips que j'ai réalisé avec succès ces derniers jours.
J'ai réussi à faire fonctionner un GPON-ONU-34-20BI directement dans un Fortigate 500D en 6.4.14 en suivant les explications de akhamar (https://github.com/akhamar/orange-2500mbps-G010SP) et de patrickbeau.
La connexion en succès à été réalisée à Lille sur une ligne installée fin Février 2023.
Le module inséré ne semble pas être reconnu officiellement par le firewall, mais le port monte une fois l'ONU démarré.
La configuration d'une interface VLAN832 en DHCP avec les options 60, 77 et 90 permet de récupérer une IP publique en v4.
Je n'ai pas d’utilité de l'IPv6, je n'ai pas cherché à faire fonctionner le dialogue mais effectivement ca ne semble pas être aussi simple que pour l'IPv4.
Le fait que le Forti accepte le module optique est intéressant, ca simplifie l'installation et ca permet de maintenir la température de l'ONU à une valeur plus correcte, je pense qu'elle est descendue de 15-20°C par rapport au MC220L.
Bonjour,
Comment tu fais la CoS 6 sur un FGT500D en 6.4 ?
Depuis la 7.4 que j'ai installé on devrait pouvoir faire une CoS native depuis le FortiGate mais j'ai pas encore testé.
Pour IPv6 a aujourd’hui même avec les dernières versions en 7.4 on ne peut pas ajouter des options sur la config du DHCPv6.
Pour le moment IPv6 avec L'ONT directement sur un FortiGate c'est pas possible.
Nicolas
-
Très honnêtement je n'ai aucune idée de comment est gérée la CoS 6.
Par contre j'aimerais bien le savoir parce que mon installation est ici en phase de construction.
Elle sera déployée sur un autre site par la suite et j'aimerais m'assurer que ca fonctionnera aussi à la cible.
Il me semble avoir lu quelque part sur le forum que l'ONT de chez FS GPON-ONU-34-20BI était plug & play et j'avais cru comprendre que c'est lui qui s'en débrouillait, mais pas moyen de retrouver le fil de discussion où j'ai lu ca.
Les FGT500D arrivent en fin de vie, et ne reçoivent pas les firmwares en 7.x.x, ils s'arrêtent à la branche 6.4.
En tout cas si quelqu'un a des infos je suis preneur :D
-
Très honnêtement je n'ai aucune idée de comment est gérée la CoS 6.
Par contre j'aimerais bien le savoir parce que mon installation est ici en phase de construction.
Elle sera déployée sur un autre site par la suite et j'aimerais m'assurer que ca fonctionnera aussi à la cible.
Il me semble avoir lu quelque part sur le forum que l'ONT de chez FS GPON-ONU-34-20BI était plug & play et j'avais cru comprendre que c'est lui qui s'en débrouillait, mais pas moyen de retrouver le fil de discussion où j'ai lu ca.
Les FGT500D arrivent en fin de vie, et ne reçoivent pas les firmwares en 7.x.x, ils s'arrêtent à la branche 6.4.
En tout cas si quelqu'un a des infos je suis preneur :D
J'avais compris que tu avais ton accès internet au travers de ton FGT500D avec un ONT de chez FS et que le tout fonctionne !
Pour avoir fait pleins de tests autour du FortiGate si tu es < 7.4 tu ne pourras pas faire la Cos6 avec ton FortiGate car il ne sait pas faire de la CoS6 pour un paquet emit depuis le FortiGate mais seulement pour un paquet le traversant.
Tu vas être obliger d'insérer un élément comme un Mikrotik CRS305 pour faire cette fameuse CoS 6.
Si tu passes en 7.4 (mais pas possible si une série D, à partir de la série E) tu devrais pouvoir faire cette CoS 6 mais je n'ai pas encore fait le test.
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/371960/traffic-shaping-extensions
Pour la partie IPv6 aujourd'hui c'est impossible car tu ne peux pas ajouter d'options sur le DHCPv6.
-
J'avais compris que tu vais ton accès internet au travers de ton FGT500D avec un ONT de chez FS et que le tout fonctionne !
Ah si si, ca ca fonctionne très bien.
J'ai mon ONT FS qui est inséré directement dans le Forti 500D, un VLAN832 de configuré qui récupère une IP publique et le flux qui transite sans soucis.
Ma config est la suivante:
- Le Forti porte le réseau LAN et fourni un serveur DHCP à mon PC connecté dessus.
- Un port du Forti accueille l'ONT et gère la partie WAN
- Une règle de flux LAN_to_WAN qui source NAT le trafic sortant avec l'IP de l'interface VLAN 832.
Par contre, je n'ai que peu de connaissances sur le fonctionnement des réseaux opérateurs et des ONT.
C'est ca que je cherche à mieux comprendre.
Est-ce que la CoS 6 est utilisée partout ? Est-ce qu'elle est gérée nativement par cet ONT ?
J'ai lu plus haut que tu disais que potentiellement sur certaines plaques la CoS 6 n'était plus utilisée.
Comment est ce que je pourrais vérifier ca ?
Ici ca fonctionne bien, mais je ne sais pas vraiment pourquoi, parce que de ce que je lis sur le net, ca ne devrait pas ^^
A vrai dire l'IPv6 ne me manque pas, je préfère travailler en IPv4 bien plus human friendly ;D
-
Non, aucun ONT ne peut gérer la CoS à la place du routeur.
Et au contraire elle est maintenant obligatoire partout (hors bug)…
-
Ah si si, ca ca fonctionne très bien.
J'ai mon ONT FS qui est inséré directement dans le Forti 500D, un VLAN832 de configuré qui récupère une IP publique et le flux qui transite sans soucis.
Ma config est la suivante:
- Le Forti porte le réseau LAN et fourni un serveur DHCP à mon PC connecté dessus.
- Un port du Forti accueille l'ONT et gère la partie WAN
- Une règle de flux LAN_to_WAN qui source NAT le trafic sortant avec l'IP de l'interface VLAN 832.
Par contre, je n'ai que peu de connaissances sur le fonctionnement des réseaux opérateurs et des ONT.
C'est ca que je cherche à mieux comprendre.
Est-ce que la CoS 6 est utilisée partout ? Est-ce qu'elle est gérée nativement par cet ONT ?
J'ai lu plus haut que tu disais que potentiellement sur certaines plaques la CoS 6 n'était plus utilisée.
Comment est ce que je pourrais vérifier ca ?
Ici ca fonctionne bien, mais je ne sais pas vraiment pourquoi, parce que de ce que je lis sur le net, ca ne devrait pas ^^
A vrai dire l'IPv6 ne me manque pas, je préfère travailler en IPv4 bien plus human friendly ;D
Quelle chance que tu as !
Touche à rien... et ne dis rien à Orange
-
J'ai creusé un peu quand même cet aprem pour essayer de comprendre pourquoi ca fonctionnait :D
Avec un MC220L pour accueillir l'ONT, connecté à un switch, un port de ce switch connecté au port 4 de la Livebox et un autre port du switch en mirroring vers un PC j'ai capturé des trames pour analyser la priorité appliquée sur les paquets en 802.1Q.
J'ai fait la même chose en connectant le Fortigate ensuite en remplacement le la Livebox.
On observe bien que la Livebox [EDIT] priorise des paquets ARP [/EDIT], où le Forti ne priorise aucunement les paquets sortant, et laissent la CoS par défaut à 0.
Les paquets qui entrent sont pour la majorité en CoS 0, certains en CoS 4 pour des flux voix ou vidéos.
Quelle chance que tu as !
Touche à rien... et ne dis rien à Orange
;D
Oui, j'aimerais bien, mais là où je vais poser mon installation à terme la CoS 6 est obligatoire visiblement (un de mes contacts chez Orange qui m'a dit ca).
Donc faut quand même que je trouve une solution à mon histoire.
Je vais voir si j'arrive à prioriser les paquets sortants avec un FGT100F en 7.4.0.
Sinon j'ai aussi un Cisco 3750X sur lequel il semblerait que je puisse prioriser les paquets, mais je m'éloigne un peu de ma cible initiale si j'ajoute un switch.
Faut voir aussi s'il accepte l'ONT.
-
J'ai creusé un peu quand même cet aprem pour essayer de comprendre pourquoi ca fonctionnait :D
Avec un MC220L pour accueillir l'ONT, connecté à un switch, un port de ce switch connecté au port 4 de la Livebox et un autre port du switch en mirroring vers un PC j'ai capturé des trames pour analyser la priorité appliquée sur les paquets en 802.1Q.
J'ai fait la même chose en connectant le Fortigate ensuite en remplacement le la Livebox.
On observe bien que la Livebox ou le Forti ne priorisent aucunement les paquets sortant, et laissent la CoS par défaut à 0.
Les paquets qui entrent sont pour la majorité en CoS 0, certains en CoS 4 pour des flux voix ou vidéos.
;D
Oui, j'aimerais bien, mais là où je vais poser mon installation à terme la CoS 6 est obligatoire visiblement (un de mes contacts chez Orange qui m'a dit ca).
Donc faut quand même que je trouve une solution à mon histoire.
Je vais voir si j'arrive à prioriser les paquets sortants avec un FGT100F en 7.4.0.
Sinon j'ai aussi un Cisco 3750X sur lequel il semblerait que je puisse prioriser les paquets, mais je m'éloigne un peu de ma cible initiale si j'ajoute un switch.
Faut voir aussi s'il accepte l'ONT.
Si un FGT100F (jai un FGT101F à la maison) en 7.4 normalement sans soucis pour la CoS.
Pour le Cisco 3750F il ne tiendra pas les perfs pour la fibre avec du traffic à 1Gbps ou plus...
Sur le Fortigate tout est fait dans l'ASIC (Security Processor et Content Processor) du coup le CPU ne fait rien.
Sur un Cisco la CoS 6 et les options DHCP vont tout router vers le CPU !
-
On observe bien que la Livebox ou le Forti ne priorisent aucunement les paquets sortant, et laissent la CoS par défaut à 0
La livebox le fait… depuis 2018.
Évidemment ça ne concerne pas tous les paquets mais uniquement DHCP, ARP et ICMP pour les paquets issus de la box (et non routés).
-
Évidemment ça ne concerne pas tous les paquets mais uniquement DHCP, ARP et ICMP pour les paquets issus de la box (et non routés).
Je viens de reparcourir mes captures et j'y ai trouvé une requête ARP générée par la Livebox, et effectivement elle est priorisée en CoS 6.
Au temps pour moi et merci pour l'info :)
Ca semble en effet plus logique et approprié à la valeur 6 que seules soient concernés les paquets réseaux et non le trafic généré par les machines.
Je vais éditer mon précédent post.
Pour le Cisco 3750F il ne tiendra pas les perfs pour la fibre avec du traffic à 1Gbps ou plus...
Effectivement, suite à un test la bande passante disponible plafonne à 200Mbs, et de toute façon ca ne correspondra pas à mon besoin sans devenir une usine à gaz.
Je vais tester le Forti en 7.4.0 demain et on verra bien ce que ca donne.
-
J'ai testé ce matin avec le firmware 7.4.0. sur le FGT100F.
La documentation à ce sujet est pas hyper claire et pas beaucoup de détails pour l'instant.
En théorie on devrait pouvoir avec du traffic shaping
config firewall shaping-policy
edit <id>
set traffic-type {forwarding | local-in | local-out}
set cos-mask <3-bit_binary>
set cos <3-bit_binary>
next
end
Sauf que j'ai pas réussi à appliquer une CoS au local-out, du coup ca perd son intérêt.
Par contre en cherchant à comprendre comment ca fonctionnait je suis tombé sur ce lien: https://community.fortinet.com/t5/FortiGate/Technical-Tip-CoS-marking-for-the-self-originated-traffic/ta-p/190483, où on explique comment appliquer une CoS à du flux via un VDOM dédié en mode transparent.
L'explication se base sur une IP statique configurée sur le VDOM Link.
L'interface VDOM Link n'accepte ni le DHCP, ni le trunk, donc je l'ai remplacé par une interco physique dédiée.
Et là j'arrive à appliquer une CoS spécifique sur les flux de mon choix via la règle qu'ils matchent.
Les paquets sont donc correctement priorisés quand ils sortent du firewall.
Ca fonctionne sur le 100F en 7.4.0, mais ca fonctionne également très bien sur le 500D en 6.4.14.
Je ne note pas de perte de performance sur le débit de ma ligne, mais je n'ai qu'un abonnement à 500Mbs en download et upload.
Je vois deux inconvénients par contre, ca consomme trois ports physiques au lieu d'un seul, et ca double les sessions.
Mais on peut les nuancer par le fait que les firewalls sont rarement utilisés à 100% de leur capacités et qu'ils peuvent se permettre de "gaspiller" un peu de ressources dans les petites et moyennes structures.
Est ce que vous savez s'il existe un tableau qui référence la priorité à appliquer par protocole ?
Dans les captures je vois que certains sont en CoS 6, 4, 0, ...
Et je vois que l'Alcatel en face de ma fibre répond aux demandes DHCP avec un CoS 7 et non 6.
-
J'ai testé ce matin avec le firmware 7.4.0. sur le FGT100F.
La documentation à ce sujet est pas hyper claire et pas beaucoup de détails pour l'instant.
En théorie on devrait pouvoir avec du traffic shaping Sauf que j'ai pas réussi à appliquer une CoS au local-out, du coup ca perd son intérêt.
Par contre en cherchant à comprendre comment ca fonctionnait je suis tombé sur ce lien: https://community.fortinet.com/t5/FortiGate/Technical-Tip-CoS-marking-for-the-self-originated-traffic/ta-p/190483, où on explique comment appliquer une CoS à du flux via un VDOM dédié en mode transparent.
L'explication se base sur une IP statique configurée sur le VDOM Link.
L'interface VDOM Link n'accepte ni le DHCP, ni le trunk, donc je l'ai remplacé par une interco physique dédiée.
Et là j'arrive à appliquer une CoS spécifique sur les flux de mon choix via la règle qu'ils matchent.
Les paquets sont donc correctement priorisés quand ils sortent du firewall.
Ca fonctionne sur le 100F en 7.4.0, mais ca fonctionne également très bien sur le 500D en 6.4.14.
Je ne note pas de perte de performance sur le débit de ma ligne, mais je n'ai qu'un abonnement à 500Mbs en download et upload.
Je vois deux inconvénients par contre, ca consomme trois ports physiques au lieu d'un seul, et ca double les sessions.
Mais on peut les nuancer par le fait que les firewalls sont rarement utilisés à 100% de leur capacités et qu'ils peuvent se permettre de "gaspiller" un peu de ressources dans les petites et moyennes structures.
Est ce que vous savez s'il existe un tableau qui référence la priorité à appliquer par protocole ?
Dans les captures je vois que certains sont en CoS 6, 4, 0, ...
Et je vois que l'Alcatel en face de ma fibre répond aux demandes DHCP avec un CoS 7 et non 6.
La solution d'un second VDOM en mode transparent est connu depuis un moment sur toutes les versions et fonctionne très bien sans aucun impact sur les perfs (tout le traffic du coup passe par l'ASIC).
L'inconvenient est que d'un point de vue license c'est un second FortiGate (quand tu utilises les services FortiGuard avec ou sans FortiManager/FortiAnalyser) ou trois dans mon cas car j'ai deux fibre.
Pour la CoS en 7.4 j'ai pas encore fait le test, j'essaye de le faire rapidement et je fais un retour.
Pour savoir quoi appliquer sur la CoS avec orange :
- DHCP (Request et Renew), ARP et ICMP CoS 6
- tout le reste valeur par défaut
C'est tout !
-
IGMP pour la TV en CoS 5.
-
J'ai essayé le week end dernier sur un lien où la CoS6 est exigée pour récupérer une IP.
Et malheureusement sans succès avec le système de VDOM Transparent. (FGT500D en 6.4.14)
Les requêtes sortent non marquées, j'ai l'impression que le Fortigate ne marque les paquets qu'une fois qu'il a une IP.
Ce qui d'un certain côté semblerait relativement logique pour un firewall.
Est ce que quelqu'un avait déjà réussi à se connecter au réseau Orange en utilisant un VDOM Transparent qui marquait les paquets DHCP d'une CoS6 ?
J'ai peut-être loupé un truc quelque part ...
-
J'ai essayé le week end dernier sur un lien où la CoS6 est exigée pour récupérer une IP.
Et malheureusement sans succès avec le système de VDOM Transparent. (FGT500D en 6.4.14)
Les requêtes sortent non marquées, j'ai l'impression que le Fortigate ne marque les paquets qu'une fois qu'il a une IP.
Ce qui d'un certain côté semblerait relativement logique pour un firewall.
Est ce que quelqu'un avait déjà réussi à se connecter au réseau Orange en utilisant un VDOM Transparent qui marquait les paquets DHCP d'une CoS6 ?
J'ai peut-être loupé un truc quelque part ...
Bonjour,
Tu utilises bien 2 VDOM ?
Ton VDOM Root qui est ta config actuelle et un second VDOM en mode Transparent qui est connecté à l'ONT.
C'est le second VDOM qui fait le shapping sur les requêtes DHCP, ARP et ICMP pour l'accès Internet.
En 7.4 (Ton 500D n'est pas supporté) on peut faire du shapping sur un paquet émis par le FortiGate, ce qui n'était pas supporté avant d'ou les 2 VDOM
-
Je n'utilise pas le VDOM Root, mais un VDOM que j'ai créé à part.
Il porte l'interface VLAN832 qui demande une IPv4 en DHCP.
Connecté à celui ci j'ai un VDOM Transparent qui a 2 interfaces VLAN 832 (IN/OUT), l'une d'entre elles porte l'ONT, et l'autre la connexion vers le VDOM qui porte l'IP du VLAN832.
J'ai une règle de flux qui intercepte bien les paquets DHCP et ICMP et une autre la Data une fois l'IP récupérée.
Cependant même si je vois les compteurs s'incrémenter sur ma règle de flux qui a l'option "set vlan-cos-fwd 6" les paquets que je vois sortir sont tous avec une CoS 0.
J'avoue que je n'avais pas pensé au fait que dans les exemples c'est fait avec le VDOM Root et non un autre VDOM.
Ca me semblerait un peu gros quand même que ca soit à cause de ca, non ?
-
Je n'utilise pas le VDOM Root, mais un VDOM que j'ai créé à part.
Il porte l'interface VLAN832 qui demande une IPv4 en DHCP.
Connecté à celui ci j'ai un VDOM Transparent qui a 2 interfaces VLAN 832 (IN/OUT), l'une d'entre elles porte l'ONT, et l'autre la connexion vers le VDOM qui porte l'IP du VLAN832.
J'ai une règle de flux qui intercepte bien les paquets DHCP et ICMP et une autre la Data une fois l'IP récupérée.
Cependant même si je vois les compteurs s'incrémenter sur ma règle de flux qui a l'option "set vlan-cos-fwd 6" les paquets que je vois sortir sont tous avec une CoS 0.
J'avoue que je n'avais pas pensé au fait que dans les exemples c'est fait avec le VDOM Root et non un autre VDOM.
Ca me semblerait un peu gros quand même que ca soit à cause de ca, non ?
C'est pas le VDOM Root qui est nécessaire mais d'avoir 2 VDOM
LAN -> FGT VDOM 1 -> WAN -> FGT VDOM 2 -> ONT
C'est le VDOM 2 qui est en transparent et qui fait le shapping sur les paquets provenants du VDOM 1
Comment tu fais le lien entre les 2 VDOM ?
Par une policy dans le FGT ou en physique avec un câble extérieur ?
Le lien ci-dessous c'est pour la config du routage inter-VDOM. Change en version 6.4 et dans l'exemple c'est l'inverse de ce que l'on veut faire.
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/335646/inter-vdom-routing-configuration-example-internet-access
Mais attention en fonction de la version de FortiOS et de ton FGT le routage inter-VDOM peut faire baisser les performances de beaucoup sans pouvoir utiliser l'ASIC.
-
C'est bien comme ca que j'ai monté mon interconnexion
LAN -> FGT VDOM 1 -> WAN -> FGT VDOM 2 -> ONT
Je suis obligé d'utiliser un lien physique pour interconnecter les VDOM, les VDOM Links ne supportent pas le DHCP.
L'exemple que tu donnes présente comment utiliser le VDOM Root comme point de pivot pour des VDOM LAN, je vois bien comment ca fonctionne à ce niveau là, j'en ai plusieurs en production déjà ;)
-
Je suis contraint de passer chez Sosh pour un temps indéterminé.
Mon offre Free (Freebox Revolution) passe à 45€, j'avais une IP fixe, l'ONT directement branché sur mon switch Alcatel et un vlan qui transportait le réseau dans un agrégat vers mon FortiGate 40F. Mon FortiGate portait l'IPv6 et même l'IPv4 et ce depuis des mois sans aucun problème, plus de Freebox qui consomme et prend de la place dans la baie inutilement, un vrai bonheur :)
Avez vous pu tester d'appliquer la CoS 6 en 7.4 ?
Même si ça fonctionne, de mon côté je suis bloqué en 7.2 le temps de remplacer ma vieille FortiAP, je pourrais tenter la manip avec les 2 VDOMs
-
Je suis contraint de passer chez Sosh pour un temps indéterminé.
Mon offre Free (Freebox Revolution) passe à 45€, j'avais une IP fixe, l'ONT directement branché sur mon switch Alcatel et un vlan qui transportait le réseau dans un agrégat vers mon FortiGate 40F. Mon FortiGate portait l'IPv6 et même l'IPv4 et ce depuis des mois sans aucun problème, plus de Freebox qui consomme et prend de la place dans la baie inutilement, un vrai bonheur :)
Avez vous pu tester d'appliquer la CoS 6 en 7.4 ?
Même si ça fonctionne, de mon côté je suis bloqué en 7.2 le temps de remplacer ma vieille FortiAP, je pourrais tenter la manip avec les 2 VDOMs
Bonjour,
Voila un résumé de ce que tu peux faire chez Orange/SOSH avec un FortiGate :
FortiOS 7.2 (j'ai utilisé un Mikrotik CRS305 pour faire la CoS mais pas d'IPv6) :
- DCPHv4 client options : OK
- DCPHv6 client options : KO
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : KO
FortiOS 7.4 (j'ai utilisé un Mikrotik CRS305 pour faire la CoS mais pas d'IPv6) :
- DCPHv4 client options : OK
- DCPHv6 client options : KO
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : OK mais pas testé
FortiOS 7.6 (pas encore testé, normalement tout doit fonctionner en natif avec l'ONT directement dans un port SFP/SFP+) :
- DCPHv4 client options : OK
- DCPHv6 client options : OK
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : OK
Je viens de recevoir un FGT91G, dès que la 7.4. et 7.6 sont sortis pour le FGT91G je fais les tests et je posterai une mise à jour.
-
Ok, merci pour ton retour.
Je n'ai pas besoin d'IPv6 dans l'immédiat.
Pour ma part, je suis sur un FWF 40F, donc je n'ai pas de port SFP/SFP+ de disponible, en passant par un switch supportant le SFP/SFP+ ça devrait fonctionner ?
Il faudrait que je puisse appliquer de la CoS directement sur mon switch ALE, tu as un exemple de la conf pour ton Mikrotik ?
Merci !
-
Ok, merci pour ton retour.
Je n'ai pas besoin d'IPv6 dans l'immédiat.
Pour ma part, je suis sur un FWF 40F, donc je n'ai pas de port SFP/SFP+ de disponible, en passant par un switch supportant le SFP/SFP+ ça devrait fonctionner ?
Il faudrait que je puisse appliquer de la CoS directement sur mon switch ALE, tu as un exemple de la conf pour ton Mikrotik ?
Merci !
Je cite le post de #fttmeh
https://lafibre.info/remplacer-livebox/tuto-switch-mikrotik-crs-305-pour-hgsmii-2-5gbps-et-la-cos-6/
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
-
Bon, la question ne se pose même plus, je n'ai pas d'ONT sur mon installation.
C'est parti retour chez Free avec la Révolution Light à vie, où je pourrais retirer la box et porter une IPv4 et IPv6 en fixe sur mon FortiGate.
-
Bon, la question ne se pose même plus, je n'ai pas d'ONT sur mon installation.
C'est parti retour chez Free avec la Révolution Light à vie, où je pourrais retirer la box et porter une IPv4 et IPv6 en fixe sur mon FortiGate.
Je viens de remplacer ma Fibre Orange Pro par une Freebox Ultra à 8Gbps!
Je garde par contre ma fibre Orange Grand Public.
J'ai commencé à regarder pour supprimer complètement la Freebox :
- vlan 836
- changer la MAC de l'interface sur le FortiGate (EMAC) par celle de la Freebox qui est connecté avec la Fibre
- ipv6 c'est natif, rien à faire
- ipv4 cela semble moins simple c'est du map-e (supporté par FortiOS) mais je pense que l'on doit pouvoir avoir une conf dynamique, pas besoin de mettre les infos en statiques en dur dans la conf !
J'ai pas encore fait les tests, dès que j'ai une conf qui marche je posterai les résultats
-
C'est cool ça.
Dans mon cas, ça serait overkill 8 Gbps, ça serait beaucoup trop pour mon 40F ahah.
Tu as un ONT sur la Freebox Ultra j'imagine ?
Comment se fait-il que tu as 2 prises fibres à ton domicile ? Tu es freelance et tu travail de chez toi et tu as pu te monter une ligne professionnel supplémentaire ?
J'aimerais bien de mon côté avoir un backup, en 4G ça serait top mais toute les offres grand public accessible sont en CG-NAT, c'est dommage...
Merci !
-
C'est cool ça.
Dans mon cas, ça serait overkill 8 Gbps, ça serait beaucoup trop pour mon 40F ahah.
Tu as un ONT sur la Freebox Ultra j'imagine ?
Comment se fait-il que tu as 2 prises fibres à ton domicile ? Tu es freelance et tu travail de chez toi et tu as pu te monter une ligne professionnel supplémentaire ?
J'aimerais bien de mon côté avoir un backup, en 4G ça serait top mais toute les offres grand public accessible sont en CG-NAT, c'est dommage...
Merci !
J'avais dans le passé une micro-entreprise, j'en ai profité pour faire une demande de Fibre Pro en plus de la Fibre perso que j'avais à l'époque.
Depuis j'ai gardé les deux, jamais de coupure !
Oui la Freebox Ultra est livré avec un SFP+ que je pense mettre directement dans mon FGT-91G. Dans ton cas il te faudra surement un Mikrotik type CRS305 ou autre pour faire le lien avec ton FGT-40F.
Effectivement la plupart des solutions 4G/5G ne font que du outgoing, impossible d'héberger qq chose au travers. Sachant aussi que la plupart sont maintenant IPv6 only la Nat 64 est faites par l'opérateur.
-
Ah la chance !
On est d'accord que c'est impossible en tant que particulier de demander une autre prise FO ?
J'ai un switch ALE qui a des ports 10G et je faisais transiter mon vlan vers un lacp de 4x1G vers mon 40F.
Je vais retourner sur la Freebox Révolution Light, avec une offre à vie à 29,99€, ça sera très bien :)
-
Oui la Freebox Ultra est livré avec un SFP+ que je pense mettre directement dans mon FGT-91G.
Aucune chance que ca fonctionne. Encore une fois (comme on l'a déjà dit 100 fois dans la section Freebox), le SFP+ de l'ultra sort du 10G-EPON, pas de l'Ethernet. Il faut donc de l'électronique spécifique dans le routeur (genre la puce Cortina qui est dans la Freebox v9) pour "transformer" les trames 10G-EPON en trames Ethernet.
Bref, le SFP+ n'est que la "moitié" de ce qui est nécessaire pour faire du 10G-EPON, l'autre "moitié" est sur la carte mère de la box.
-
J'aimerais bien de mon côté avoir un backup, en 4G ça serait top mais toute les offres grand public accessible sont en CG-NAT, c'est dommage...
Alors perso j'ai un backup 4G chez Sosh (seconde carte SIM à 5€ par mois sur mon offre 5G mobile Sosh), je monte un tunnel wireguard entre mon Mikrotik CCR2004 et un VPS à 3€ chez OVH (que j'avais de toute façon déjà vu qu'il me sert de SMTP sortant pour contourner le blocage du port 25), ce qui me permet d'avoir une IP fixe et contourner le CG-NAT. Le débit du VPS est limité à 100 Mbps, mais c'est suffisant pour du backup, et de toute façon les conditions de réception dans mon appart en 4G ne me permettent d'avoir qu'entre 50 et 70 Mbps.
Le plus compliqué dans cette histoire c'est la configuration du routage...
-
Bonjour,
Voila un résumé de ce que tu peux faire chez Orange/SOSH avec un FortiGate :
FortiOS 7.2 (j'ai utilisé un Mikrotik CRS305 pour faire la CoS mais pas d'IPv6) :
- DCPHv4 client options : OK
- DCPHv6 client options : KO
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : KO
FortiOS 7.4 (j'ai utilisé un Mikrotik CRS305 pour faire la CoS mais pas d'IPv6) :
- DCPHv4 client options : OK
- DCPHv6 client options : KO
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : OK mais pas testé
FortiOS 7.6 (pas encore testé, normalement tout doit fonctionner en natif avec l'ONT directement dans un port SFP/SFP+) :
- DCPHv4 client options : OK
- DCPHv6 client options : OK
- Cos ARP, ICMP, DHCPv4 & DHCPv6 : OK
Je viens de recevoir un FGT91G, dès que la 7.4. et 7.6 sont sortis pour le FGT91G je fais les tests et je posterai une mise à jour.
Hello , je lorgne sur la série 90/91G depuis un moment.
On commence tout juste à avoir des avancées , les deux modèles sont enfin supportés par le code base 7.2 et 7.4 …
Cependant, on a l’air encore loin d l’intégration dans le code base 7.6.
Ce qui me gêne c’est que le 120G ( reposant sur le même système , Forti SP5) est déjà supporté par le code base 7.6.
De même, il commence à y avoir une grosse polémique sur les 90/91G…
forti a déjà sorti deux générations de ce modèle en un an.
Les deux sont incompatibles, il n’est pas possible de faire un cluster avec un 90G gen1 et un 90G gen2.
J’espère que ce n’est pas lié à des defects matériels sur la Gen1 …
-
Hello , je lorgne sur la série 90/91G depuis un moment.
On commence tout juste à avoir des avancées , les deux modèles sont enfin supportés par le code base 7.2 et 7.4 …
Cependant, on a l’air encore loin d l’intégration dans le code base 7.6.
Ce qui me gêne c’est que le 120G ( reposant sur le même système , Forti SP5) est déjà supporté par le code base 7.6.
De même, il commence à y avoir une grosse polémique sur les 90/91G…
forti a déjà sorti deux générations de ce modèle en un an.
Les deux sont incompatibles, il n’est pas possible de faire un cluster avec un 90G gen1 et un 90G gen2.
J’espère que ce n’est pas lié à des defects matériels sur la Gen1 …
Je pense que tu n'as pas les bonnes informations :
- à aujourd'hui la nouvelle génération de SP5 (9xG et 12xG) fonctionne sur 7.0, 7,2 et 7.4. Aucune build existe pour la 7.6 à l'heure actuelle
- il n'y a pas de Gen1 ou Gen2 pour le 90G mais un seul modèle.
- le SP5 est le dernier Asic de Fortinet pour l'entrée de gamme (CP10 et NP7 Lite), la suite arrive CP10 et NP8 sur le milieu et haut de gamme (je pense sur les 24 mois à venir)
Si tu prends un FGT90 (SP5) pour remplacer la Livebox :
- dernière génération d'Asic avec bcp de puissance dont une grande partie n'est pas exploitée encore
- en 7.2 et 7.4 il faut idéallement un Mikrotik type CRS305 pour gérer la CoS plus facilement mais tu n'auras pas les options DHCP en IPv6
- en 7.6.1 (prévue pour fin Novembre sur 90G et 120G), tu pourras faire directement la CoS sur le FGT et tu auras les options DHCP en IPv6
Je précise que la 7.6.0 actuelle fonctionne sur toute la gamme de FGT série F et certains de la série D, E (sur le milieu et haut de gamme).
La 7.6.1 ajoute les nouveaux G (90 et 120) et les anciens E (60).
A dispo pour plus d'informations si besoin
-
Je pense que tu n'as pas les bonnes informations :
- à aujourd'hui la nouvelle génération de SP5 (9xG et 12xG) fonctionne sur 7.0, 7,2 et 7.4. Aucune build existe pour la 7.6 à l'heure actuelle
- il n'y a pas de Gen1 ou Gen2 pour le 90G mais un seul modèle.
- le SP5 est le dernier Asic de Fortinet pour l'entrée de gamme (CP10 et NP7 Lite), la suite arrive CP10 et NP8 sur le milieu et haut de gamme (je pense sur les 24 mois à venir)
Si tu prends un FGT90 (SP5) pour remplacer la Livebox :
- dernière génération d'Asic avec bcp de puissance dont une grande partie n'est pas exploitée encore
- en 7.2 et 7.4 il faut idéallement un Mikrotik type CRS305 pour gérer la CoS plus facilement mais tu n'auras pas les options DHCP en IPv6
- en 7.6.1 (prévue pour fin Novembre sur 90G et 120G), tu pourras faire directement la CoS sur le FGT et tu auras les options DHCP en IPv6
Je précise que la 7.6.0 actuelle fonctionne sur toute la gamme de FGT série F et certains de la série D, E (sur le milieu et haut de gamme).
La 7.6.1 ajoute les nouveaux G (90 et 120) et les anciens E (60).
A dispo pour plus d'informations si besoin
Je te laisse te renseigner pour les histoires de génération:
-
Je te laisse te renseigner pour les histoires de génération:
Je travaille chez Fortinet, c'est donc plus facile pour moi de trouver de l'info sur Fortinet !
Sur mon FGT-91G :
FGT-Paris # get hardware status
Model name: FortiGate-91G
ASIC version: SOC5
CPU: ARMv8
Number of CPUs: 8
RAM: 7547 MB
EMMC: 9982 MB(MLC) /dev/mmcblk0
Hard disk: 114473 MB /dev/nvme0n1
USB Flash: not available
Network Card chipset: FortiASIC NP7LITE Adapter (rev.)
Hardware Revision: Rev1
Par contre j'ai cherché en interne j'ai rien trouvé sur des versions Gen1 et Gen2 pour le 9xG....Le SP5 (90G et 120G) est sorti en 7.0.x
C'est surement des docs de dev interne lors de la r&d sur le SP5 car comme tu peux voir sur mon FGT je suis en Rev1 et rien à voir avec ton doc.
De mon coté j'ai remplacé mon FGT-101F par un FGT-91G et j'en suis très content, plus de ventilo, une puissance incroyable, etc...
-
Je travaille chez Fortinet, c'est donc plus facile pour moi de trouver de l'info sur Fortinet !
Sur mon FGT-91G :
FGT-Paris # get hardware status
Model name: FortiGate-91G
ASIC version: SOC5
CPU: ARMv8
Number of CPUs: 8
RAM: 7547 MB
EMMC: 9982 MB(MLC) /dev/mmcblk0
Hard disk: 114473 MB /dev/nvme0n1
USB Flash: not available
Network Card chipset: FortiASIC NP7LITE Adapter (rev.)
Hardware Revision: Rev1
Par contre j'ai cherché en interne j'ai rien trouvé sur des versions Gen1 et Gen2 pour le 9xG....Le SP5 (90G et 120G) est sorti en 7.0.x
C'est surement des docs de dev interne lors de la .
r&d sur le SP5 car comme tu peux voir sur mon FGT je suis en Rev1 et rien à voir avec ton doc.
De mon coté j'ai remplacé mon FGT-101F par un FGT-91G et j'en suis très content, plus de ventilo, une puissance incroyable, etc...
Hello , l’extract plus haut vient de la release note de la 7.2.9.
Mais bon , je vais peut être abandonner l’idée du 90G..
Je l’ai vu en tarif public à 1150$ sur Amazon…
Vu les volumes que l’on consomme côté taff , je m’attendais à une belle remise mais …
Je pense que je me fourre le doigt….
-
Bonsoir,
Bon je me suis remis des prix trouvés.
Je ne perd pas espoir , je vais échanger à mon retour de vacs avec les fortiguys de France pour voir ce qu’il est possible de faire en terme de remise pour du homelab…
Je m’étais fait à l’idée de faire tourner le 90g ( voir 91g ) en mode simple ( donc pas d’IPS , de X Y Z )associé à qui repose sur des Licences annuelles dont le coût est mappé sur des ratios fixe du prix catalogue de l’animal .
J’etais parti sur l’idée de remplacer ma conf hyper optimisé ( avec un ER4 en mode bonding sur 4 liens en LACP l3 src / dst ipv4/v6 coté switch ).
C’est raccordé à un switch 8 ports sfp+ 10g L3 ( reposant sur la stack rtl9303-cg , cf le doc attaché. )
Il y a à date un SFP ONU en 2.5GBE ( le switch supporte la négociation ).
C’est ensuite relié à deux autres switchs :
- un 8 ports 2.5 GBE ( qui raccordent les différents pieces via table ethernet existant )+ 1 10G ( manageable, vendu à 45/55€ )
- un autre 8 port 10g SFP+ L3 ( ils ont à 75/80€ !!), des modules SFP+ 10G BIDI optique sont dessus ( des fibres ont été tirés via les goulottes des câbles ethernet dans plusieurs pièces ).
Cela me permet d’avoir :
- une gestion fine de la QoS via le switch « core 10g »
- un firewall maîtrise qui sait gérer 4 giga in/out sur tout les VLANS qui transitent.
- je ne fais pas de modif DSCP/COS côté switch du fait que j’ai tout ce qu’il faut sur l’ER4.
- en prime le switch « Core » me remappe les vlan ORANGE sur d’autres vid ( 832 en 1832 etc …)
- le firewall gère ensuite les vlan orange « fake » pour faire croire à la box orange ( qui est dans une DMZ ) que c’est bien l’infrastructure orange officielle …
- ipv6 correctement distribué , etc …
- Un offload hardware qui dépote …
- la conf complète consomme entre 22 et 35wh..( dans les postes / smartphone / wifi Cisco derrière qui up down en fonction de l’occupation de la maison …)
Je cherchais une solution pour faire évoluer mon bordel en douceur .
L’idée était d’avoir un FW avec deux liens 10g SFP+ ( pour mettre des DAC vers le switch « core 10g » en LACP Load balancé par src/dst ipv4/v6 )
Ensuite remplacer le SFP 2.5 G GPON par un 10G SFP+ XGS-PON.
Mais bon vu le ticket d’entrée que j’ai l’impression de voir venir …
J’ai l’impression qu’il sera plus efficace de faire un premier pas en 8Gbit/s XGS-PON et ne n’utiliser au max que 4gbit/s up/down ( avec un max à 1gbit/s par flux )
Il y a juste un défaut à date sur les edgerouter Cavium.
Faut passer en mode 100% vlan ( pas de native/ untaged , le moteur d’offload hw génère sinon des klogs qui tuent les perfs).
FortiChere…
Pas l’air d’être intéressé par les homelabs ( j’espère me tromper …).
-
Je relance un peu le sujet, je viens de recevoir un FGT-601E monté en 7.6.0
pour le moment je bloque un peu, l'interface SFP+ (X1) reste en down avec l'onu FS.COM
-
Je relance un peu le sujet, je viens de recevoir un FGT-601E monté en 7.6.0
pour le moment je bloque un peu, l'interface SFP+ (X1) reste en down avec l'onu FS.COM
Hello , beau jouet ( a plus de 10k ;) ).
Il a cependant un gros problème pour du homelab.
Il consomme une blinde , 129 à 244wh !!
C’est 284 à 538 € par an de facture EDF ( a 0.2516 cents le kWh ).
Pour revenir à ton histoire de SFP+ FS, est-ce que tu as un link côté fibre ?
-
j'ai fait une très bonne affaire sur ebay :)
Oui j'ai bien le lien côté fibre.
je ferai un test demain en montant un mikrotik à la place du forti, je me demande si j'ai pas un problème de nego entre l'onu et le forti
-
j'ai fait une très bonne affaire sur ebay :)
Oui j'ai bien le lien côté fibre.
je ferai un test demain en montant un mikrotik à la place du forti, je me demande si j'ai pas un problème de nego entre l'onu et le forti
Bonne affaire ?
Mais encore ?
Plus sérieusement , j’espère que le firewall n’a pas été poutré….
Il y a eut une vague d’attaques qui exploitaient des vulnérabilités permettant d’introduire des RAT résistant aux reboots et au upgrade ….
C’est bien un SFP+ 10G que tu as mis ?
Les deux ports ne supportent pas les SFP de base :
Two 10 GigE SFP+ (X1 and X2) (cannot be configured to be SFP interfaces)
-
Bonne affaire ?
Mais encore ?
Plus sérieusement , j’espère que le firewall n’a pas été poutré….
Il y a eut une vague d’attaques qui exploitaient des vulnérabilités permettant d’introduire des RAT résistant aux reboots et au upgrade ….
C’est bien un SFP+ 10G que tu as mis ?
Les deux ports ne supportent pas les SFP de base :
Two 10 GigE SFP+ (X1 and X2) (cannot be configured to be SFP interfaces)
Depuis quelques années chez Fortinet, j'ai encore jamais vu de tel RAT !!!!
Pour le 601E il dispose de ports SFP et SFP+.
Si je me trompe pas l'ONU de chez fs.com est un modèle SFP ?
Sauf si c'est la version XGPON....
Pour FortiOS en version 7.6 c'est la bonne version pour :
- faire la CoS directement depuis le FGT
- ajouter les options DHCPv4
- ajouter les options DHCPv6 (dispo depuis la 7.6 uniquement)
Par contre la 7.6 est jeune (FEATURE, elle sera en MATURE vers la 7.6.5 pas avant) du coup il y a encore qq bugs et conso des mémoires.
Lors de mes tests une bonne alternative est de garder ton 601E et de mettre devant un Mikrotik CRS305 pour faire l'interface entre ton ONU et le FGT (Mikrotik est plus souple sur la certification des SFP/SFP+ que Fortinet) et c'est le Mikrotik qui te fait à la volée ta CoS...
-
Depuis quelques années chez Fortinet, j'ai encore jamais vu de tel RAT !!!!
Pour le 601E il dispose de ports SFP et SFP+.
Si je me trompe pas l'ONU de chez fs.com est un modèle SFP ?
Sauf si c'est la version XGPON....
Pour FortiOS en version 7.6 c'est la bonne version pour :
- faire la CoS directement depuis le FGT
- ajouter les options DHCPv4
- ajouter les options DHCPv6 (dispo depuis la 7.6 uniquement)
Par contre la 7.6 est jeune (FEATURE, elle sera en MATURE vers la 7.6.5 pas avant) du coup il y a encore qq bugs et conso des mémoires.
Lors de mes tests une bonne alternative est de garder ton 601E et de mettre devant un Mikrotik CRS305 pour faire l'interface entre ton ONU et le FGT (Mikrotik est plus souple sur la certification des SFP/SFP+ que Fortinet) et c'est le Mikrotik qui te fait à la volée ta CoS...
C’est le principe avec les RAT , ils passent inaperçu…
https://se.security.ntt/en/massive-cyber-breach-fortigate-devices-exploited-by-rat/
-
Je relance un peu le sujet, je viens de recevoir un FGT-601E monté en 7.6.0
pour le moment je bloque un peu, l'interface SFP+ (X1) reste en down avec l'onu FS.COM
Pour l’histoire SFP vs SFP+, Hitech39 indique qu’il utilise le port X1.
Celui-ci ne supporte pas les SFP classiques !
C’est sur ce point que j’ai répondu !
-
oui c'est la version SFP en 2.5Gbp (pour le moment Orange est encore en GPON sur mon secteur).
J'ai testé sur le port 9 (SFP classique), sans succés non plus.
Effectivement mettre un switch devant pour mieux géré était une de mes options, le CRS305 est commandé, je verrai vendredi a sa réception.
-
J'avais un CRS236 qui trainait, en attendant le CRS305, c'est tout bon avec, le forti récupère bien l'IP sur le VLAN 832
-
J'avais un CRS236 qui trainait, en attendant le CRS305, c'est tout bon avec, le forti récupère bien l'IP sur le VLAN 832
Bonsoir , c’est cool .
Je repense à ma question sur la conso 😅.
Est-ce que t’as une prise connecté ( mesurant la conso ) ou un wattmètre ?
Je suis curieux de savoir combien consomme la
Bête .
En te remerciant par avance !
-
J'ai pas l'information aussi fine, la PDU sur laquelle il est branché me donne la conso pour un groupe de 12 prises, mais comme le CPU se tourne les pouces pour le moment on est encore loin de la conso moyenne annoncée de 129W.
-
J'ai pas l'information aussi fine, la PDU sur laquelle il est branché me donne la conso pour un groupe de 12 prises, mais comme le CPU se tourne les pouces pour le moment on est encore loin de la conso moyenne annoncée de 129W.
Thanks !
Mais encore ? 😅
60wh ?
Pour info , tu ne devrais pas pouvoir faire grand chose en dehors du mode firewall de base et du vpn IPSec ( si tu n’as pas de contrat …. sic…. ).
-
Bonjour à tous
Concernant le remplacement de la livebox par un fortigate, est-ce qu'au final, certains ont réussis à configurer leur fortigate directement sur la fibre orange (avec sfp ONT) avec l'ipv6 de fonctionnel ?
J'ai depuis des années une livebox 5 + fortigate devant mon infra (3 servers proxmox, 2 nas, firewall, switch, AP). Ca fonctionnait très bien (ipv6 également) jusqu'à ce que je découvre dernièrement que la livebox ne suit plus dès qu'on commence à dépasser environs 12 000 sessions ce qui créer des lenteurs réseau même si le débit internet reste très faible...
C'est depuis ce moment la que je regarde pour la remplacer par le fortigate directement.
J'ai eu un Fortigate de prêt à mon travail ayant 2 interface sfp (modèle 81F) et par chance, j'ai toujours le SFP ONT qu'orange m'avait donné pour mon ancienne livebox 4. Il est correctement reconnu par le fortigate ce qui est une bonne nouvelle.
J'ai fait des tests dimanche avec le vlan 832 et les options dhcp 60, 77 et 90 récupérées à l'aide de LiveBoxInfo, mais sans succès pour obtenir au minimum une ipv4 sur le forti en v7.4.
J'ai fait l'upgrade aujourd'hui en v7.6.2 car j'ai cru comprendre que cette version permettait de débloquer des choses pour que tout fonctionne, entre autre l'ipv6. J'ai refais la conf en définissant les options dhcp 60, 77 et 90 pour l'ipv4 et 11, 15, 16 et 17 pour l'ipv6.
N'étant pas chez moi avant le week-end prochain, je ne serais pas à même de faire les nouveaux tests avant.
En attendant, je suis curieux d'avoir les retours de ceux qui auraient vraiment réussi.
Si certains ont réussi, pouvez-vous partager vos conf forti, quel sont les élément important à configurer ?
Si cela ne fonctionne pas avec orange, je serais alors tenté d'aller chez free qui sont ceux qui ont l'air d'être les plus simple pour bypass la box opérateur avec un autre équipement.
Curieux d'avoir de vos retours sachant qu'il n'y a plus eu de news depuis le 13 novembre.
-
Bonjour à tous
Concernant le remplacement de la livebox par un fortigate, est-ce qu'au final, certains ont réussis à configurer leur fortigate directement sur la fibre orange (avec sfp ONT) avec l'ipv6 de fonctionnel ?
J'ai depuis des années une livebox 5 + fortigate devant mon infra (3 servers proxmox, 2 nas, firewall, switch, AP). Ca fonctionnait très bien (ipv6 également) jusqu'à ce que je découvre dernièrement que la livebox ne suit plus dès qu'on commence à dépasser environs 12 000 sessions ce qui créer des lenteurs réseau même si le débit internet reste très faible...
C'est depuis ce moment la que je regarde pour la remplacer par le fortigate directement.
J'ai eu un Fortigate de prêt à mon travail ayant 2 interface sfp (modèle 81F) et par chance, j'ai toujours le SFP ONT qu'orange m'avait donné pour mon ancienne livebox 4. Il est correctement reconnu par le fortigate ce qui est une bonne nouvelle.
J'ai fait des tests dimanche avec le vlan 832 et les options dhcp 60, 77 et 90 récupérées à l'aide de LiveBoxInfo, mais sans succès pour obtenir au minimum une ipv4 sur le forti en v7.4.
J'ai fait l'upgrade aujourd'hui en v7.6.2 car j'ai cru comprendre que cette version permettait de débloquer des choses pour que tout fonctionne, entre autre l'ipv6. J'ai refais la conf en définissant les options dhcp 60, 77 et 90 pour l'ipv4 et 11, 15, 16 et 17 pour l'ipv6.
N'étant pas chez moi avant le week-end prochain, je ne serais pas à même de faire les nouveaux tests avant.
En attendant, je suis curieux d'avoir les retours de ceux qui auraient vraiment réussi.
Si certains ont réussi, pouvez-vous partager vos conf forti, quel sont les élément important à configurer ?
Si cela ne fonctionne pas avec orange, je serais alors tenté d'aller chez free qui sont ceux qui ont l'air d'être les plus simple pour bypass la box opérateur avec un autre équipement.
Curieux d'avoir de vos retours sachant qu'il n'y a plus eu de news depuis le 13 novembre.
Pour la partie IPv4 il faut :
- la CoS 6 sur les requestes DHCP (Request, Renew) et ICMP
- les options DHCPv4
- changer la MAC sur l'interface ou tu as le SFP ONT avec celle de la Livebox
Il est facile avec un Mikrotik style CRS305 de faire l'insertion du bon vlan 832 et la fameuse CoS 6.
Depuis la 7.6 tu dois pouvoir tout faire depuis le FortiGate mais j'ai jamais testé.
Pour la partie IPv6 il faut :
- toujours la fameuse CoS 6
- les options DHCPv6, qui en sont dispos que depuis la 7.6
- changer la MAC aussi
J'ai bien testé en IPv4 sur les différentes versions 7.x mais toujours avec un Mikrotik devant, jamais sans.
-
Pour la partie IPv4 il faut :
- la CoS 6 sur les requestes DHCP (Request, Renew) et ICMP
- les options DHCPv4
- changer la MAC sur l'interface ou tu as le SFP ONT avec celle de la Livebox
Il est facile avec un Mikrotik style CRS305 de faire l'insertion du bon vlan 832 et la fameuse CoS 6.
Depuis la 7.6 tu dois pouvoir tout faire depuis le FortiGate mais j'ai jamais testé.
Pour la partie IPv6 il faut :
- toujours la fameuse CoS 6
- les options DHCPv6, qui en sont dispos que depuis la 7.6
- changer la MAC aussi
J'ai bien testé en IPv4 sur les différentes versions 7.x mais toujours avec un Mikrotik devant, jamais sans.
Avec ce que j'ai compris après avoir relis tout le forum à nouveau, voici la config que j'ai préparé sur mon forti v7.6.2
config system interface
edit "wan1"
set macaddr xx:xx:xx:xx:xx:xx <-- adresse mac de ma livebox
next
edit "orange"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxxxxxxxxx"
next
edit 77
set code 77
set value "xxxxxxxxxxxxxxxxxx"
next
edit 60
set code 60
set value "xxxxxxxxxx"
next
end
config ipv6
set ip6-mode dhcp
config client-options
edit 11
set code 11
set value "xxxxxxxxxxxxxxxxxx"
next
edit 15
set code 15
set value "xxxxxxxxxxxxxxxxxx"
next
edit 16
set code 16
set value "xxxxxxxxxxxxxxxxxx"
next
edit 17
set code 17
set value "xxxxxxxxxxxxxxxxxx"
next
end
set dhcp6-prefix-delegation enable
end
set interface "wan1"
set vlanid 832
next
end
config firewall shaper traffic-shaper
edit "CoS6-Traffic"
set cos-marking enable
set cos 110
set diffserv enable
set diffservcode 110000
next
end
config firewall shaping-policy
edit 1
set name "CoS6-LocalOut"
set traffic-type local-out
set service "DHCP" "ALL_ICMP"
set traffic-shaper "CoS6-Traffic"
set srcaddr "all"
set dstaddr "all"
next
edit 2
set name "CoS6-LocalOut-IPv6"
set ip-version 6
set traffic-type local-out
set service "DHCP6" "ALL_ICMP6"
set traffic-shaper "CoS6-Traffic"
set srcaddr6 "all"
set dstaddr6 "all"
next
end
J'ai hâte de tester cette conf week-end prochain pour voir ce que ça donne.
La ou je ne suis pas sur, c'est que j'ai compris en lisant le sujet "Orange DHCP conformité protocolaire 2023", c'est que les valeurs du paramètre DHCP sont censées être identiques si j'ai bien compris. Hors, celles que je récupère sur l'app LiveBoxInfos ne sont pas tout à fait identique. Les 70 premiers caractères sont identiques. Les 70 autres sont différents. Je ne sais pas si c'est normal.
-
L’option 90 change tous les jours sur la livebox (une partie est aléatoire et sert de sel pour le hachage du mot de passe). Mais comme Orange n’implémente pas d’anti rejeu ce n’est pas un problème d’utiliser toujours la même.
-
L’option 90 change tous les jours sur la livebox (une partie est aléatoire et sert de sel pour le hachage du mot de passe). Mais comme Orange n’implémente pas d’anti rejeu ce n’est pas un problème d’utiliser toujours la même.
En relisant mon message, je m'aperçois qu'il n'était pas complet.
Ce que je voulais dire, c’est que dans le document "Orange DHCP conformité protocolaire 2023", il est indiqué que les valeurs des options DHCP 90 (IPv4) et DHCP 11 (IPv6) doivent être identiques sinon ça peut créer du bazar. Or dans mon cas, je constate qu’elles ne le sont pas complètement alors que c'est les valeur récupéré sur la lvebox : les 70 premiers caractères sont identiques, mais pas les 70 suivants.
Cela dit, votre réponse éclaire bien la situation, car il semble que les 70 derniers caractères servent de sel pour le hachage du mot de passe.
J’en déduis donc que tout est bon tant que les 70 premiers caractères sont bien identiques.
Merci pour cet éclairage !
-
Je reviens pour donner des nouvelles après avoir testé ma configuration (ci-dessus).
Malheureusement, impossible de faire fonctionner quoi que ce soit. Les paquets ne sortent pas en COS 6 malgré la configuration faites pour cela.
Pourtant Fortinet mentionne que cela est possible depuis la v7.4.4 : https://docs.fortinet.com/document/fortigate/7.4.0/new-features/254478/dscp-marking-for-self-generated-traffic-7-4-4
Lorsque j'aurais à nouveau du temps, je m'y replongerais dedans pour m'assurer que j'ai bien tout compris et que je ne loupe pas un détail quelques part. Si je n'y arrive pas, je songerais peut être à changer d'opérateur pour aller chez Free qui à l'air beaucoup plus simple pour remplacer la box par un fortigate.
Si entre temps, vous avez une idées, je suis preneur.
-
@sebd48:
Les champs relatifs à l'option d'authentification sont définis dans le RFC 3118 (https://www.rfc-editor.org/rfc/rfc3118) (réf. Auth. Namespaces (https://www.iana.org/assignments/auth-namespaces/auth-namespaces.xhtml)). Ils sont identiques dans les deux protocoles.
Voir également mon post (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg1102077/#msg1102077).
As-tu spécifié le PCP des paquets ARP ? Je ne connais pas cet environnement (Fortigate).
-
@sebd48:
Les champs relatifs à l'option d'authentification sont définis dans le RFC 3118 (https://www.rfc-editor.org/rfc/rfc3118) (réf. Auth. Namespaces (https://www.iana.org/assignments/auth-namespaces/auth-namespaces.xhtml)). Ils sont identiques dans les deux protocoles.
Voir également mon post (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg1102077/#msg1102077).
As-tu spécifié le PCP des paquets ARP ? Je ne connais pas cet environnement (Fortigate).
Merci pour ces informations.
Cependant, mon problème se situe encore en amont. Je n’arrive pas à configurer le Fortigate pour qu’il marque les paquets en CoS6.
Une fois ce point résolu, je pourrai vérifier si le DHCP fonctionne correctement et m’y pencher si nécessaire.
-
J'ai répondu en remettant en perspective l'affirmation ci-dessous.
Cela dit, votre réponse éclaire bien la situation, car il semble que les 70 derniers caractères servent de sel pour le hachage du mot de passe.
Cette affirmation est fausse.
Pour le reste, je ne connais pas.
-
J'ai répondu en remettant en perspective l'affirmation ci-dessous.
Cette affirmation est fausse.
Pour le reste, je ne connais pas.
D'accord. Alors il faudra m'expliquer pourquoi les valeurs remontées par la livebox pour les options DHCP 90 (IPv4) et DHCP 11 (IPv6) sont différente sur les 70 derniers caractères. Ce sont les valeurs de la livebox directement. C'était pour cette raison que je posais la question.
-
@sebd48 :
Je ne comprends pas ce que tu veux dire. Dans plusieurs de mes captures réseaux, les champs restaient identiques en DHCPv4 et DHCPv6.
L'information d'authentification est codée sur 59 octets. Les 11 octets restants sont définis par le RFC 3118. De plus, le mot de passe ne figure
pas dans le message. Le code de hachage est recalculé via des caractères aléatoires et le mot de passe. En aucun cas les « 70 caractères
servent de sel pour le hachage du mot de passe ». On ne cherche pas à extraire le mot de passe. On vérifie seulement si le code de hachage
intégré dans l'information d'authentification du message correspond à celui calculé. C'est cela qui importe.
-
@sebd48 :
Je ne comprends pas ce que tu veux dire. Dans plusieurs de mes captures réseaux, les champs restaient identiques en DHCPv4 et DHCPv6.
L'information d'authentification est codée sur 59 octets. Les 11 octets restants sont définis par le RFC 3118. De plus, le mot de passe ne figure
pas dans le message. Le code de hachage est recalculé via des caractères aléatoires et le mot de passe. En aucun cas les « 70 caractères
servent de sel pour le hachage du mot de passe ». On ne cherche pas à extraire le mot de passe. On vérifie seulement si le code de hachage
intégré dans l'information d'authentification du message correspond à celui calculé. C'est cela qui importe.
Je viens de relancer l’outil pour lire les informations de la Livebox, et je confirme que les options 11 et 90 sont bien identiques, comme tu l’as dit.
Cependant, ce n’est pas toujours le cas. J’ai encore le copier-coller de la dernière fois, et elles ces les valeurs de ces 2 options pas identiques.
Quoi qu’il en soit, comme Zoc l’a mentionné précédemment, les 70 premiers caractères restent fixes, tandis que ceux de droite changent régulièrement.
-
@sebd48:
Une clarification s'impose.
Je vois qu'on ne désigne pas les choses de la même façon. Les caractères dont tu parles sont des chiffres hexadécimaux. Ces chiffres représentent
un encodage binaire de l'option d'authentification. Traiter un chiffre hexadécimal comme une unité n'est pas la bonne façon pour caractériser un encodage.
L'Humain peut lire naturellement et efficacement un texte constitué de caractères mais ne pourra pas lire littéralement une information codée en binaire.
33 octets sont véritablement variables dans l'option d’authentification : un caractère aléatoire (1), la chaîne aléatoire (16), le code de hachage (16).
Le RFC 3118 spécifie également que l'information d'authentification du protocole « Configuration Token » est de nature opaque. Néanmoins, sur ce
forum, cette valeur « Orange » a été analysé pour comprendre comment la générer (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg1102077/#msg1102077). Jusqu'à preuve du contraire le problème ne vient donc pas de là.
-
@sebd48:
Une clarification s'impose.
Je vois qu'on ne désigne pas les choses de la même façon. Les caractères dont tu parles sont des chiffres hexadécimaux. Ces chiffres représentent
un encodage binaire de l'option d'authentification. Traiter un chiffre hexadécimal comme une unité n'est pas la bonne façon pour caractériser un encodage.
L'Humain peut lire naturellement et efficacement un texte constitué de caractères mais ne pourra pas lire littéralement une information codée en binaire.
33 octets sont véritablement variables dans l'option d’authentification : un caractère aléatoire (1), la chaîne aléatoire (16), le code de hachage (16).
Le RFC 3118 spécifie également que l'information d'authentification du protocole « Configuration Token » est de nature opaque. Néanmoins, sur ce
forum, cette valeur « Orange » a été analysé pour comprendre comment la générer (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg1102077/#msg1102077). Jusqu'à preuve du contraire le problème ne vient donc pas de là.
Merci pour tous ces détails ! Ce n'est pas en effet quelque chose que je métrise donc c'est tout à fait normal si je n'utilise pas les bon termes. Néanmoins, j'ai pense avoir compris ce que j'avais besoin de comprendre pour avancer et c'est cela que j'essayais d'exprimer.
Je tiens quand même à dire que je n'ai jamais dit que les problèmes venaient de la. Je ne comprend pas cette allusion. J'ai simplement posé une question sur un point que je ne métrise pas et qui m'intriguait par rapport à ce que j'avais lu. C'est tout !
Je suis bloqué actuellement au fait que les paquets ne soient pas marqués COS6 en sortie. Je n'en suis malheureusement pas encore à devoir debug les options DHCP. Je serais d'ailleur content si j'arrive à cette étape la un jour :)
Bonne semaine !
-
@sebd48:
Je me suis mal exprimé. Ton problème actuel est de réussir à appliquer la CoS requise pour certains paquets sur un FortiGate.
Ce n'était pas une allusion mais plutôt une manière maladroite de refermer la parenthèse sur l'authentification.
-
Je reviens pour donner quelques nouvelles.
Les derniers tests que j'avais fait avec mon Fortigate en v7.6 pour marquer les paquets DHCP en COS6 avec la conf donnée ci-dessus n'avaient pas été concluant.
J'avais ouvert un ticket chez Fortinet car cela ne me semblait pas normal du fait que ma configuration était bonne. J'ai eu lundi la confirmation du support Fortinet qu'ils ont réussi à reproduire le prob et qu'ils ont escaladés aux dev pour que ce soit fixé dans une prochaine release.
Dès que cela sera fait, je reprendrais les tests.
Donc à tout ceux qui ont un Fortigate et qui veulent tester de remplacer la livebox sans passer par un switch intermédiaire, pour le moment, c'est normal si vous n'y arrivez pas.
-
Je reviens pour donner quelques nouvelles.
Les derniers tests que j'avais fait avec mon Fortigate en v7.6 pour marquer les paquets DHCP en COS6 avec la conf donnée ci-dessus n'avaient pas été concluant.
J'avais ouvert un ticket chez Fortinet car cela ne me semblait pas normal du fait que ma configuration était bonne. J'ai eu lundi la confirmation du support Fortinet qu'ils ont réussi à reproduire le prob et qu'ils ont escaladés aux dev pour que ce soit fixé dans une prochaine release.
Dès que cela sera fait, je reprendrais les tests.
Donc à tout ceux qui ont un Fortigate et qui veulent tester de remplacer la livebox sans passer par un switch intermédiaire, pour le moment, c'est normal si vous n'y arrivez pas.
Pour info tu as le numéro de ticket stp ?
-
Pour info tu as le numéro de ticket stp ?
Envoyé en MP
-
Bonjour,
J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.
Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.
Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.
A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11
- Ajouter une interface VLAN 832 sur le port WAN en DHCP
(http://OdBbPi5HnD.png)
- Editer en CLI pour y ajouter les options client DHCP
edit "orange"
set mode dhcp
config client-options
edit 77
set code 77
set value "xxxxxxxxxxxxxxxxx"
next
edit 60
set code 60
set value "xxxxxxxxxxxxxx"
next
edit 90
set code 90
set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
next
edit 61
set code 61
set value "0xxxxxxxxxxxx"
next
cela a tout de suite fonctionné.
Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?
Débit de 800MB/S
-
Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?
Certains "vieux" équipements coté Orange non encore remplacés ne forcent pas l'utilisation de la CoS.
Le jour où ça cessera de fonctionner tu sauras pourquoi ;)
-
D'ici là j'aurais changé pour autre chose sans doute ou le forti sera compatible
Merci pour l'explication
-
As-tu pu finir et également valider IPv6 ?
Bonjour,
J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.
Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.
Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.
A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11
- Ajouter une interface VLAN 832 sur le port WAN en DHCP
(http://OdBbPi5HnD.png)
- Editer en CLI pour y ajouter les options client DHCP
edit "orange"
set mode dhcp
config client-options
edit 77
set code 77
set value "xxxxxxxxxxxxxxxxx"
next
edit 60
set code 60
set value "xxxxxxxxxxxxxx"
next
edit 90
set code 90
set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
next
edit 61
set code 61
set value "0xxxxxxxxxxxx"
next
cela a tout de suite fonctionné.
Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?
Débit de 800MB/S
-
As-tu pu finir et également valider IPv6 ?
En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x
-
En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x
Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.
Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2
J’ai finalement choisi l’UCG Fiber au lieu du FG90G.
- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.
Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.
Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.
Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.
-
Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.
Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2
J’ai finalement choisi l’UCG Fiber au lieu du FG90G.
- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.
Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.
Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.
Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.
Effectivement depuis la 7.4.2 il faut un contrat de support actif pour pouvoir faire une mise à jour du firmware, sans contrat pas de mise à jour !
Pour les performances un FGT40F sortira 4,4Gbps en performance en mode Firewall avec NAT et 600Mbps si on active toutes les fonctions (déchiffrement de tout le traffic, anti-virus, anti-malware, sandbox, dlp, etc...).
Sur le FGT90G en mode Firewall on est à 28Gbps et son on active toutes les fonctions (Threat protection) on est à 2,2Gbps...
-
Actuellement, j’obtiens un débit de 8,1 Gbit/s en down et en up sans problème avec l’UCG Fiber.
Le débit est la même pour l’IPS.
Je m’en occuperai plus en détail une fois que le nouveau mini serveur avec offload matériel sera installé.
Pour l’instant, en interne, je peux facilement atteindre 20 Gbit/s en traversant avec iperf TCP (et cela reste stable pendant plus de 20 minutes, avec 3 To).
La consommation électrique reste limitée en SFP+/DAC ( 76 à 8wh à plein régime !!)
L’interception SSL/TLS est devenue extrêmement difficile depuis l’avènement de TLS 1.3 et HTTP/3 - QUIC. De plus, la plupart des outils professionnels ne peuvent pas être interceptés.
Un exemple récent de use case QUIC / 443 qui rend obsolètes les méthodes d’interception traditionnelles :
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-over-quic?tabs=windows-admin-center%2Cpowershell2%2Cwindows-admin-center1
Pour sécuriser et contrôler le contenu des données échangées, une approche distribuée a été nécessaire.