La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Pablo le 16 novembre 2016 à 22:42:48
-
Salut,
j'ai lu pas mal des threads dans le forum (mais pas le 100% donc je m'excuse si la réponse à ma question existe déjà)...
Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom. Est-ce que on peut configurer pfSense ou Linux ou meme un ERL pour passer l'adresse public (IPv4; IPv6 désirable) dans la meme façon qu'on configure un modem en mode bridge?
L'idée c'est ça:
(https://www.dropbox.com/s/6bz91mjdr87awkg/livebox%20remplacer%20fortigate%20topo.png?raw=1)
Merci :)
-
en IPv6 oui sans probleme car Orange fournit un /56 donc on peut router sans problème un ou plusieurs /64 vers le Fortigate.
en IPv4 il faut faire du double NAT (beurk). un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).
peut-etre un solution avec un bridge L2 et un 'DHCP proxy' ? mais je n'ai jamais fait ce genre de truc...
mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?
-
on peut router sans problème un ou plusieurs /64 vers le Fortigate.
La livebox 4 sait déléguer des préfixes ? (vraie question)
Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.
-
La livebox 4 sait déléguer des préfixes ? (vraie question)
Si c'est comme sur la Livebox play, la box utilise le premier /64 depuis le /56 délégué en amont, et se contente de faire du SLAAC avec ça.
Non la lb4 a le même fonctionnement que la play de mémoire
-
La livebox 4 sait déléguer des préfixes ? (vraie question)
non c'est comme la lb3.
On parlait de mettre un ERL ou un Linux ou un Pfsense a la place de la livebox. Eux savent déléguer des prefix.
-
Je peux utiliser mon Fortigate avec la connexion PPPoE mais pas avec le DHCP car il ne supporte pas les options custom.
Peux tu préciser le modèle du Fortigate ? Version du firmware ?
Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222 (http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222)
Pour la partie ipv6 ils devaient intégrer le dhcp-pd au firmware 5.4, après je n'ai pas trop suivi.
-
un ERL ou un PfSense ne peut 'bridger' l'IPv4 qu'il reçoit par DHCP vers une machine du LAN (le forti).
Dommage :(
mais avant tout t'es sur qu'on ne peut rajouter des "custom DHCP options" dans le Fortigate?
Oui j'avait recherché partout... La version 5.6 beta va sortir bientot, je vais recuperer l'admin guide pour voir si ils ont ajouté quelque chose à ce sujet.
Peux tu préciser le modèle du Fortigate ? Version du firmware ?
FortiWifi 90D, 5.4.1
Sinon pour les options DHCP ipv4 essaye le lien ci-après. Ça fonctionne à mon taff. (firmware 5.2.x)
http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222 (http://kb.fortinet.com/kb/viewContent.do?externalId=FD35222)
J'avait regardé cet article mais c'est pour le serveur DHCP, non?
-
Ah dommage que tu ne réponde que maintenant. Un mec de Fortinet était dans mes locaux il y a 30min.
J'avait regardé cet article mais c'est pour le serveur DHCP, non?
Non regarde bien c'est pour la partie dhcp client.
Par contre je ne connais pas la version 5.4.x, mais regarde si tu as "additional options" les dans le menu : system --> network --> interface --> "interface wan"
-
Non regarde bien c'est pour la partie dhcp client.
Je m'etais basé sur cette discussion: https://forum.fortinet.com/FindPost/135555
Mais je vais regarder à nouveau.
-
En v5.4 :
Il faut brancher ONT sur le port wan1 de votre boitier fortigate 90D
config system interface
edit "wan1"
set mode static
unset allowaccess
unset role wan
next
edit "wan1.835"
set vdom "root"
set mode pppoe
set username "fti/********"
set password ********
set interface "wan1"
set vlanid 835
set role wan
next
end
Le boitier devrait recevoir une adresse ip publique après une minute :
FGT # get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default
S* 0.0.0.0/0 [5/0] via ***.***.***.***, ppp1
C ***.***.***.***/32 is directly connected, ppp1
C 192.168.1.0/24 is directly connected, lan
C ***.***.***.***/32 is directly connected, ppp1
Par contre, je n'ai pas testé la télé et le téléphone nécessite d'emuler un pppoe server ce que ne peut réaliser un fortigate.
-
edit "wan1.835"
set vdom "root"
set mode pppoe
set username "fti/********"
set password ********
set interface "wan1"
set vlanid 835
set role wan
next
end
Oui, avec le PPPoE ça marche, jamais eu des soucis.
Par contre, le problème est en mode DHCP où on peut pas specifier les options custom.
-
config system dhcp server
edit 1
set dns-service default
set default-gateway 192.168.1.1
set interface "internal"
config ip-range
edit 1
set start-ip 192.168.1.100
set end-ip 192.168.1.200
next
end
config options
edit 1
set code 77
set type ip
set ip "192.168.1.1"
next
end
set vci-match enable
set vci-string "sagem"
next
end
you can change vci under global dhcp config and if you need to set 77 dhcp option use "config options".
-
config system dhcp server
C'est de la configuration du serveur dhcp que tu nous montre là.
Ce qui nous intéresse c'est la partie client
-
et la ?
config system interface
edit "wan2"
set vdom "root"
set mode dhcp
set type physical
set dhcp-client-identifier "sagem"
next
end
-
Presque , il manque les options 77 et 90 :D
-
Je remonte un peu le sujet mais depuis le firmware 6.4 des fortigate, il est possible de spécifier des options dhcp,
https://docs.fortinet.com/document/fortigate/6.4.0/new-features/796636/dhcp-client-options
Quelqu'un aurait un setup compatible 6.4 pour tester tout ça ? :)
merci !
-
Pas teste avec Orange encore, mais si quelqu'un a besoin d'aide je peux aider par MP en remote :)
-
Je ne vois rien d'équivalent pour le DHCPv6, donc je doute que ce soit possible d'avoir de l'IPv6 avec un Fortigate.
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
-
Hello,
Je viens de faire l’acquisition d’un FortiGate pour remplacer ma Livebox 4 Fibre Sosh.
Le FortiGate tourne en 6.4.2.
Je cherche à me connecter en DHCP V4, du moins dans un premier temps.
Avez-vous réussi de votre côté ?
Merci.
-
Bonjour,
Malheureusement non.... Cf ce qui est indiqué 2 posts au dessus. Le forti ne tag pas les trames DHCPv4 en DSCP donc cela ne fonctionne pas...
-
Je devrai bientôt vous rejoindre, j'ai 3 Fortigate récemment installés et bientôt 5 de plus, pour du SD-WAN avec sdsl + ftth fibre orange.
Je veux que mes forti portent la connexion wan et l'ip fixe en direct (pas de livebox avec double-nat et &)
Une première livebox installé, malheureusement une v5 avec ONT intégré, il faut donc que j'obtienne d'Orange un ONT externe (boitier ONT ou ONT SFP, mais enregistré dans leur système) ou un changement pour une livebox v4 (qui aura donc un ONT externe)
Pppoe, voué à disparaitre de ce qu'on entends (des sources fiables?), et avec aussi ses défauts, ou dhcp-client avec les options, ce sujet sera précieux pour avancer ;)
-
Le probleme du PPPOE sur les Fortigate est qu'il n'est pas traité en ASIC... il est traité en CPU donc perfs minables sur les petits boitiers avec SoC.
-
Ok, en effet ça peut être gênant, sur le site principal nous avons un 101F, mais sur les petits sites des 40F, en v6.2.5 build1142 (GA), ils n'ont pas beaucoup de fonctions gourmandes activées (en tous cas pour l'instant...), mais ça viendra au fur et à mesure de la sécurisation du SI. Le pppoe permettra tout de même de valider que la connexion fonctionne, avant de s'écharper sur le dhcp client :P
-
Le PPPoE fonctionne à 1 Gb/s depuis les versions E.
Par contre, quand on active les filtres, ça tombe beaucoup plus vite que si on était sur une interface routée, car l'ASIC ne peut rien accélérer.
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
Faut-il tagguer tout le traffic en CS6, ou seulement les requêtes DHCP ?
-
Seulement DHCP, sinon débit très limité. La CoS 802.1p (attention ce n'est pas la prio IP DSCP) à 6 favorise la latence, et c'est forcément au détriment du débit.
-
Bonjour,
Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?
-
Bonjour,
Je viens de rejoindre le forum et je me demande si c'est possible de remplacer la livebox v5 avec un fortigate sans ONT donc en passant directement avec un SFP ?
Non, il faut un ONT, soit celui intégré à l'intérieur de la livebox v5 (mais alors le fortigate n'est plus en direct), soit l'ONT au format "SFP" fourni par Orange avec les livebox v4 (déjà pas évidente à obtenir en 2020 d'après les retours sur ce forum, est-ce encore possible en 2021 ?)
-
Bonne nuit,
De Barcelone, nous rencontrons ces mêmes problèmes. Orange dit que l'adressage DHCP fonctionne sur le VLAN 20 ou 832.
Nous avons une livebox 6+ avec ONT intégré et notre fortigate est un 200E
Lorsque nous mettons la livebox en mode ONT, on suppose que le trafic passe par le port 4 vers notre pare-feu, mais avec DHCP il n'y a aucun moyen de nous connecter
J'ai lu ici qu'il peut être configuré comme PPPoE?
Pouvez-vous me dire les données PPPoE?
Dans le cas où ce n'est pas possible avec PPPoE et c'est uniquement possible avec DHCP, quelles seraient les étapes à suivre?
Merci beaucoup pour votre travail
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
Hello neo_hijacker,
A quoi coresponde te set value ?
Cordialement
-
@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:
SentOption : 60,61,77,90
SentOption 60 : 736167656d <-- correspond en ASCII à : sagem
SentOption 61 : 01XXXXXXXXXXXX <--- correspond à l'adresse MAC de la livebox
SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4
SentOption 90 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange
En ipv6 c'est le meme principe avec les options 11,15,16 et 17
Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'il faut envoyer.
Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5 (https://lafibre.info/images/routeur/LiveboxInfov2.0.15.zip)
LiveBoxInfo 1.9.5 pour LiveBox 2 (https://lafibre.info/images/routeur/LiveboxInfov1.9.5.zip)
LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4 (https://lafibre.info/images/routeur/LBmonitor2.6.4.zip)
LBMonitor 2.4 pour LiveBox 2 (https://lafibre.info/images/routeur/LBmonitor2.4.zip)
-
@vella77220
La livebox en ipv4 envoie 4 options DHCP, qui sont les 60,61,77 et 90.
Si tu utilises Liveboxinfos, dans l'onglet MIBS tu verras tout en bas les valeurs de ces options, que tu peux récupérer et utiliser dans ta config, c'est plus simple et rapide que de sniffer le réseau:
SentOption : 60,61,77,90
SentOption 60 : 736167656d <-- correspond en ASCII à : sagem
SentOption 61 : 01XXXXXXXXXXXX <--- correspond à l'adresse MAC de la livebox
SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 <--- correspond à +FSVDSL_livebox.Internet.softathome.Livebox4
SentOption 90 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx <-- correspond à la chaine d'authentification à la sauce Orange
En ipv6 c'est le meme principe avec les options 11,15,16 et 17
Elles ne sont pas toutes indispensables pour réussire à s'authentifier et obtenir une ip, mais si on veut faire exactement comme la livebox ce sont bien ces 4 options qu'ils faut envoyer.
Edit Vivien : Version récupérée via Archive.org
Liveboxinfo
LiveBoxInfo 2.0.15 pour LiveBox 3, 4 et 5 (https://lafibre.info/images/routeur/LiveboxInfov2.0.15.zip)
LiveBoxInfo 1.9.5 pour LiveBox 2 (https://lafibre.info/images/routeur/LiveboxInfov1.9.5.zip)
LBMonitor
LBMonitor 2.6.4 pour LiveBox 3 et 4 (https://lafibre.info/images/routeur/LBmonitor2.6.4.zip)
LBMonitor 2.4 pour LiveBox 2 (https://lafibre.info/images/routeur/LBmonitor2.4.zip)
Merci beaucoup.
Par contre je ne savais pas qu'il y avait Option 61.
Merci pour l'info.
-
Dans l'attente d'une prochaine mise à jour de FortiOS qui devrait permettre de virer les deux Livebox et de faire la CoS 6 directement depuis le FortiGate et d'avoir les options pour le client DHCP en IPv6, voila ma configuration actuelle :
Orange Fibre Grand Public -> ONT LEOX -> Livebox 5 ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> Livebox Pro 5 -> FortiGate Firewall
La version future sans les Livebox
Orange Fibre Grand Public -> ONT LEOX ->FortiGate Firewall
Orange Fibre Pro -> ONT LEOX -> FortiGate Firewall
Il ne restera plus qu'à remplacer les premiers boitiers ONT LEOX qui sont en Giga Ethernet par les futur modèles prévus cette année qui seront en 2.5G Ethernet.
Derrière le Firewall avec un lien double 2x10G j'ai un Switch avec de l'Ultra PoE (60W) et des ports mG (100M, 1G, 2.5G, 5G et 10G) en ethernet
Ensuite j'ai plusieurs bornes Wifi 802.11ax (Wifi 6) ou chaque borne est en Ultra PoE et un lien ethernet 2.5G
FortiGate Firewall -> Liaison 2x 10G -> Fortinet Switch -> Liaison 2,5G -> Fortinet AP (Borne Wifi)
J'ai fait un test depuis mon iPhone 13 en Wifi et j'ai été surpris du résultat pour du Wifi avec en moyenne de 1Gbps et par moment 1,2Gbps en pointe...
J'ai fait le test avec l'app Fast de Netflix car c'est celle qui arrive le mieux à exploiter le maximum du potentiel de mon installation.
-
J'ai discuté avec Orange Business Service, ils vont pouvoir m'installer une FTTH (offre Business Internet Entreprise Fibre Max, à peine plus chère qu'une ftth grand public, mais débit moins élevé: 500/200M pour l'instant, 1G/500M prévu fin 2022), en mode bridge :P : cela nécessite une "prestation sur mesure" (payante, c'est sorti à moins de 300€, et il a fallu 1 à 2 mois de délai pour valider la demande), mais cela permets de rendre la configuration officielle et pérenne pour leur service technique (support, futures évolutions, etc...)
-
J'ai discuté avec Orange Business Service, ils vont pouvoir m'installer une FTTH (offre Business Internet Entreprise Fibre Max, à peine plus chère qu'une ftth grand public, mais débit moins élevé: 500/200M pour l'instant, 1G/500M prévu fin 2022), en mode bridge :P : cela nécessite une "prestation sur mesure" (payante, c'est sorti à moins de 300€, et il a fallu 1 à 2 mois de délai pour valider la demande), mais cela permets de rendre la configuration officielle et pérenne pour leur service technique (support, futures évolutions, etc...)
Aujourd'hui j'ai une offre Orange Pro Fibre avec 2Gbps en descendant et 1Gbps en montant (avec le LEOX actuel qui plafonne à 1Gbps) pour moins de 50€HT par mois, quand tu dis à peine plus chère tu peux préciser ?
-
Aujourd'hui j'ai une offre Orange Pro Fibre avec 2Gbps en descendant et 1Gbps en montant (avec le LEOX actuel qui plafonne à 1Gbps) pour moins de 50€HT par mois, quand tu dis à peine plus chère tu peux préciser ?
65 en tarif public, et 51 via un tarif négocié par un gros groupement d'achat.
Je suis un peu triste de ne pas avoir les débits d'une fibre "Orange Pro" (j'en ai aussi, sur d'autres sites où je peux me permettre de mettre un forti derrière le NAT d'une livebox), mais 1G/500M à ce prix là est déjà intéressant pour compléter la FTTO que j'ai déjà.
-
65 en tarif public, et 51 via un tarif négocié par un gros groupement d'achat.
Je suis un peu triste de ne pas avoir les débits d'une fibre "Orange Pro" (j'en ai aussi, sur d'autres sites où je peux me permettre de mettre un forti derrière le NAT d'une livebox), mais 1G/500M à ce prix là est déjà intéressant pour compléter la FTTO que j'ai déjà.
La bonne nouvelle est que bientôt on pourra avoir un Foritgate sans la Livebox avec juste un ONT/GPON de type SFP ou Ethernet (comme le LEOX) !!
En cours de développement la CoS 6 pour les requêtes initiées depuis le FortiGate comme un DHCP Request ou Solicit et les options clients pour le DHCPv6 Solicit (elles sont sur le DHCPv4 Request)...
Rien n'est encore validé en interne mais cela est bien parti pour avoir cela d'ici quelques mois, je ferai un post quand j'aurai des news.
-
Sinon il y a toujours la solution du switch en amont pour tagger les requêtes DHCP en prio 6, ça rend le tout transparent pour le côté Fortigate, je fais ça actuellement avec mon pfSense et un Mikrotik RB260GS devant.
Hello @Hakujou comment tu fais ça ? ça m'interesserais de savoir la procedure pour le faire, est-ce que cette solution est fiable ?
-
Bonjour,
Je fais parti des demandeurs de cette feature, arrivée en 6.2 "special build" et en 6.4 GA :-)
Malheureusement pour le bypass Orange, le démon DHCP du Fortigate fonctionne en DSCP CS0.
Or, Orange répond mais en CS6, ce que le démon du FGT ignore... et il spamme de requêtes. A un moment, Orange cesse de répondre, trop de flood.
Et si j'en crois cette KB (https://kb.fortinet.com/kb/documentLink.do?externalID=FD48260), le FortiGate émet tout le temps en CS0 et cela ne peut pas être changé... (contrairement au trafic traversant le FW)
J'ai essayé d'appliquer des shapers pour modifier le marquage mais rien n'y fait.
Peut être faut-il trouver une bidouille avec 2 VDOM (un en NAT pour internet, l'autre en transparent pour modifier le marquage a la volée...)
Reste le PPPOE sur 835, mais qui passe en CPU au lieu de ASIC... et déconnexion tous les 7 jours...
Voici ma conf pour ceux que ca intéresse :
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "xxxxxxxxxxx"
next
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
next
edit 60
set code 60
set value "736167656d"
next
end
set allowaccess ping
set dns-server-override disable
set interface "wan2"
set vlanid 832
next
end
Messieurs/mesdames bonjour,
Je viens de virer mon Mikrotik pour un Fortigate 40F.
Dans les 2 cas, j'ai la situation suivante:
- Orange Pro avec ONT uniquement (pas de Livebox... enfin si mais dans un carton :D )--> Branché en ethernet sur le routeur
- Box SFR THD de merde --> Mode bridge, branchée en ethernet sur le routeur
Je vous remercie, Neo_Hijacker, pour la syntaxe (je ne suis pas très calé en Fortigate, et je l'ai acheté justement pour pouvoir servir mes clients ;) )
Ayant repris les 90/77 de mon futur-ex-Mikrotik, la prise DHCP fonctionne parfaitement en VLAN832.
<-- est content
Edit: PS: il ne me manque plus qu'à récupérer l'IPv6 Orange et faire chier SFR pour avoir de l'IPv6 également.
-
Messieurs/mesdames bonjour,
Je viens de virer mon Mikrotik pour un Fortigate 40F.
Dans les 2 cas, j'ai la situation suivante:
- Orange Pro avec ONT uniquement (pas de Livebox... enfin si mais dans un carton :D )--> Branché en ethernet sur le routeur
- Box SFR THD de merde --> Mode bridge, branchée en ethernet sur le routeur
Je vous remercie, Neo_Hijacker, pour la syntaxe (je ne suis pas très calé en Fortigate, et je l'ai acheté justement pour pouvoir servir mes clients ;) )
Ayant repris les 90/77 de mon futur-ex-Mikrotik, la prise DHCP fonctionne parfaitement en VLAN832.
<-- est content
Edit: PS: il ne me manque plus qu'à récupérer l'IPv6 Orange et faire chier SFR pour avoir de l'IPv6 également.
Bonjour @patrickbeau
A aujourd'hui sur un Fortigate même avec le dernier OS (7.2.1) vous pouvez faire toutes les options DHCPv4 (60,61, 77 et 90) mais par contre vous ne pouvez pas :
- envoyer la CoS 6 pour les requêtes DHCPv4 Request et DHCPv6 Sollicit (il y a une demande de Feature Request qui est toujours en attente !)
- vous ne pouvez pas ajouter d'option en DHCPv6, non supporté à ce jour (idem une demande de Feature Request est aussi en cours)
Du coup je me demande commnet vos pouvez vous connecter avec le FortiGate et Orange en IPv4 ? Sinon vous êtes sur une plaque (chanceux) ou vous n'avez pas/plus besoin de la COS 6
Par contre IPv6 avec Orange et FortiGate impossible à aujourd'hui....
Nicolas
-
Bonjour @patrickbeau
A aujourd'hui sur un Fortigate même avec le dernier OS (7.2.1) vous pouvez faire toutes les options DHCPv4 (60,61, 77 et 90) mais par contre vous ne pouvez pas :
- envoyer la CoS 6 pour les requêtes DHCPv4 Request et DHCPv6 Sollicit (il y a une demande de Feature Request qui est toujours en attente !)
- vous ne pouvez pas ajouter d'option en DHCPv6, non supporté à ce jour (idem une demande de Feature Request est aussi en cours)
Du coup je me demande commnet vos pouvez vous connecter avec le FortiGate et Orange en IPv4 ? Sinon vous êtes sur une plaque (chanceux) ou vous n'avez pas/plus besoin de la COS 6
Par contre IPv6 avec Orange et FortiGate impossible à aujourd'hui....
Nicolas
@nscheffer,
Mon offre Orange Pro avec IP fixe date d'avril 2020.
Le routeur est sorti du carton, mise à jour vers le dernier OS.
61 ne sert à rien. 60, 77 et 90 sont configurés.
Voici ma configuration, avec les chaines 77/90 non divulguées ;)
Ca fonctionne pour l'ipv4, et je ne vous cache pas que je ne vais pas me laisser faire pour l'IPv6. Je vais continuer à chercher car c'est essentiel pour moi (j'ai un cluster minio que je veux configurer en IPv6).
config system interface
edit "orange832"
set vdom "root"
set mode dhcp
config client-options
edit 77
set code 77
set value "2b4653564470923756UDYFZJZ3U239U7592e4c697665626f7833" (oui ce n'est pas la vraie chaine ;) )
next
edit 60
set code 60
set value "736167656d"
next
edit 90
set code 90
set value "00000000000000000000001a09000005580102460724Y24039TYU032U44397967" (oui ce n'est pas la vraie chaine ;) )
next
end
set alias "orange"
set device-identification enable
set monitor-bandwidth enable
set role wan
set snmp-index 5
config ipv6
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 23
next
end
end
set interface "wan"
set vlanid 832
next
end
-
Bonjour,
Je me permets de remonter ce fil suite aux différentes manips que j'ai réalisé avec succès ces derniers jours.
J'ai réussi à faire fonctionner un GPON-ONU-34-20BI directement dans un Fortigate 500D en 6.4.14 en suivant les explications de akhamar (https://github.com/akhamar/orange-2500mbps-G010SP) et de patrickbeau.
La connexion en succès à été réalisée à Lille sur une ligne installée fin Février 2023.
Le module inséré ne semble pas être reconnu officiellement par le firewall, mais le port monte une fois l'ONU démarré.
La configuration d'une interface VLAN832 en DHCP avec les options 60, 77 et 90 permet de récupérer une IP publique en v4.
Je n'ai pas d’utilité de l'IPv6, je n'ai pas cherché à faire fonctionner le dialogue mais effectivement ca ne semble pas être aussi simple que pour l'IPv4.
Le fait que le Forti accepte le module optique est intéressant, ca simplifie l'installation et ca permet de maintenir la température de l'ONU à une valeur plus correcte, je pense qu'elle est descendue de 15-20°C par rapport au MC220L.
-
Bonjour,
Je me permets de remonter ce fil suite aux différentes manips que j'ai réalisé avec succès ces derniers jours.
J'ai réussi à faire fonctionner un GPON-ONU-34-20BI directement dans un Fortigate 500D en 6.4.14 en suivant les explications de akhamar (https://github.com/akhamar/orange-2500mbps-G010SP) et de patrickbeau.
La connexion en succès à été réalisée à Lille sur une ligne installée fin Février 2023.
Le module inséré ne semble pas être reconnu officiellement par le firewall, mais le port monte une fois l'ONU démarré.
La configuration d'une interface VLAN832 en DHCP avec les options 60, 77 et 90 permet de récupérer une IP publique en v4.
Je n'ai pas d’utilité de l'IPv6, je n'ai pas cherché à faire fonctionner le dialogue mais effectivement ca ne semble pas être aussi simple que pour l'IPv4.
Le fait que le Forti accepte le module optique est intéressant, ca simplifie l'installation et ca permet de maintenir la température de l'ONU à une valeur plus correcte, je pense qu'elle est descendue de 15-20°C par rapport au MC220L.
Bonjour,
Comment tu fais la CoS 6 sur un FGT500D en 6.4 ?
Depuis la 7.4 que j'ai installé on devrait pouvoir faire une CoS native depuis le FortiGate mais j'ai pas encore testé.
Pour IPv6 a aujourd’hui même avec les dernières versions en 7.4 on ne peut pas ajouter des options sur la config du DHCPv6.
Pour le moment IPv6 avec L'ONT directement sur un FortiGate c'est pas possible.
Nicolas
-
Très honnêtement je n'ai aucune idée de comment est gérée la CoS 6.
Par contre j'aimerais bien le savoir parce que mon installation est ici en phase de construction.
Elle sera déployée sur un autre site par la suite et j'aimerais m'assurer que ca fonctionnera aussi à la cible.
Il me semble avoir lu quelque part sur le forum que l'ONT de chez FS GPON-ONU-34-20BI était plug & play et j'avais cru comprendre que c'est lui qui s'en débrouillait, mais pas moyen de retrouver le fil de discussion où j'ai lu ca.
Les FGT500D arrivent en fin de vie, et ne reçoivent pas les firmwares en 7.x.x, ils s'arrêtent à la branche 6.4.
En tout cas si quelqu'un a des infos je suis preneur :D
-
Très honnêtement je n'ai aucune idée de comment est gérée la CoS 6.
Par contre j'aimerais bien le savoir parce que mon installation est ici en phase de construction.
Elle sera déployée sur un autre site par la suite et j'aimerais m'assurer que ca fonctionnera aussi à la cible.
Il me semble avoir lu quelque part sur le forum que l'ONT de chez FS GPON-ONU-34-20BI était plug & play et j'avais cru comprendre que c'est lui qui s'en débrouillait, mais pas moyen de retrouver le fil de discussion où j'ai lu ca.
Les FGT500D arrivent en fin de vie, et ne reçoivent pas les firmwares en 7.x.x, ils s'arrêtent à la branche 6.4.
En tout cas si quelqu'un a des infos je suis preneur :D
J'avais compris que tu avais ton accès internet au travers de ton FGT500D avec un ONT de chez FS et que le tout fonctionne !
Pour avoir fait pleins de tests autour du FortiGate si tu es < 7.4 tu ne pourras pas faire la Cos6 avec ton FortiGate car il ne sait pas faire de la CoS6 pour un paquet emit depuis le FortiGate mais seulement pour un paquet le traversant.
Tu vas être obliger d'insérer un élément comme un Mikrotik CRS305 pour faire cette fameuse CoS 6.
Si tu passes en 7.4 (mais pas possible si une série D, à partir de la série E) tu devrais pouvoir faire cette CoS 6 mais je n'ai pas encore fait le test.
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/371960/traffic-shaping-extensions
Pour la partie IPv6 aujourd'hui c'est impossible car tu ne peux pas ajouter d'options sur le DHCPv6.
-
J'avais compris que tu vais ton accès internet au travers de ton FGT500D avec un ONT de chez FS et que le tout fonctionne !
Ah si si, ca ca fonctionne très bien.
J'ai mon ONT FS qui est inséré directement dans le Forti 500D, un VLAN832 de configuré qui récupère une IP publique et le flux qui transite sans soucis.
Ma config est la suivante:
- Le Forti porte le réseau LAN et fourni un serveur DHCP à mon PC connecté dessus.
- Un port du Forti accueille l'ONT et gère la partie WAN
- Une règle de flux LAN_to_WAN qui source NAT le trafic sortant avec l'IP de l'interface VLAN 832.
Par contre, je n'ai que peu de connaissances sur le fonctionnement des réseaux opérateurs et des ONT.
C'est ca que je cherche à mieux comprendre.
Est-ce que la CoS 6 est utilisée partout ? Est-ce qu'elle est gérée nativement par cet ONT ?
J'ai lu plus haut que tu disais que potentiellement sur certaines plaques la CoS 6 n'était plus utilisée.
Comment est ce que je pourrais vérifier ca ?
Ici ca fonctionne bien, mais je ne sais pas vraiment pourquoi, parce que de ce que je lis sur le net, ca ne devrait pas ^^
A vrai dire l'IPv6 ne me manque pas, je préfère travailler en IPv4 bien plus human friendly ;D
-
Non, aucun ONT ne peut gérer la CoS à la place du routeur.
Et au contraire elle est maintenant obligatoire partout (hors bug)…
-
Ah si si, ca ca fonctionne très bien.
J'ai mon ONT FS qui est inséré directement dans le Forti 500D, un VLAN832 de configuré qui récupère une IP publique et le flux qui transite sans soucis.
Ma config est la suivante:
- Le Forti porte le réseau LAN et fourni un serveur DHCP à mon PC connecté dessus.
- Un port du Forti accueille l'ONT et gère la partie WAN
- Une règle de flux LAN_to_WAN qui source NAT le trafic sortant avec l'IP de l'interface VLAN 832.
Par contre, je n'ai que peu de connaissances sur le fonctionnement des réseaux opérateurs et des ONT.
C'est ca que je cherche à mieux comprendre.
Est-ce que la CoS 6 est utilisée partout ? Est-ce qu'elle est gérée nativement par cet ONT ?
J'ai lu plus haut que tu disais que potentiellement sur certaines plaques la CoS 6 n'était plus utilisée.
Comment est ce que je pourrais vérifier ca ?
Ici ca fonctionne bien, mais je ne sais pas vraiment pourquoi, parce que de ce que je lis sur le net, ca ne devrait pas ^^
A vrai dire l'IPv6 ne me manque pas, je préfère travailler en IPv4 bien plus human friendly ;D
Quelle chance que tu as !
Touche à rien... et ne dis rien à Orange
-
J'ai creusé un peu quand même cet aprem pour essayer de comprendre pourquoi ca fonctionnait :D
Avec un MC220L pour accueillir l'ONT, connecté à un switch, un port de ce switch connecté au port 4 de la Livebox et un autre port du switch en mirroring vers un PC j'ai capturé des trames pour analyser la priorité appliquée sur les paquets en 802.1Q.
J'ai fait la même chose en connectant le Fortigate ensuite en remplacement le la Livebox.
On observe bien que la Livebox [EDIT] priorise des paquets ARP [/EDIT], où le Forti ne priorise aucunement les paquets sortant, et laissent la CoS par défaut à 0.
Les paquets qui entrent sont pour la majorité en CoS 0, certains en CoS 4 pour des flux voix ou vidéos.
Quelle chance que tu as !
Touche à rien... et ne dis rien à Orange
;D
Oui, j'aimerais bien, mais là où je vais poser mon installation à terme la CoS 6 est obligatoire visiblement (un de mes contacts chez Orange qui m'a dit ca).
Donc faut quand même que je trouve une solution à mon histoire.
Je vais voir si j'arrive à prioriser les paquets sortants avec un FGT100F en 7.4.0.
Sinon j'ai aussi un Cisco 3750X sur lequel il semblerait que je puisse prioriser les paquets, mais je m'éloigne un peu de ma cible initiale si j'ajoute un switch.
Faut voir aussi s'il accepte l'ONT.
-
J'ai creusé un peu quand même cet aprem pour essayer de comprendre pourquoi ca fonctionnait :D
Avec un MC220L pour accueillir l'ONT, connecté à un switch, un port de ce switch connecté au port 4 de la Livebox et un autre port du switch en mirroring vers un PC j'ai capturé des trames pour analyser la priorité appliquée sur les paquets en 802.1Q.
J'ai fait la même chose en connectant le Fortigate ensuite en remplacement le la Livebox.
On observe bien que la Livebox ou le Forti ne priorisent aucunement les paquets sortant, et laissent la CoS par défaut à 0.
Les paquets qui entrent sont pour la majorité en CoS 0, certains en CoS 4 pour des flux voix ou vidéos.
;D
Oui, j'aimerais bien, mais là où je vais poser mon installation à terme la CoS 6 est obligatoire visiblement (un de mes contacts chez Orange qui m'a dit ca).
Donc faut quand même que je trouve une solution à mon histoire.
Je vais voir si j'arrive à prioriser les paquets sortants avec un FGT100F en 7.4.0.
Sinon j'ai aussi un Cisco 3750X sur lequel il semblerait que je puisse prioriser les paquets, mais je m'éloigne un peu de ma cible initiale si j'ajoute un switch.
Faut voir aussi s'il accepte l'ONT.
Si un FGT100F (jai un FGT101F à la maison) en 7.4 normalement sans soucis pour la CoS.
Pour le Cisco 3750F il ne tiendra pas les perfs pour la fibre avec du traffic à 1Gbps ou plus...
Sur le Fortigate tout est fait dans l'ASIC (Security Processor et Content Processor) du coup le CPU ne fait rien.
Sur un Cisco la CoS 6 et les options DHCP vont tout router vers le CPU !
-
On observe bien que la Livebox ou le Forti ne priorisent aucunement les paquets sortant, et laissent la CoS par défaut à 0
La livebox le fait… depuis 2018.
Évidemment ça ne concerne pas tous les paquets mais uniquement DHCP, ARP et ICMP pour les paquets issus de la box (et non routés).
-
Évidemment ça ne concerne pas tous les paquets mais uniquement DHCP, ARP et ICMP pour les paquets issus de la box (et non routés).
Je viens de reparcourir mes captures et j'y ai trouvé une requête ARP générée par la Livebox, et effectivement elle est priorisée en CoS 6.
Au temps pour moi et merci pour l'info :)
Ca semble en effet plus logique et approprié à la valeur 6 que seules soient concernés les paquets réseaux et non le trafic généré par les machines.
Je vais éditer mon précédent post.
Pour le Cisco 3750F il ne tiendra pas les perfs pour la fibre avec du traffic à 1Gbps ou plus...
Effectivement, suite à un test la bande passante disponible plafonne à 200Mbs, et de toute façon ca ne correspondra pas à mon besoin sans devenir une usine à gaz.
Je vais tester le Forti en 7.4.0 demain et on verra bien ce que ca donne.
-
J'ai testé ce matin avec le firmware 7.4.0. sur le FGT100F.
La documentation à ce sujet est pas hyper claire et pas beaucoup de détails pour l'instant.
En théorie on devrait pouvoir avec du traffic shaping
config firewall shaping-policy
edit <id>
set traffic-type {forwarding | local-in | local-out}
set cos-mask <3-bit_binary>
set cos <3-bit_binary>
next
end
Sauf que j'ai pas réussi à appliquer une CoS au local-out, du coup ca perd son intérêt.
Par contre en cherchant à comprendre comment ca fonctionnait je suis tombé sur ce lien: https://community.fortinet.com/t5/FortiGate/Technical-Tip-CoS-marking-for-the-self-originated-traffic/ta-p/190483, où on explique comment appliquer une CoS à du flux via un VDOM dédié en mode transparent.
L'explication se base sur une IP statique configurée sur le VDOM Link.
L'interface VDOM Link n'accepte ni le DHCP, ni le trunk, donc je l'ai remplacé par une interco physique dédiée.
Et là j'arrive à appliquer une CoS spécifique sur les flux de mon choix via la règle qu'ils matchent.
Les paquets sont donc correctement priorisés quand ils sortent du firewall.
Ca fonctionne sur le 100F en 7.4.0, mais ca fonctionne également très bien sur le 500D en 6.4.14.
Je ne note pas de perte de performance sur le débit de ma ligne, mais je n'ai qu'un abonnement à 500Mbs en download et upload.
Je vois deux inconvénients par contre, ca consomme trois ports physiques au lieu d'un seul, et ca double les sessions.
Mais on peut les nuancer par le fait que les firewalls sont rarement utilisés à 100% de leur capacités et qu'ils peuvent se permettre de "gaspiller" un peu de ressources dans les petites et moyennes structures.
Est ce que vous savez s'il existe un tableau qui référence la priorité à appliquer par protocole ?
Dans les captures je vois que certains sont en CoS 6, 4, 0, ...
Et je vois que l'Alcatel en face de ma fibre répond aux demandes DHCP avec un CoS 7 et non 6.
-
J'ai testé ce matin avec le firmware 7.4.0. sur le FGT100F.
La documentation à ce sujet est pas hyper claire et pas beaucoup de détails pour l'instant.
En théorie on devrait pouvoir avec du traffic shaping Sauf que j'ai pas réussi à appliquer une CoS au local-out, du coup ca perd son intérêt.
Par contre en cherchant à comprendre comment ca fonctionnait je suis tombé sur ce lien: https://community.fortinet.com/t5/FortiGate/Technical-Tip-CoS-marking-for-the-self-originated-traffic/ta-p/190483, où on explique comment appliquer une CoS à du flux via un VDOM dédié en mode transparent.
L'explication se base sur une IP statique configurée sur le VDOM Link.
L'interface VDOM Link n'accepte ni le DHCP, ni le trunk, donc je l'ai remplacé par une interco physique dédiée.
Et là j'arrive à appliquer une CoS spécifique sur les flux de mon choix via la règle qu'ils matchent.
Les paquets sont donc correctement priorisés quand ils sortent du firewall.
Ca fonctionne sur le 100F en 7.4.0, mais ca fonctionne également très bien sur le 500D en 6.4.14.
Je ne note pas de perte de performance sur le débit de ma ligne, mais je n'ai qu'un abonnement à 500Mbs en download et upload.
Je vois deux inconvénients par contre, ca consomme trois ports physiques au lieu d'un seul, et ca double les sessions.
Mais on peut les nuancer par le fait que les firewalls sont rarement utilisés à 100% de leur capacités et qu'ils peuvent se permettre de "gaspiller" un peu de ressources dans les petites et moyennes structures.
Est ce que vous savez s'il existe un tableau qui référence la priorité à appliquer par protocole ?
Dans les captures je vois que certains sont en CoS 6, 4, 0, ...
Et je vois que l'Alcatel en face de ma fibre répond aux demandes DHCP avec un CoS 7 et non 6.
La solution d'un second VDOM en mode transparent est connu depuis un moment sur toutes les versions et fonctionne très bien sans aucun impact sur les perfs (tout le traffic du coup passe par l'ASIC).
L'inconvenient est que d'un point de vue license c'est un second FortiGate (quand tu utilises les services FortiGuard avec ou sans FortiManager/FortiAnalyser) ou trois dans mon cas car j'ai deux fibre.
Pour la CoS en 7.4 j'ai pas encore fait le test, j'essaye de le faire rapidement et je fais un retour.
Pour savoir quoi appliquer sur la CoS avec orange :
- DHCP (Request et Renew), ARP et ICMP CoS 6
- tout le reste valeur par défaut
C'est tout !
-
IGMP pour la TV en CoS 5.
-
J'ai essayé le week end dernier sur un lien où la CoS6 est exigée pour récupérer une IP.
Et malheureusement sans succès avec le système de VDOM Transparent. (FGT500D en 6.4.14)
Les requêtes sortent non marquées, j'ai l'impression que le Fortigate ne marque les paquets qu'une fois qu'il a une IP.
Ce qui d'un certain côté semblerait relativement logique pour un firewall.
Est ce que quelqu'un avait déjà réussi à se connecter au réseau Orange en utilisant un VDOM Transparent qui marquait les paquets DHCP d'une CoS6 ?
J'ai peut-être loupé un truc quelque part ...
-
J'ai essayé le week end dernier sur un lien où la CoS6 est exigée pour récupérer une IP.
Et malheureusement sans succès avec le système de VDOM Transparent. (FGT500D en 6.4.14)
Les requêtes sortent non marquées, j'ai l'impression que le Fortigate ne marque les paquets qu'une fois qu'il a une IP.
Ce qui d'un certain côté semblerait relativement logique pour un firewall.
Est ce que quelqu'un avait déjà réussi à se connecter au réseau Orange en utilisant un VDOM Transparent qui marquait les paquets DHCP d'une CoS6 ?
J'ai peut-être loupé un truc quelque part ...
Bonjour,
Tu utilises bien 2 VDOM ?
Ton VDOM Root qui est ta config actuelle et un second VDOM en mode Transparent qui est connecté à l'ONT.
C'est le second VDOM qui fait le shapping sur les requêtes DHCP, ARP et ICMP pour l'accès Internet.
En 7.4 (Ton 500D n'est pas supporté) on peut faire du shapping sur un paquet émis par le FortiGate, ce qui n'était pas supporté avant d'ou les 2 VDOM
-
Je n'utilise pas le VDOM Root, mais un VDOM que j'ai créé à part.
Il porte l'interface VLAN832 qui demande une IPv4 en DHCP.
Connecté à celui ci j'ai un VDOM Transparent qui a 2 interfaces VLAN 832 (IN/OUT), l'une d'entre elles porte l'ONT, et l'autre la connexion vers le VDOM qui porte l'IP du VLAN832.
J'ai une règle de flux qui intercepte bien les paquets DHCP et ICMP et une autre la Data une fois l'IP récupérée.
Cependant même si je vois les compteurs s'incrémenter sur ma règle de flux qui a l'option "set vlan-cos-fwd 6" les paquets que je vois sortir sont tous avec une CoS 0.
J'avoue que je n'avais pas pensé au fait que dans les exemples c'est fait avec le VDOM Root et non un autre VDOM.
Ca me semblerait un peu gros quand même que ca soit à cause de ca, non ?
-
Je n'utilise pas le VDOM Root, mais un VDOM que j'ai créé à part.
Il porte l'interface VLAN832 qui demande une IPv4 en DHCP.
Connecté à celui ci j'ai un VDOM Transparent qui a 2 interfaces VLAN 832 (IN/OUT), l'une d'entre elles porte l'ONT, et l'autre la connexion vers le VDOM qui porte l'IP du VLAN832.
J'ai une règle de flux qui intercepte bien les paquets DHCP et ICMP et une autre la Data une fois l'IP récupérée.
Cependant même si je vois les compteurs s'incrémenter sur ma règle de flux qui a l'option "set vlan-cos-fwd 6" les paquets que je vois sortir sont tous avec une CoS 0.
J'avoue que je n'avais pas pensé au fait que dans les exemples c'est fait avec le VDOM Root et non un autre VDOM.
Ca me semblerait un peu gros quand même que ca soit à cause de ca, non ?
C'est pas le VDOM Root qui est nécessaire mais d'avoir 2 VDOM
LAN -> FGT VDOM 1 -> WAN -> FGT VDOM 2 -> ONT
C'est le VDOM 2 qui est en transparent et qui fait le shapping sur les paquets provenants du VDOM 1
Comment tu fais le lien entre les 2 VDOM ?
Par une policy dans le FGT ou en physique avec un câble extérieur ?
Le lien ci-dessous c'est pour la config du routage inter-VDOM. Change en version 6.4 et dans l'exemple c'est l'inverse de ce que l'on veut faire.
https://docs.fortinet.com/document/fortigate/7.4.0/administration-guide/335646/inter-vdom-routing-configuration-example-internet-access
Mais attention en fonction de la version de FortiOS et de ton FGT le routage inter-VDOM peut faire baisser les performances de beaucoup sans pouvoir utiliser l'ASIC.
-
C'est bien comme ca que j'ai monté mon interconnexion
LAN -> FGT VDOM 1 -> WAN -> FGT VDOM 2 -> ONT
Je suis obligé d'utiliser un lien physique pour interconnecter les VDOM, les VDOM Links ne supportent pas le DHCP.
L'exemple que tu donnes présente comment utiliser le VDOM Root comme point de pivot pour des VDOM LAN, je vois bien comment ca fonctionne à ce niveau là, j'en ai plusieurs en production déjà ;)