Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 53019 fois)

sebd48 · « **Réponse #108 le:** 06 mars 2025 à 15:46:59 »

Citation de: nscheffer le 06 mars 2025 à 15:28:04

Pour info tu as le numéro de ticket stp ?

Envoyé en MP

Double2h · « **Réponse #109 le:** 12 mai 2025 à 11:42:06 »

Bonjour,

J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.

Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.

Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.

A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11

- Ajouter une interface VLAN 832 sur le port WAN en DHCP

- Editer en CLI pour y ajouter les options client DHCP

edit "orange"
set mode dhcp
config client-options
edit 77
set code 77
set value "xxxxxxxxxxxxxxxxx"
next
edit 60
set code 60
set value "xxxxxxxxxxxxxx"
next
edit 90
set code 90
set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
next
edit 61
set code 61
set value "0xxxxxxxxxxxx"
next

cela a tout de suite fonctionné.

Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?

Débit de 800MB/S

zoc · « **Réponse #110 le:** 12 mai 2025 à 14:46:20 »

Citation de: Double2h le 12 mai 2025 à 11:42:06

Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?

Certains "vieux" équipements coté Orange non encore remplacés ne forcent pas l'utilisation de la CoS.

Le jour où ça cessera de fonctionner tu sauras pourquoi

Double2h · « **Réponse #111 le:** 13 mai 2025 à 00:01:28 »

D'ici là j'aurais changé pour autre chose sans doute ou le forti sera compatible

Merci pour l'explication

canope · « **Réponse #112 le:** 13 mai 2025 à 17:10:10 »

As-tu pu finir et également valider IPv6 ?

Citation de: Double2h le 12 mai 2025 à 11:42:06

Bonjour,

J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.

Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.

Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.

A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11

- Ajouter une interface VLAN 832 sur le port WAN en DHCP

- Editer en CLI pour y ajouter les options client DHCP

edit "orange"
set mode dhcp
config client-options
edit 77
set code 77
set value "xxxxxxxxxxxxxxxxx"
next
edit 60
set code 60
set value "xxxxxxxxxxxxxx"
next
edit 90
set code 90
set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
next
edit 61
set code 61
set value "0xxxxxxxxxxxx"
next

cela a tout de suite fonctionné.

Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?

Débit de 800MB/S

nscheffer · « **Réponse #113 le:** 13 mai 2025 à 17:11:34 »

Citation de: canope le 13 mai 2025 à 17:10:10

As-tu pu finir et également valider IPv6 ?

En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x

canope · « **Réponse #114 le:** 13 mai 2025 à 17:31:18 »

Citation de: nscheffer le 13 mai 2025 à 17:11:34

En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x

Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.

Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2

J’ai finalement choisi l’UCG Fiber au lieu du FG90G.

- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.

Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.

Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.

Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.

nscheffer · « **Réponse #115 le:** 13 mai 2025 à 17:38:32 »

Citation de: canope le 13 mai 2025 à 17:31:18

Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.

Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2

J’ai finalement choisi l’UCG Fiber au lieu du FG90G.

- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.

Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.

Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.

Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.

Effectivement depuis la 7.4.2 il faut un contrat de support actif pour pouvoir faire une mise à jour du firmware, sans contrat pas de mise à jour !
Pour les performances un FGT40F sortira 4,4Gbps en performance en mode Firewall avec NAT et 600Mbps si on active toutes les fonctions (déchiffrement de tout le traffic, anti-virus, anti-malware, sandbox, dlp, etc...).
Sur le FGT90G en mode Firewall on est à 28Gbps et son on active toutes les fonctions (Threat protection) on est à 2,2Gbps...

canope · « **Réponse #116 le:** 13 mai 2025 à 17:52:07 »

Actuellement, j’obtiens un débit de 8,1 Gbit/s en down et en up sans problème avec l’UCG Fiber.
Le débit est la même pour l’IPS.
Je m’en occuperai plus en détail une fois que le nouveau mini serveur avec offload matériel sera installé.
Pour l’instant, en interne, je peux facilement atteindre 20 Gbit/s en traversant avec iperf TCP (et cela reste stable pendant plus de 20 minutes, avec 3 To).
La consommation électrique reste limitée en SFP+/DAC ( 76 à 8wh à plein régime !!)

L’interception SSL/TLS est devenue extrêmement difficile depuis l’avènement de TLS 1.3 et HTTP/3 - QUIC. De plus, la plupart des outils professionnels ne peuvent pas être interceptés.

Un exemple récent de use case QUIC / 443 qui rend obsolètes les méthodes d’interception traditionnelles :
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-over-quic?tabs=windows-admin-center%2Cpowershell2%2Cwindows-admin-center1
Pour sécuriser et contrôler le contenu des données échangées, une approche distribuée a été nécessaire.

Fab.z · « **Réponse #117 le:** 19 juin 2025 à 22:37:58 »

Hello !

J'ai un pti FG40F en 7.2.11 et j'aimerai bien virer la livebox 3. La principale raison étant que j'aurai envie de me monter un serveur de messagerie et enlever le double NAT.

Entre 2016 et aujourd'hui il y a l'air d'y avoir eu du chemin. Plusieurs conf' sont possible visiblement. Aujourd'hui j'ai simplement repris les éléments les plus récents de ce topic. Interface "a" non configurée et manuelle avec adresse mac de la livebox. Interface VLAN 832 en complément les options DHCP (60, 61, 77, 90) récupéré via les pti' outils LiveBoxInfo mis à disposition et j'utilise pas d'IPv6. Résultat pour l'instant c'est le DHCP qui boucle dans le vide.

Je n'ai pas de connaissances en télécom, je suis un admin généraliste qui travail sur des infra très modeste.

Première question : Est-ce que l'interface a est différente des autres matériellement ?

Merci

++

nscheffer · « **Réponse #118 le:** 19 juin 2025 à 22:42:58 »

Citation de: Fab.z le 19 juin 2025 à 22:37:58

Hello !

J'ai un pti FG40F en 7.2.11 et j'aimerai bien virer la livebox 3. La principale raison étant que j'aurai envie de me monter un serveur de messagerie et enlever le double NAT.

Entre 2016 et aujourd'hui il y a l'air d'y avoir eu du chemin. Plusieurs conf' sont possible visiblement. Aujourd'hui j'ai simplement repris les éléments les plus récents de ce topic. Interface "a" non configurée et manuelle avec adresse mac de la livebox. Interface VLAN 832 en complément les options DHCP (60, 61, 77, 90) récupéré via les pti' outils LiveBoxInfo mis à disposition et j'utilise pas d'IPv6. Résultat pour l'instant c'est le DHCP qui boucle dans le vide.

Je n'ai pas de connaissances en télécom, je suis un admin généraliste qui travail sur des infra très modeste.

Première question : Est-ce que l'interface a est différente des autres matériellement ?

Merci

++

Bonsoir,

Tout d'abord en 7.2.x tu ne pourras pas faire la CoS 6 depuis le ForitGate, tu es obligé d'insérer un boitier intermédiaire comme un Miktrotik CRS305 ou autre pour faire la fameuse CoS 6.
Il te faut au minimum la 7.4.x et idéalement la 7.6.x pour pouvoir avoir la Fibre avec son ONT directement dans ton ForitGate sans intermédiaire.

Ensuite chaque interface sur un FortiGate a, 1, etc... sont identiques tu prendre celle que tu veux pour faire ce que tu veux comme tu veux.

Seulement si tu as des problèmes de perfs sur des hauts débits, tu pourras avoir besoin de combiner certains port entre eux, entrée seulement sur certains ports et idem pour la sortie, mais tu en es pas la pour le moment....

Nicolas

Fab.z · « **Réponse #119 le:** 20 juin 2025 à 13:44:23 »

Bonjour,

Merci du retour super rapide. Et bien zut, c'est effectivement un sujet qui revenait souvent mais certains semblaient être passé au travers. Je vais voir si j'arrive à upgrader en 7.4/7.6 sans support... Je voulais rester en 7.2 (qui en plus est une LTS) et éviter la douille Fortigate sur les boitiers équipé de 2Go de RAM.

Je vais lire un peu plus sur ce truc de CoS, je connais pas

Merci

edit :

Bon ba ça sera 7.4.8 max pour l'instant. J'ai raté le coche, je pensais qu'on pouvait update en mode automatique. Mon switch gère le CoS (Aruba IO 1930 24G) mais je sais pas encore si ça peu marcher.