Auteur Sujet: Remplacer la LiveBox par un Fortigate  (Lu 53019 fois)

0 Membres et 1 Invité sur ce sujet

sebd48

  • Abonné Sosh fibre
  • *
  • Messages: 24
  • Mecleuves (57)
Remplacer la LiveBox par un Fortigate
« Réponse #108 le: 06 mars 2025 à 15:46:59 »
Pour info tu as le numéro de ticket stp ?
Envoyé en MP

Double2h

  • Abonné Free Pro
  • *
  • Messages: 5
  • Vannes 56
Remplacer la LiveBox par un Fortigate
« Réponse #109 le: 12 mai 2025 à 11:42:06 »
Bonjour,

J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.

Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.

Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.

A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11

- Ajouter une interface VLAN 832 sur le port WAN en DHCP



- Editer en CLI pour y ajouter les options client DHCP

edit "orange"
        set mode dhcp
        config client-options
            edit 77
                set code 77
                set value "xxxxxxxxxxxxxxxxx"
            next
            edit 60
                set code 60
                set value "xxxxxxxxxxxxxx"
            next
            edit 90
                set code 90
                set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
            next
            edit 61
                set code 61
                set value "0xxxxxxxxxxxx"
            next

cela a tout de suite fonctionné.

Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?

Débit de 800MB/S


zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 750
  • Antibes (06) / Mercury (73)
Remplacer la LiveBox par un Fortigate
« Réponse #110 le: 12 mai 2025 à 14:46:20 »
Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?
Certains "vieux" équipements coté Orange non encore remplacés ne forcent pas l'utilisation de la CoS.

Le jour où ça cessera de fonctionner tu sauras pourquoi ;)

Double2h

  • Abonné Free Pro
  • *
  • Messages: 5
  • Vannes 56
Remplacer la LiveBox par un Fortigate
« Réponse #111 le: 13 mai 2025 à 00:01:28 »
D'ici là j'aurais changé pour autre chose sans doute ou le forti sera compatible

Merci pour l'explication

canope

  • Abonné Orange Fibre
  • *
  • Messages: 104
  • Asnières (92)
Remplacer la LiveBox par un Fortigate
« Réponse #112 le: 13 mai 2025 à 17:10:10 »
As-tu pu finir et également valider IPv6 ?
Bonjour,

J'ai tenté l'expérience de migrer vers l'offre Sosh internet seul sans TV à 19.99 la première année.

Une fois la LB5 installée, j'ai lancé un chat avec le support technique Orange pour demander de remplacer le S/N de ma LB5 par mon ONT Huawei récupéré sur une vielle install, ca a été fait en 10 min.

Lorsque ma LB5 à perdu l'accès à internet, j'ai raccordé mon ONT au port ETH4 de ma LB5 puis validé le fonctionnement avec le support Orange par Chat.

A partir de la, j'ai pu y connecter mon Fortigate 40F en V7.2.11

- Ajouter une interface VLAN 832 sur le port WAN en DHCP



- Editer en CLI pour y ajouter les options client DHCP

edit "orange"
        set mode dhcp
        config client-options
            edit 77
                set code 77
                set value "xxxxxxxxxxxxxxxxx"
            next
            edit 60
                set code 60
                set value "xxxxxxxxxxxxxx"
            next
            edit 90
                set code 90
                set value "0000xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
            next
            edit 61
                set code 61
                set value "0xxxxxxxxxxxx"
            next

cela a tout de suite fonctionné.

Pas eu besoin de la COS 6 , pourquoi ? j'ai de la chance ?

Débit de 800MB/S

nscheffer

  • Abonné Orange Fibre
  • *
  • Messages: 461
  • Chavenay (78)
Remplacer la LiveBox par un Fortigate
« Réponse #113 le: 13 mai 2025 à 17:11:34 »
As-tu pu finir et également valider IPv6 ?

En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x

canope

  • Abonné Orange Fibre
  • *
  • Messages: 104
  • Asnières (92)
Remplacer la LiveBox par un Fortigate
« Réponse #114 le: 13 mai 2025 à 17:31:18 »
En 7.2.11 sur le FortiGate c'est pas possible car les options DHCPv6 ne sont pas implémentés, seulement à partir de FOS 7.6.x

Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.

Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2

J’ai finalement choisi l’UCG Fiber au lieu du FG90G.

- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.

Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.

Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.

Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.


nscheffer

  • Abonné Orange Fibre
  • *
  • Messages: 461
  • Chavenay (78)
Remplacer la LiveBox par un Fortigate
« Réponse #115 le: 13 mai 2025 à 17:38:32 »
Oui, je n’avais pas remarqué la version. J’ai lu 40F et j’ai pensé qu’il avait peut-être une version plus récente, mais peut-être plus compliquée depuis la 7.4.2.

Voici le lien :
https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/prevent-firmware-upgrade-depending-on-the-current-firmware-licenses-expiration-date-7-4-2

J’ai finalement choisi l’UCG Fiber au lieu du FG90G.

- Il offre une connectivité 10 Gigabits complète, avec deux ports SFP+ et un port RJ45 Gigabit.
- Il dispose de quatre ports 2,5 Gigabits.

Il offre également une accélération matérielle complète, même pour l’IPS, qui est constamment améliorée.

Le tout pour seulement 279 euros HT. L’IPS Proofpoint, avec ses 55 000+ signatures, est disponible en option à 89 euros HT par an. Sinon, on peut jouer avec le tout soi-même.

Cette plateforme ouverte continue d’évoluer, et le socle Qualcomm (IPQ9574) qui la sous-tend est de mieux en mieux documenté et maîtrisé, offrant des capacités ASIC et d’offload intéressantes.

Effectivement depuis la 7.4.2 il faut un contrat de support actif pour pouvoir faire une mise à jour du firmware, sans contrat pas de mise à jour !
Pour les performances un FGT40F sortira 4,4Gbps en performance en mode Firewall avec NAT et 600Mbps si on active toutes les fonctions (déchiffrement de tout le traffic, anti-virus, anti-malware, sandbox, dlp, etc...).
Sur le FGT90G en mode Firewall on est à 28Gbps et son on active toutes les fonctions (Threat protection) on est à 2,2Gbps...

canope

  • Abonné Orange Fibre
  • *
  • Messages: 104
  • Asnières (92)
Remplacer la LiveBox par un Fortigate
« Réponse #116 le: 13 mai 2025 à 17:52:07 »
Actuellement, j’obtiens un débit  de 8,1 Gbit/s en down et en up sans problème avec l’UCG Fiber.
Le débit est la même pour l’IPS.
Je m’en occuperai plus en détail une fois que le nouveau mini serveur avec offload matériel sera installé.
Pour l’instant, en interne, je peux facilement atteindre 20 Gbit/s en traversant avec iperf TCP (et cela reste stable pendant plus de 20 minutes, avec 3 To).
La consommation électrique reste limitée en SFP+/DAC ( 76 à 8wh à plein régime !!)

L’interception SSL/TLS est devenue extrêmement difficile depuis l’avènement de TLS 1.3 et HTTP/3 - QUIC. De plus, la plupart des outils professionnels ne peuvent pas être interceptés.

Un exemple récent de use case  QUIC / 443 qui rend obsolètes les méthodes d’interception traditionnelles :
https://learn.microsoft.com/en-us/windows-server/storage/file-server/smb-over-quic?tabs=windows-admin-center%2Cpowershell2%2Cwindows-admin-center1
Pour sécuriser et contrôler le contenu des données échangées, une approche distribuée a été nécessaire.

Fab.z

  • Abonné Sosh fibre
  • *
  • Messages: 2
  • Nantes (44)
Remplacer la LiveBox par un Fortigate
« Réponse #117 le: 19 juin 2025 à 22:37:58 »
Hello !

J'ai un pti FG40F en 7.2.11 et j'aimerai bien virer la livebox 3. La principale raison étant que j'aurai envie de me monter un serveur de messagerie et enlever le double NAT.

Entre 2016 et aujourd'hui il y a l'air d'y avoir eu du chemin. Plusieurs conf' sont possible visiblement. Aujourd'hui j'ai simplement repris les éléments les plus récents de ce topic. Interface "a" non configurée et manuelle avec adresse mac de la livebox. Interface VLAN 832 en complément les options DHCP (60, 61, 77, 90) récupéré via les pti' outils LiveBoxInfo mis à disposition et j'utilise pas d'IPv6. Résultat pour l'instant c'est le DHCP qui boucle dans le vide.

Je n'ai pas de connaissances en télécom, je suis un admin généraliste qui travail sur des infra très modeste.

Première question : Est-ce que l'interface a est différente des autres matériellement ?

Merci

++

nscheffer

  • Abonné Orange Fibre
  • *
  • Messages: 461
  • Chavenay (78)
Remplacer la LiveBox par un Fortigate
« Réponse #118 le: 19 juin 2025 à 22:42:58 »
Hello !

J'ai un pti FG40F en 7.2.11 et j'aimerai bien virer la livebox 3. La principale raison étant que j'aurai envie de me monter un serveur de messagerie et enlever le double NAT.

Entre 2016 et aujourd'hui il y a l'air d'y avoir eu du chemin. Plusieurs conf' sont possible visiblement. Aujourd'hui j'ai simplement repris les éléments les plus récents de ce topic. Interface "a" non configurée et manuelle avec adresse mac de la livebox. Interface VLAN 832 en complément les options DHCP (60, 61, 77, 90) récupéré via les pti' outils LiveBoxInfo mis à disposition et j'utilise pas d'IPv6. Résultat pour l'instant c'est le DHCP qui boucle dans le vide.

Je n'ai pas de connaissances en télécom, je suis un admin généraliste qui travail sur des infra très modeste.

Première question : Est-ce que l'interface a est différente des autres matériellement ?

Merci

++

Bonsoir,

Tout d'abord en 7.2.x tu ne pourras pas faire la CoS 6 depuis le ForitGate, tu es obligé d'insérer un boitier intermédiaire comme un Miktrotik CRS305 ou autre pour faire la fameuse CoS 6.
Il te faut au minimum la 7.4.x et idéalement la 7.6.x pour pouvoir avoir la Fibre avec son ONT directement dans ton ForitGate sans intermédiaire.

Ensuite chaque interface sur un FortiGate a, 1, etc... sont identiques tu prendre celle que tu veux pour faire ce que tu veux comme tu veux.

Seulement si tu as des problèmes de perfs sur des hauts débits, tu pourras avoir besoin de combiner certains port entre eux, entrée seulement sur certains ports et idem pour la sortie, mais tu en es pas la pour le moment....

Nicolas

Fab.z

  • Abonné Sosh fibre
  • *
  • Messages: 2
  • Nantes (44)
Remplacer la LiveBox par un Fortigate
« Réponse #119 le: 20 juin 2025 à 13:44:23 »
Bonjour,

Merci du retour super rapide. Et bien zut, c'est effectivement un sujet qui revenait souvent mais certains semblaient être passé au travers. Je vais voir si j'arrive à upgrader en 7.4/7.6 sans support... Je voulais rester en 7.2 (qui en plus est une LTS) et éviter la douille Fortigate sur les boitiers équipé de 2Go de RAM.

Je vais lire un peu plus sur ce truc de CoS, je connais pas :)

Merci

edit :

Bon ba ça sera 7.4.8 max pour l'instant. J'ai raté le coche, je pensais qu'on pouvait update en mode automatique. Mon switch gère le CoS (Aruba IO 1930 24G) mais je sais pas encore si ça peu marcher.
« Modifié: 20 juin 2025 à 22:59:31 par Fab.z »