Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 81175 fois)

phalanx · « **Réponse #132 le:** 19 août 2025 à 12:19:22 »

Le soucis c'est que si je me mets en "set autoconf enable" au lieu de "set ip6-mode dhcp" je perds la possibilité d'envoyer les options dhcp 11/15/16/1
et autoconf n'est pas dispo si je mets mode dhcp

nscheffer · « **Réponse #133 le:** 20 août 2025 à 09:07:07 »

Citation de: phalanx le 19 août 2025 à 12:19:22

Le soucis c'est que si je me mets en "set autoconf enable" au lieu de "set ip6-mode dhcp" je perds la possibilité d'envoyer les options dhcp 11/15/16/1
et autoconf n'est pas dispo si je mets mode dhcp

le plus important est de récupérer le préfixe pour l'utiliser sur ton ou tes lans.
set autoconf permet de récupérer une adresse sur le wan.
Si tu distribues sur le lan une ipv6 de ton préfixe du coup pas besoin ipv6 sur le wan car pas de nat par l'ipv6 du wan (dans mon cas j'en ai besoin car j'ai deux fibres et je sais pas comment faire autrement)
du coup je pense que tu peux enlever l'autoconf.

Update : dans mon test j’ai le FGT derrière la Livebox, je pense que sans la Livebox pour récupérer le prefix il faut du dhcp avec les options.
J’ai plus d’ONT pour le moment pour refaire le test directement, j’essaye de le faire sur un autre site et je ferai une mise à jour.

pumas · « **Réponse #134 le:** 23 octobre 2025 à 17:11:46 »

Bonjour à tous,

Je me permet d'intervenir sur ce sujet en tant que consultant réseau & sécurité. Je connais très bien les firewall Fortinet et j'ai donc chercher aussi à remplacer ma livebox par un FortiGate 40F.

Malheureusement, même en 7.6 je vous confirme qu'il n'est pas possible d'influer sur le CoS pour les flux initiés par le FortiGate. Les règle de QoS/Traffic Shapping ne s'applique uniquement lorsqu'une session est établie dans la table de session ce qui n'est pas le cas du DHCP et de l'ICMP sur un FortiGate.

Je ne pense donc pas que cela soit un jour possible, alors la seule solution est de passer par un switch intermédiaire... Je trouve ça vraiment dommage de la part d'Orange de rendre cela aussi complexe alors que dans d'autre pays voisin comme la Suisse c'est bien plus simple et l'opérateur doit même fournir un tuto pour le faire.

iriseden · « **Réponse #135 le:** 21 décembre 2025 à 19:15:24 »

Bonjour à tous,

Petite mise à jour sur ce sujet, j'espère que cela en aidera certains

Tous d'abord, merci à tous pour vos commentaires sur ce sujet

Je travaille pour une entité où nous disposons d'un gros parc Fortinet et notre opérateur est principalement orange, pour les besoins d'un de nos projets, il nous est impératif d'enlever les Livebox et d'avoir directement la fibre qui arrive sur le forti (environnement difficile avec humidité, etc.), de ce fait, nous avons opté pour la solution Rugged de Fortinet.

De notre côté, la partie V4 fonctionne en natif sur le Fortinet mais impossible de marquer en CoS6 le trafic DHCP (sans passer par un double VDOM), après échange avec nos commerciaux Fortinet (et une petite NFR), la fonctionnalité devrait être rajoutée dans la version 8 de FortiOS (mars 2026).

Concernant la partie V6, nous avons aussi rencontré le problème lors de l'interprétation de la réponse DHCPv6, la chaine d'auth (option 11), semble ne pas être correctement interprétée par FortiOS, nous allons aussi demander une NFR pour ajouter cette partie.

Côté Orange, si vous êtes client pro, le plus compliqué semble être de se procurer un module GPON/XGSPON (via Orange), je ne sais pas si d'autres entreprises ont le problème :/

Je peux au besoin fournir les configurations que nous utilisons si certaines personnes ont des difficultés à le faire fonctionner.

Marc-H · « **Réponse #136 le:** 27 décembre 2025 à 17:33:33 »

Bonjour à tous,
Je sollicite un peu d'aide car je sèche sur une problématique de fonctionnement du décodeur TV 4k Orange (DTIW385).
La config est la suivante : Sosh Fibre - Livebox S - Fortigate 61F (firmware 7.4.9) - FortiSwitch - FortiAP 23JF - Décodeur Orange TV 4k (connecté en filaire sur la FortiAP).
Sur la Livebox, j'ai mis l'adresse IP d'interco (port wan) du Fortigate en "DMZ" pour que tous les flux soient renvoyés.
Sur le Fortigate côté LAN, j'ai bien paramétrer les options DHCP 125 et j'ai renvoyer le DNS sur la Livebox, j'ai ouvert les ports TCP 7443 et 9443, activer le routage multicast mais rien n'y fait j'ai toujours le message G03 lors du démarrage du décodeur.
Si quelqu'un a une idée, je suis preneur

nscheffer · « **Réponse #137 le:** 27 décembre 2025 à 17:46:44 »

Citation de: Marc-H le 27 décembre 2025 à 17:33:33

Bonjour à tous,
Je sollicite un peu d'aide car je sèche sur une problématique de fonctionnement du décodeur TV 4k Orange.
La config est la suivante : Sosh Fibre - Livebox S - Fortigate 61F (firmware 7.4.9) - FortiSwitch - FortiAP 23JF - Décodeur Orange TV 4k (en filaire sur la FortiAP)
Sur la Livebox, j'ai mis l'adresse IP d'interco (port wan) du Fortigate en "DMZ" pour que tous les flux soient renvoyés.
Sur le Fortigate, j'ai bien paramétrer les options DHCP 125 et j'ai renvoyer le DNS sur la Livebox, j'ai ouvert les ports TCP 7443 et 9443, activer le routage multicast mais rien n'y fait j'ai toujours le message G03 lors du démarrage du décodeur.
Si quelqu'un a une idée, je suis preneur

Désolé mais j'ai jamais utilisé le décodeur TV Orange, de mon coté c'est AppleTV avec app Canal+, Netflix, etc....
Par contre si tu veux que le décodeur TV Orange fonctionne derrière un FortiGate qui doit être en mode NAT tu as pas mal de chose à re-créer sur ton réseau LAN ou est situé ton décoder TV Orange en plus de ce que tu as mentionné, en général le décodeur est derrière le FortiGate mais sans la Livebox.
Tu devrais plutôt brancher ton décodeur directement sur la Livebox en Ethernet et garder le FortiGate avec ton FortiSwitch et ta FortiAP pour tes devices à toi en ethernet et/ou wifi avec la sécurité du ForitGate...

Marc-H · « **Réponse #138 le:** 27 décembre 2025 à 17:56:45 »

Bonjour Nicolas,
(c'est amusant de se recroiser ailleurs que sur un event Fortinet)
Dans tous ce que j'ai pu lire sur ce forum, à part l'histoire du paramétrage un peu particulier du DHCP et de l'IGMP, il n'y a rien d'autre à faire pour que cela fonctionne (enfin dans la théorie, parce que manifestement j'ai dû oublier quelque chose).
Je suis d'accord avec toi sur le fait d'utiliser une AppleTV pour que ca fonctionne mais je n'ai pas ce type d'équipement à l'endroit ou je suis et la configuration physique des lieux ne permet pas de brancher le décodeur Orange sur la box en parallèle du Forti malheureusement.

nscheffer · « **Réponse #139 le:** 26 mars 2026 à 10:35:33 »

La version FortiOS 8.0 devrait arriver vers la fin Avril 2026 et va permettre enfin de pouvoir tout faire directement depuis un ForitGate, à savoir :
- Vlan 832 & clonage MAC
- options DHCPv4 avec CoS 6
- options DHCPv6 avec CoS 6, récupération d'un /56
- ARP et ICMP CoS 6

Etant passé récemment en XGPON avec une Livebox 7 je viens de commander un boitier LEOX LXE-010X-A pour faire une nouvelle migration...
Je posterai un tuto complet IPv4 et IPv6 début de l'été, j'espère !

canope · « **Réponse #140 le:** 26 mars 2026 à 13:28:49 »

Hello,

Finalement, la solution UCG-Fiber et SFP+ XGS-PON en custom 8311 s’est avérée être la meilleure option. Cela fait plus d’un an qu’ avait annoncé la « solution fortinet » pour accomplir la même tâche.

$:-\$

S’il y a des avantages et des inconvénients, au moins on évite le problème introduit l’an dernier avec le contrat de maintenance obligatoire, même pour un homelab, pour pouvoir faire des mises à jour.

Citation de: nscheffer le 26 mars 2026 à 10:35:33

La version FortiOS 8.0 devrait arriver vers la fin Avril 2026 et va permettre enfin de pouvoir tout faire directement depuis un ForitGate, à savoir :
- Vlan 832 & clonage MAC
- options DHCPv4 avec CoS 6
- options DHCPv6 avec CoS 6, récupération d'un /56
- ARP et ICMP CoS 6

Etant passé récemment en XGPON avec une Livebox 7 je viens de commander un boitier LEOX LXE-010X-A pour faire une nouvelle migration...
Je posterai un tuto complet IPv4 et IPv6 début de l'été, j'espère !

iriseden · « **Réponse #141 le:** 23 avril 2026 à 19:40:01 »

Bonjour,

En effet, la V8 est sortie le 21 avril. Les fonctionnalités de COS sur DHCPv4/v6 ont bien été ajoutés (et testés avec succès). On peut donc récupérer notre préfixe IPv6 à présent !!!

Extrait de conf utilisé chez moi en test :

config system interface
edit "orange"
set vdom "root"
set mode dhcp
config client-options
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7835"
next
edit 60
set code 60
set value "736167656d"
next
edit 90
set code 90
set value "XXXXXXXXXX"
next
edit 61
set code 61
set value "50392f4ef690"
next
end
set dhcp-egress-cos cos6
set device-identification enable
set role wan
set snmp-index 14
config ipv6
config client-options
edit 15
set code 15
set value "002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7836"
next
edit 16
set code 16
set value "0000040e0005736167656d"
next
edit 11
set code 11
set value "XXXXXXXXXX"
next
edit 1
set code 1
set value "0003000150392f4ef690"
next
edit 17
set code 17
set value "000005580002000a000000ffffffffffffff"
next
end
set dhcp6-egress-cos cos6
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 792917648
next
end
end
set interface "sfp"
set vlanid 832
next
end

Voila

nscheffer · « **Réponse #142 le:** **Aujourd'hui** à 18:11:02 »

Citation de: iriseden le 23 avril 2026 à 19:40:01

Bonjour,

En effet, la V8 est sortie le 21 avril. Les fonctionnalités de COS sur DHCPv4/v6 ont bien été ajoutés (et testés avec succès). On peut donc récupérer notre préfixe IPv6 à présent !!!

Extrait de conf utilisé chez moi en test :

config system interface
edit "orange"
set vdom "root"
set mode dhcp
config client-options
edit 77
set code 77
set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7835"
next
edit 60
set code 60
set value "736167656d"
next
edit 90
set code 90
set value "XXXXXXXXXX"
next
edit 61
set code 61
set value "50392f4ef690"
next
end
set dhcp-egress-cos cos6
set device-identification enable
set role wan
set snmp-index 14
config ipv6
config client-options
edit 15
set code 15
set value "002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7836"
next
edit 16
set code 16
set value "0000040e0005736167656d"
next
edit 11
set code 11
set value "XXXXXXXXXX"
next
edit 1
set code 1
set value "0003000150392f4ef690"
next
edit 17
set code 17
set value "000005580002000a000000ffffffffffffff"
next
end
set dhcp6-egress-cos cos6
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 792917648
next
end
end
set interface "sfp"
set vlanid 832
next
end

Voila

Salut iriseden,
J'ai fait pleins de test dans le passé en GPON mais je suis passé depuis peu en XGSPON avec Orange et j'avoue que je galère un peu pour les tests avec un FortiGate en 8.0 !
J'ai quelques questions sur les tests réussis que tu as fait :
- si tu fais un vlan sur FortiOS tu ne peux pas changer la MAC du vlan mais seulement sur l'interface ou est attachée le vlan. Sinon tu dois faire un vlan en EMAC VLAN pour pouvoir lui affecter une MAC propre, si tu as fait cela tu changes aussi la MAC de l'interface qui porte ce vlan ?
- j'ai mon nouveau LEOX LXE-010X-A qui est facile à configurer (j'ai changé le GPON_SN, PON_VENDOR_ID et le HW_HWVER) et il était tout de suite en O5
- par contre j'ai la même config que toi (à part le vlan ou le EMAC vlan j'ai testé les deux) et impossible d'avoir une ipv4, ca tourne ca tourne....
- pour ipv6 j'attends d'avoir ipv4 up and running

Dans le doute je te mets ma config :

Code: [Sélectionner]

config system interface
    edit "vlan832"
        set vdom "root"
        set mode dhcp
        config client-options
            edit 60
                set value "736167656d"
            next
            edit 61
                set value "01581dd83d1c20"
            next
            edit 77
                set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7837"
            next
            edit 90
                set value "XXXXXXXXXXXXXXXXXXX"
            next
        end
        set allowaccess ping
        set dhcp-egress-cos cos6
        set device-identification enable
        set role wan
        set snmp-index 25
        config ipv6
            set ip6-mode dhcp
            config client-options
                edit 1
                    set value "00030001581dd83d1c20"
                next
                edit 11
                    set value "XXXXXXXXXXXXXXXXXXX"
                next
                edit 15
                    set value "002c2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7837"
                next
                edit 16
                    set value "0000040e0005736167656d"
                next
            end
            set dhcp6-egress-cos cos6
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 792917648
                next
            end
        end
        set interface "x2"
        set vlanid 832
    next
end

et sur le premier test j'étais sur un vlan donc je peux changer uniquement la MAC usr l'interface x2 :

Code: [Sélectionner]

config system interface
    edit "x2"
        set vdom "root"
        set mode dhcp
        set allowaccess ping
        set type physical
        set alias "orange"
        set role wan
        set snmp-index 2
        config ipv6
            set ip6-allowaccess ping
            set autoconf enable
        end
        set macaddr 58:1d:xx:xx:xx:xx
        set speed 10000auto
    next
end

Des idées, des pistes ?