Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 83320 fois)

nscheffer · « **Réponse #144 le:** 05 mai 2026 à 20:11:40 »

Citation de: iriseden le 05 mai 2026 à 20:03:36

Bonjour

Alors, d'après mes tests pour la partie V4, c'est normalement super rapide.

Sauf erreur de ma part, dans ton option 61, il y a trop de caractères (normalement c'est juste la MAC sans les ":"), donc dans mon cas : 50392f4ef690.

Pour la partie 90, est-ce que tu as bien 140 caractères au total dans la chaine (par exemple : 00000000000000000000001a0900000558010341010D6674692F777A39746F746F3c1231323334353637383930313233343536031341cb862b184b09b54b348e2edebd091c36), si il t'en manque, il faut rajouter du bourrage devant (00).

Pour la partie MAC, je ne me suis pas embêté, j'ai mis un "set macaddr 50:39:2f:4e:f6:90 sur l'interface qui port de VLAN.

Enfin, j'ai rajouté l'option 125 en V4 pour tenter de me conformer au maximum a ce que fait Orange sur son réseau :

Code: [Sélectionner]
edit 125 set code 125 set value "000005580c020a000000ffffffffffffff" next
Pour IPv6 c'est contre-intuitif, mais il faut laisser en statique (sinon il va faire une demande d'IP en plus de la demande de préfixe d'après mes tests).

À date, il manque la récupération d'une route par défaut quand on récupère un préfixe, donc il faut mettre une route statique à la main (vers fe80::ba0:bab d'après mes PCAP). Testé, cela fonctionne par contre, le préfixe met parfois du temps à venir .

J'espère que cela te permettra d'arriver au bout !

Bonne soirée

Merci du retour rapide !
Je vais corriger et refaire des tests !!
L'option 125 normalement c'est quoi ? Elle se loge dans les clients-options du DHCPv4 je suppose ?
Je vais d'abord tenter comme toi sans EMAC VLAN avec un set macaddr sur l'interface du vlan.
Du coup l'interface du vlan tu la forces en statique vide et pas en DHCP ?
IPv6 je verrai après on va déjà faire tout en IPv4

Fab.z · « **Réponse #145 le:** 06 mai 2026 à 16:53:33 »

Hello !

J'ai vu le nouveau firmware 8 qui vient de sortir. J'ai acheté un pti support pour MAJ un Fortigate 40F, j'ai testé et ça marche au moins pour l'IPv4

J'ai suivi vos conf', j'ai récupérer les infos de la LBB via l'utilitaire LiveBoxInfos et ça marche. J'ai même réussi sans cloner la MAC que j'avais oublié au début.

par contre la valeur de "config dhcp6-iapd-list" vous l'avez prise ou ?

Bonne journée

nscheffer · « **Réponse #146 le:** 06 mai 2026 à 16:57:08 »

Citation de: Fab.z le 06 mai 2026 à 16:53:33

Hello !

J'ai vu le nouveau firmware 8 qui vient de sortir. J'ai acheté un pti support pour MAJ un Fortigate 40F, j'ai testé et ça marche au moins pour l'IPv4
J'ai suivi vos conf', j'ai récupérer les infos de la LBB via l'utilitaire LiveBoxInfos et ça marche. J'ai même réussi sans cloner la MAC que j'avais oublié au début.

par contre la valeur de "config dhcp6-iapd-list" vous l'avez prise ou ?

Bonne journée

Ah veinard ! Je patauge encore, tu peux partager ta conf stp, seulement la partie interface sur le vlan 832 et l'interface qui porte ton vlan stp ?
Si tu préfères fais un MP.
Je comprends pas j'ai pas encore réussi en IPv4, alors qu'avant sur le GPON c'était immédiat. Il semble que les critères et contraintes du XSGPON sont pas les mêmes que le GPON...

Fab.z · « **Réponse #147 le:** 06 mai 2026 à 17:20:04 »

Pas de problème

Code: [Sélectionner]

FortiGate-40F # show system interface wan 
config system interface
    edit "wan"
        set vdom "root"
        set type physical
        set device-identification enable
        set lldp-reception disable
        set lldp-transmission disable
        set role wan
        set snmp-index 1
        set macaddr aa:bb:cc:dd:ee:ff
    next
end


FortiGate-40F # show system interface vlan832
config system interface
    edit "vlan832"
        set vdom "root"
        set mode dhcp
        config client-options
            edit 60
                set code 60
                set value "10 caractères"
            next
            edit 61
                set code 61
                set value "14 caractères"
            next
            edit 77
                set code 77
                set value "88 caractères"
            next
            edit 90
                set code 90
                set value "140 caractères"
            next
        end
        set dhcp-egress-cos cos6
        set device-identification enable
        set role wan
        set snmp-index 13
        config ipv6
            config client-options
                edit 15
                    set code 15
                    set value "90 caractères"
                next
                edit 16
                    set code 16
                    set value "22 caractères"
                next
                edit 11
                    set code 11
                    set value "140 caractères"
                next
                edit 17
                    set code 17
                    set value "44 caractères"
                next
                edit 1
                    set code 1
                    set value "20 caractères"
                next
            end
            set dhcp6-egress-cos cos6
            set dhcp6-prefix-delegation enable
            set autoconf enable
            config dhcp6-iapd-list
                edit 792917648
                next
            end
        end
        set interface "wan"
        set vlanid 832
    next
end

FortiGate-40F #

Pour info j'ai une LBB v2 avec un pti boitier fibre huawei. J'ai ajouté la conf de l'interface wan.

nscheffer · « **Réponse #148 le:** 06 mai 2026 à 17:43:44 »

Citation de: Fab.z le 06 mai 2026 à 17:20:04

Pas de problème

Code: [Sélectionner]
FortiGate-40F # show system interface wan config system interface edit "wan" set vdom "root" set type physical set device-identification enable set lldp-reception disable set lldp-transmission disable set role wan set snmp-index 1 set macaddr aa:bb:cc:dd:ee:ff next end FortiGate-40F # show system interface vlan832 config system interface edit "vlan832" set vdom "root" set mode dhcp config client-options edit 60 set code 60 set value "10 caractères" next edit 61 set code 61 set value "14 caractères" next edit 77 set code 77 set value "88 caractères" next edit 90 set code 90 set value "140 caractères" next end set dhcp-egress-cos cos6 set device-identification enable set role wan set snmp-index 13 config ipv6 config client-options edit 15 set code 15 set value "90 caractères" next edit 16 set code 16 set value "22 caractères" next edit 11 set code 11 set value "140 caractères" next edit 17 set code 17 set value "44 caractères" next edit 1 set code 1 set value "20 caractères" next end set dhcp6-egress-cos cos6 set dhcp6-prefix-delegation enable set autoconf enable config dhcp6-iapd-list edit 792917648 next end end set interface "wan" set vlanid 832 next end FortiGate-40F #
Pour info j'ai une LBB v2 avec un pti boitier fibre huawei. J'ai ajouté la conf de l'interface wan.

C'est quoi l'adaptateur GPON que tu as pris ?
De ce que je vois tu dois être en GPON (max 2Gbps) et pas en XSGPON (< 10Gbps) ?
Merci pour la conf, tu as pas mis la cos 6 pour les requètes ARP et ca marche ?

Fab.z · « **Réponse #149 le:** 06 mai 2026 à 17:53:10 »

J'ai pas d'adaptateur, je suis sur le petit boitier d'origine d'Orange puis en ethernet direct sur le port wan du fortigate.

Je m'y connais pas aussi bien que vous alors je me suis contenté de suivre vos conf'. J'ai l'option "dhcp-egress-cos cos6" de positionné en ipv4/6, rien de plus.

zoc · « **Réponse #150 le:** 06 mai 2026 à 18:12:02 »

Citation de: Fab.z le 06 mai 2026 à 16:53:33

J'ai même réussi sans cloner la MAC que j'avais oublié au début.

Normal, Orange ne vérifie pas la Mac, uniquement qu'elle est identique sur l'interface et dans l'option 61.

zoc · « **Réponse #151 le:** 06 mai 2026 à 18:13:58 »

Citation de: nscheffer le 06 mai 2026 à 16:57:08

Il semble que les critères et contraintes du XSGPON sont pas les mêmes que le GPON...

Exactement les mêmes... Quand je suis passé de GPON à XGS-PON, j'ai juste débranché l'ONT GPON, branché l'ONT (WAS-110) XGS-PON et je n'ai rien touché d'autre.

Ce n'est qu'après que j'ai tout cassé en me trompant dans l'option 77

iriseden · « **Réponse #152 le:** 12 mai 2026 à 19:42:16 »

Citation de: nscheffer le 05 mai 2026 à 20:11:40

Merci du retour rapide !
Je vais corriger et refaire des tests !!
L'option 125 normalement c'est quoi ? Elle se loge dans les clients-options du DHCPv4 je suppose ?
Je vais d'abord tenter comme toi sans EMAC VLAN avec un set macaddr sur l'interface du vlan.
Du coup l'interface du vlan tu la forces en statique vide et pas en DHCP ?
IPv6 je verrai après on va déjà faire tout en IPv4

Tu as réussi du coup ? L'option 125 n'est pas impérative à ma connaissance (Vendor-specific Information, cf. image

)

Alors, oui, soit en statique vide, soit avec une adresse permettant d'administrer l'ONT.

Pour la partie IPv6, j'ai l'impression que c'est assez aléatoire (malgré les bonnes options, le préfixe met du temps à arriver), mais je vais creuser.

Bonne soirée,
iriseden

nscheffer · « **Réponse #153 le:** 16 mai 2026 à 23:09:32 »

Citation de: iriseden le 12 mai 2026 à 19:42:16

Tu as réussi du coup ? L'option 125 n'est pas impérative à ma connaissance (Vendor-specific Information, cf. image )

Alors, oui, soit en statique vide, soit avec une adresse permettant d'administrer l'ONT.

Pour la partie IPv6, j'ai l'impression que c'est assez aléatoire (malgré les bonnes options, le préfixe met du temps à arriver), mais je vais creuser.

Bonne soirée,
iriseden

Finalement yes tout marche nickel, beaucoup mieux et plus rapide !!
C'était quoi ? Une connerie sur le Leox ou j'ai pas mis le bon serial (j'ai pris le serial commercial de la Livebox).
Ensuite IPv4 up tout de suite et préfix /56 récupéré immédiatement.
Je clean ma conf et je ferai un post complet de la conf

nscheffer · « **Réponse #154 le:** **Hier** à 13:03:38 »

Voila ma config pour remplacer la Livebox 7v1 par un FortiGate 91G et un Leox LXE-010X-A (au passage il me reste un second LEOX, MP si qq’un est intéressé).

Pour la partie LEOX c’est largement documenté, je ne remets pas la config mais ne pas oublier de bien prendre le bon serial et pas celui de la Livebox mais celui de l’ONT !
Sur le Fortigate l’interface qui porte le vlan832 est X2 (SFP+ ou RJ455 10Gbps) :

Code: [Sélectionner]

config system interface
    edit "x2"
        set vdom "root"
        set type physical
        set alias "orange"
        set role wan
        set snmp-index 2
        set macaddr 58:1d:d8:xx:xx:xx
        set speed 10000auto
    next
end

Ensuite la partie vlan832 :

Code: [Sélectionner]

config system interface
    edit "vlan832"
        set vdom "root"
        set mode dhcp
        config client-options
            edit 60
                set code 60
                set value "736167656d"
            next
            edit 61
                set code 61
                set value "581dd8xxxxxx"
            next
            edit 77
                set code 77
                set value "46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665xxxxxxxx"
            next
            edit 90
                set code 90
                set value "00000000000000000000001a0900000558010341010d6674692f613470393464663c12557149713f5d662422634455244569790313363ce05ef27682edc7ac60d316xxxxxxxx"
            next
        end
        set dhcp-egress-cos cos6
        set arp-egress-cos cos6
        set device-identification enable
        set monitor-bandwidth enable
        set role wan
        set snmp-index 25
        config ipv6
            config client-options
                edit 1
                    set code 1
                    set value "00030001581dd8xxxxxx"
                next
                edit 11
                    set code 11
                    set value "00000000000000000000001a0900000558010341010d6674692f613470393464663c12557149713f5d662422634455244569790313363ce05ef27682edc7ac60d316xxxxxxxx"
                next
                edit 15
                    set code 15
                    set value "002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665xxxxxxxx"
                next
                edit 16
                    set code 16
                    set value "0000040e0005736167656d"
                next
            end
            set dhcp6-egress-cos cos6
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 29
                next
            end
        end
        set interface "x2"
        set vlanid 832
    next
end

Pour la partie réseau j'ai une config stadard SD-WAN :

Code: [Sélectionner]

config system sdwan
    set status enable
    config zone
        edit "virtual-wan-link"
        next
    end
    config members
        edit 3
            set interface "vlan832"
            set gateway6 fe80::ba0:bab
        next
    end
    config health-check
        edit "Default_DNS"
            set system-dns enable
            set interval 1000
            set probe-timeout 1000
            set recoverytime 10
            set members 0
            config sla
                edit 1
                    set link-cost-factor latency jitter packet-loss
                    set latency-threshold 250
                    set jitter-threshold 50
                    set packetloss-threshold 5
                next
            end
        next
    end
end

avec une defaut route sur mon sd-wan :

Code: [Sélectionner]

config router static
    edit 1
        set distance 1
        set sdwan-zone "virtual-wan-link"
    next
end

Il faut bien penser à ajouter la route ipv6 dans la configuration SD-WAN dans la partie members :

Code: [Sélectionner]

    config members
        edit 3
            set interface "vlan832"
            set gateway6 fe80::ba0:bab
        next

Et ensuite on a tout de suite une IPv4 avec les DNS d'Orange et la rotue par défaut.
Idem pour la partie IPv6 ou il faut passer un /64 sur le /56 que l'on a récupéré à votre premier réseau LAN interne :

Code: [Sélectionner]

config system interface
    edit "prod"
        set vdom "root"
        set ip 10.255.16.1 255.255.255.0
        set allowaccess ping https ssh fabric
        set alias "prod.fortilink"
        set device-identification enable
        set monitor-bandwidth enable
        set role lan
        set snmp-index 27
        set ip-managed-by-fortiipam disable
        set color 9
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh fabric
            set dhcp6-prefix-delegation enable
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-delegated-prefix-iaid 29
            set ip6-upstream-interface "vlan832"
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "vlan832"
                    set delegated-prefix-iaid 29
                    set subnet ::/64
                    set rdnss-service delegated
                next
            end
            config dhcp6-iapd-list
                edit 28
                next
            end
        end
        set interface "fortilink"
        set vlanid 4016
    next
end

Et pour finir le DHCPv6 :

Code: [Sélectionner]

config system dhcp6 server
    edit 1
        set rapid-commit enable
        set dns-service delegated
        set interface "prod"
        set upstream-interface "vlan832"
        set delegated-prefix-iaid 29
        set ip-mode delegated
    next
end

Coté utlisateur c'est complètement transparent, rien à faire.
Si mon IPv4 public bouge, tout s'adapte et c'est la NAT qui fait le job et si mon prefix /56 IPv6 change idem tout est dynamqiue.

Merci à tous ceux qui m'ont aidés (@iriseden, @Fab.z et @zoc)
Nicolas

iriseden · « **Réponse #155 le:** **Aujourd'hui** à 19:07:28 »

Bonjour

,

Je rajoute ma partie de configuration si cela peut en aider certains

Je suis en GPON (Offre Sosh) avec un ONT FS (pour moi, la partie accès, FTTH, GPON ou XGS-PON ne change rien à la configuration), et j'utilise un FG-80F.

Pour la partie interface portant le l'ONT :

Code: [Sélectionner]

config system interface
    edit "wan1"
        set vdom "root"
        set type physical
        set role wan
        set snmp-index 1
        set macaddr 50:39:xx:xx:xx:90
    next
end

Pour la partie configuration du VLAN d'accès (832):

Code: [Sélectionner]

config system interface
    edit "orange"
        set vdom "root"
        set mode dhcp
        config client-options
            edit 77
                set code 77
                set value "2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7835"
            next
            edit 60
                set code 60
                set value "736167656d"
            next
            edit 90
                set code 90
                set value "00000000000000000000001a0900000558010341010D6674692F777A39746F746F3c1231323334353637383930313233343536031341cb862b184b09b54b348e2edebd091c36"
            next
            edit 61
                set code 61
                set value "5039xxxxxx90"
            next
            edit 125
                set code 125
                set value "000005580c020a000000ffffffffffffff"
            next
        end
        set dhcp-egress-cos cos6
        set device-identification enable
        set role wan
        set snmp-index 18
        config ipv6
            config client-options
                edit 15
                    set code 15
                    set value "002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7835"
                next
                edit 16
                    set code 16
                    set value "0000040e0005736167656d"
                next
                edit 11
                    set code 11
                    set value "00000000000000000000001a0900000558010341010D6674692F777A39746F746F3c1231323334353637383930313233343536031341cb862b184b09b54b348e2edebd091c36"
                next
                edit 17
                    set code 17
                    set value "000005580002000a000000ffffffffffffff"
                next
            end
            set dhcp6-egress-cos cos6
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint ::/56
                next
            end
        end
        set interface "wan1"
        set vlanid 832
    next
end

Pour la route statique en IPv6 :

Code: [Sélectionner]

config router static6
    edit 1
        set gateway fe80::ba0:bab
        set device "orange"
    next
end

Pour propager un premier /64 sur une interface LAN :

Code: [Sélectionner]

FW-RENNES (internal) # show
config system interface
    edit "internal"
        set vdom "root"
        set ip 192.168.0.254 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set device-identification enable
        set role lan
        set snmp-index 15
        config ipv6
            set ip6-mode delegated
            set ip6-send-adv enable
            set ip6-delegated-prefix-iaid 1
            set ip6-upstream-interface "orange"
            set ip6-subnet 0:0:0:1::/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "orange"
                    set delegated-prefix-iaid 1
                    set subnet 0:0:0:1::/64
                    set rdnss-service delegated
                next
            end
        end
    next
end

Et un second préfix sur une autre interface :

Code: [Sélectionner]

config system interface
    edit "IOT"
        set vdom "root"
        set ip 172.16.0.254 255.255.255.128
        set device-identification enable
        set role lan
        set snmp-index 19
        set ip-managed-by-fortiipam disable
        config ipv6
            set ip6-mode delegated
            set ip6-send-adv enable
            set ip6-delegated-prefix-iaid 1
            set ip6-upstream-interface "orange"
            set ip6-subnet 0:0:0:2::/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "orange"
                    set delegated-prefix-iaid 1
                    set subnet 0:0:0:2::/64
                    set rdnss-service delegated
                next
            end
        end
        set interface "internal"
        set vlanid 30
    next
end

On récupère ensuite des IPs dans les /64 compris dans le /56 délégués en DHCP

Infos supplémentaires :

- D'après mes tests, pas/plus besoin de mettre l'option n°1 en IPv6 (DUID), celle-ci est mise automatiquement en se basant sur l'adresse mac de l'interface.
- Si aucune requête DHCPv6 n’est envoyée avec la configuration proposée (statique avec délégation activée), alors je dois basculer en DHCP, le pare-feu va faire une requête avec IA_PD + IA_NA, puis rebasculer en statique (avec délégation activée), le pare-feu fait alors une requête DHCPv6 uniquement avec IA_PD. À confirmer :/
- En mode statique + DHCPv6, il ne semble pas y avoir de RS envoyé, d'où le besoin d'ajouter une route statique.