Auteur Sujet: Forticlient avec router Ubiquiti ? Quel solution ? (Lu 3026 fois)

OrSnake60 · « **le:** 14 janvier 2020 à 01:25:30 »

Bonjour,

J'ai récemment eu la fibre ce qui m'a tout de suite fait remplacer la box de SFR par un routeur Ubiquiti ER-6. Anciennement le fortigate était en mode PPPoe donc aucun problème car il agissait directement comme le routeur et le VPN était accessible depuis le WAN.

Maintenant que j'ai dû placer l'Ubiquiti devant le fortigate quels sont les moyens pour faire passer seulement le VPN au travers d'Internet ? Port forwarding ?

Je voudrais que mon LAN soit le plus sécurisé possible et que la seule connexion est par ce VPN.

J'ai trouvé une image qui est le même principe, avez vous des idées ?

Merci
Mais

kgersen · « **Réponse #1 le:** 14 janvier 2020 à 01:48:23 »

oui port forwarding vers l'ip local du fortigate. cf la conf de celui-ci pour savoir quel port a forwarder.

Sinon tu peux aussi tout forwarder par défaut vers le fortigate. On s’appelle cela une configuration DMZ, ca se fait avec une regle DNAT (destination NAT) vers le fortigate.

OrSnake60 · « **Réponse #2 le:** 14 janvier 2020 à 02:06:56 »

Merci pour ta réponse surtout à cette heure là lol

Je te met mon infra en PJ, elle date du PPPoe Orange mais le principe reste le même, juste un ER-6 devant)

Le forti est en 192.168.1.200
Les AP sont juste la pour la wifi interne (et le lab)

Le but du VPN c'est de pouvoir récupérer des fichiers perso au travers du VPN tout en bloquant tout le reste.
Actuellement les seuls ports ouverts sont LAN ==> WAN et le trafic entrant lui est filtré

J'ai vu que l'IPSec utilisait trois à quatre ports ?

"Here are the ports and protocols:

Protocol: UDP, port 500 (for IKE, to manage encryption keys)
Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)
Protocol: ESP, value 50 (for IPSEC)
Protocol: AH, value 51 (for IPSEC)
"

Aussi j'ai configuré des FortiToken, je sais pas si ça change la conf mais au cas où

kgersen · « **Réponse #3 le:** 14 janvier 2020 à 02:13:51 »

ce n'est pas forcement de l'IPsec standard avec le forticlient. il peut fonctionner en Remote SSL via une connection sur tcp/443 comme HTTPS.

https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ports-and-protocols/Open%20Ports/FortiClient.htm

C'est donc dépendant de la config du fortigate. C'est pour cela qu'un config DMZ est plus simple, tout passe vers le fortigate.

OrSnake60 · « **Réponse #4 le:** 14 janvier 2020 à 02:24:31 »

Ah oui je vois, mais justement j'ai conf du IPSec via le template fourni sur le forti.

Je vais me renseigner du côté DMZ / DNAT car je ne connais pas du tout le DNAT. Pour ce qui est de la DMZ j'en ai déjà mis en place il y a quelques années

kgersen · « **Réponse #5 le:** 14 janvier 2020 à 02:29:14 »

Citation de: OrSnake60 le 14 janvier 2020 à 02:24:31

Ah oui je vois, mais justement j'ai conf du IPSec via le template fourni sur le forti.

Je vais me renseigner du côté DMZ / DNAT car je ne connais pas du tout le DNAT. Pour ce qui est de la DMZ j'en ai déjà mis en place il y a quelques années

qu'on soit bien clair: c'est dans l'Ubiquiti ER-6 qu'on fait la config DMZ, y'a rien a toucher dans le fortigate.

DMZ = DNAT sur tout les ports, adresses et protocols, en gros c'est la meme chose. port forwarding, DNAT c'est la meme chose juste une question de contexte/vocabulaire.

OrSnake60 · « **Réponse #6 le:** 14 janvier 2020 à 02:37:25 »

Ah d'accord au temps pour moi alors.

Je testerai ça demain alors,
Autre question qui est plus ou moins en rapport avec le post.
Sachant que mon infra est segmenté en deux via deux VLAN (la partie gauche est mon lab, la partie de droite est le local) peut-on rajouter une couche de sécurité entre les deux réseaux autre que des vlans basiques et des droits d'accès spécifiques sur le NAS ?

Dans le cas où il y aurait un accès frauduleux au VPN je ne voudrais pas qu'un sharefolder spécifique soit accessible. Il est bloqué via des ACL avec un accès autorisé via un range en 192.x.x.x sachant que le range VPN n'est pas le même et logiquement n'est pas accessible ?

Merci en tout cas !