VPN Lan to Lan - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 03-03-2016 à 14:29:23
Bonjour,
tu peux faire un tunnel gretap que tu "encapsules" dans un vpn ipsec, ainsi tu gardes le même plan d'adressage des deux côtés. en pratique je sais comment le faire sur du stormshield mais je connais mal Fortinet donc il te faudra probablement une doc ^^ .
Marsh Posté le 03-03-2016 à 15:12:54
Bonjour,
Merci Splinter pour t’être arrêté sur mon souci.
Je suis ton conseil, j'ai trouvé de la doc http://docs.fortinet.com/uploaded/ [...] vpn-50.pdf
Par contre il faut un FortiOS 4.0 et je suis en 3.0, je regarde en ce moment comment le mettre a jour.
Vincent
Marsh Posté le 03-03-2016 à 16:09:54
Pas de soucis
procédure pour l'update :
To upgrade the firmware using the web-based manager
1
Copy the new firmware image file to your management computer.
The firmware images for FortiGate units are available at the Fortinet Technical Support
web site. Log in to
the site and go to
Firmware Images > FortiGate
.
2
Log into the web-based manager as the super admin, or an administrator account that
has system configuration read and write privileges.
3
Go to
System > Status
.
4
In the System Information section, sele
ct Update on the Fi
rmware Version line.
5
Type the path and filename of the firmware
image file, or select Browse and locate the
file.
6
Select
OK
.
The FortiGate unit uploads the firmware
image file, upgrades to the new firmware
version, closes all sessions, restarts, and
displays the FortiGate login. This process
takes a few minutes.
7
Log into the web-based manager.
8
Go to
System > Status
and check the Firmware Version to confirm that the firmware
upgrade is successfully installed.
9
Update antivirus and attack definitions. For information about updating antivirus and
attack definitions, see
“Configuring FortiGuard Services” on page 264
source : http://kb.fortinet.com/kb/microsit [...] 2013546163
Marsh Posté le 03-03-2016 à 17:03:36
Super, merci je vais donc suivre la procedure et te tiens au courant de la suite.
Marsh Posté le 04-03-2016 à 09:30:41
Salut,
Alors pour les mises à jour du Fortinet faut avoir une licence active,et la mienne est expirée depuis 2008 et celui qui nous a fourni les Fortinet n'existe plus, bref ca semble le moisi. Par contre sur 2 autres sites, (j'en ai 5 qui pointent vers un site - serveur principal) j'ai trouvé un zyxel usg 50, en regardant les doc ici et la, j'ai trouvé ceci http://www.zyxel.fr/support/knowle [...] ail/115246
Je vais essayer entre les deux sites qui ont le même zyxel du coup et je te dit ce qu'il en est.
Vincent
Marsh Posté le 04-03-2016 à 10:02:08
Hello !
Effectivement c'est dommage, peut-être à l'avenir faudra t'il envisager de reprendre une licence ? ou changer de produit ?
Ta solution entre les deux zyxel à l'air assez simple a mettre en oeuvre effectivement, j'attends ton retour sur ce sujet, c'est intéressant
Marsh Posté le 04-03-2016 à 21:06:58
Tu peux également résoudre les problèmes de sites distants qui se recouvrent avec des translations. Même qd ils sont reliés en ipsec.
Si t'encapsules des tunnels dans d'autres tunnels (comme gretap dans ipsec) tu finis par transporter que des entêtes de protocoles au bout d'un moment.
Reste à voir dans le cas présent quelle est la solution la plus efficace.
Marsh Posté le 04-03-2016 à 22:10:18
Tout a fait Giméa, du Nat-T , c'est tout à fait ce qu'il va mettre en oeuvre avec la doc des Zyxel. Oui, le Gretap dans Ipsec augmente la longueur des en-têtes, donc la fragmentation, mais je ne pense pas que cela fasse baisser sensiblement la qualité de la connexion ?
Marsh Posté le 05-03-2016 à 09:12:47
Le NAT-T dans le cadre d'ipsec permet à un correspondant de monter un tunnel tout en étant derrière un routeur qui NAT.
Dans son cas à lui, il peut faire du NAT avant VPN en attribuant un subnet virtuel de chaque coté et en translatant.
Si tu paramètres correctement ton MSS, j'aurais tendance à penser que tu n'auras pas de fragmentation mais par contre en encapsulant du GRE dans de l'IPSEC tu envoies des trames qui contiennent moins de données utiles et plus d'entêtes.
En fait la vraie solution dans son cas ça serait surtout de ne pas avoir de réseaux qui se recouvrent.
Marsh Posté le 05-03-2016 à 09:34:51
Oui, ça serait la solution la plus simple, mais il y a les contraintes de l'existant, tu peux pas toujours tout changer en entreprise.
Tu as raison pour le nat-t, c'est un abus de langage de ma part mais on parle bien de la même chose .
Marsh Posté le 05-03-2016 à 09:53:53
splinter_five0 a écrit : Oui, ça serait la solution la plus simple, mais il y a les contraintes de l'existant, tu peux pas toujours tout changer en entreprise. |
Exact, d'autant plus que je n'avais que partiellement lu son message et son schéma et qu'en plus c'est seulement pour du secours.
Marsh Posté le 06-04-2016 à 21:49:45
Salut,
désolé de répondre si tard, j'ai fait des tests entre deux zyxel usg50, l'un derrière un lien adsl SFR et l'autre Orange, le vpn se monte bien mais le NAT ne fonctionne pas.
J'ai passé bcp de temps sur les conf sans pour autant trouver de solution, j'ai contacté mon éditeur qui gère le serveur en question et lui ai demandé de libérer une des 4 cartes réseau et d'y mettre une adresse ip privée différente du reseau actuel.
Ce sera plus simple a gérer, d'autant plus que c'est pour du secours...
Merci à tous pour m'avoir aidé.
Bonne soirée,
Marsh Posté le 03-03-2016 à 12:58:57
Bonjour à tous,
Je vous sollicite car cela fait plusieurs semaines que je cherche une solution sur le forum, internet avec des guides mais je ne trouve pas la bonne configuration.
Voici mon souci, j'ai plusieurs sites distant mais sur le même réseau 10.17.72.x/24 reliés entre eux en fibre optique du même opérateur internet. (couleur noire)
Sur site il y a des abonnements Adsl orange et des Fortinet 50B. Je souhaiterai (couleur verte) pouvoir les utiliser en cas de coupure d'un lien fibre optique.
Pur ce faire, parallèlement en test j'ai configuré les Fortinet pour faire du VPN entre eux et ça fonctionne mais sur des réseaux IP différents,par exemple j'ai mis le site A en 192.168.1.x/24 et le site principal en 192.168.2.x/24 mais je souhaiterai que ça fonctionne avec le plan d'adressage réseau existant qui est en 10.17.72.1/24 sur chaque site.
Pouvez-vous m'aider à y voir plus clair pour adapter ma configuration ADSL "de secours" en utilisant un VPN.
Je vous en suis tres reconnaissant et vous remercie pour votre aide.
Vincent