Bonjour chère liste, Je suis en train de regarder afin de nous mettre en conformité avec NIS2 et DORA pour migrer nos VPN vers IPSEC. Je souhaite écarter les setups "propriétaires" pour rester sur des choses universelles qui puissent fonctionner partout, sans avoir à installer de client propriétaire merdique. J'ai donc posé mon dévolu sur IKEv2 + EAP-TLS qui devrait pouvoir fonctionner chez tout le monde, et permet de faire du 2FA (user/mdp et certificat X.509)
J'ai donc tenté de PoCquer avec mes collègues du réseau sur un boitier Fortinet. C'est un big fail ! En désespoir de cause, nous avons tenté avec le client Forticlient, en dégradant en EAP, et même jusqu'à un truc aussi con que PSK. Fail. Coté Linux, on a tenté avec la stack StrongSwan et NetworkManager, et avec Forticlient. Sur Mac, on tenté avec l'implémentation native IPSEC, et avec Forticlient. Rien n'est tombé en marche. Je dois tout de même préciser que ni moi , ni le collègue qui a la main sur le Forti, ne sommes des experts IPSEC. Il est donc tout à fait probable que le problème se situe entre la chaise et le clavier... Cependant, j'ai souvent entendu les gens du réseau de se plaindre des implémentation foireuses des boitiers propriétaires. A tel point que je me demande si la best-practise ne consisterait pas à carrément dédier un serveur avec StrongSwan plutôt que de vouloir utiliser un boitier FW ??? Je suis donc preneur de tout avis éclairé sur les questions suivantes : - IPSEC sur appliance FW vs serveur IPSEC dédié ? - mauvaise réputation Fortinet : mythe ou réalité ? - vers quel type de matériel se diriger ? En vous remerciant, -- Eric --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
