Attends, tu as pas réussi à faire marcher Forticlient sur un Fortigate ? En utilisant le Tunnel Wizard ?
Là, je pense qu’il faut peut-être commencer par faire marcher ça, dans la conf la plus simple, avant de complexifier (EAP), puis de passer à de l’hétérogène. PS: Ceci dit, IPsec entre vendors,, c’est un cauchemar, c’est pour ça que des protocoles modernes et simples ont vu le jour. C’est un point de vue personnel. David > Le 11 avr. 2025 à 15:35, Eric Belhomme <rico-fr...@ricozome.net> a écrit : > > Bonjour chère liste, > > Je suis en train de regarder afin de nous mettre en conformité avec > NIS2 et DORA pour migrer nos VPN vers IPSEC. > Je souhaite écarter les setups "propriétaires" pour rester sur des > choses universelles qui puissent fonctionner partout, sans avoir à > installer de client propriétaire merdique. > J'ai donc posé mon dévolu sur IKEv2 + EAP-TLS qui devrait pouvoir > fonctionner chez tout le monde, et permet de faire du 2FA (user/mdp et > certificat X.509) > > J'ai donc tenté de PoCquer avec mes collègues du réseau sur un boitier > Fortinet. C'est un big fail ! > En désespoir de cause, nous avons tenté avec le client Forticlient, en > dégradant en EAP, et même jusqu'à un truc aussi con que PSK. Fail. > > Coté Linux, on a tenté avec la stack StrongSwan et NetworkManager, et > avec Forticlient. Sur Mac, on tenté avec l'implémentation native > IPSEC, et avec Forticlient. Rien n'est tombé en marche. > > Je dois tout de même préciser que ni moi , ni le collègue qui a la main > sur le Forti, ne sommes des experts IPSEC. Il est donc tout à fait > probable que le problème se situe entre la chaise et le clavier... > > Cependant, j'ai souvent entendu les gens du réseau de se plaindre des > implémentation foireuses des boitiers propriétaires. A tel point que je > me demande si la best-practise ne consisterait pas à carrément dédier > un serveur avec StrongSwan plutôt que de vouloir utiliser un boitier FW > ??? > > Je suis donc preneur de tout avis éclairé sur les questions suivantes : > - IPSEC sur appliance FW vs serveur IPSEC dédié ? > - mauvaise réputation Fortinet : mythe ou réalité ? > - vers quel type de matériel se diriger ? > > En vous remerciant, > > -- > Eric > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
