Bonjour Je connais bien la partie FortiGate, car nous sommes spécialisés sur cette techno, avec plusieurs certifiés FCX/FCSS. Cela fonctionne très bien en IPsec pour des roadwarriors :
- en mode legacy ESP (IP 50) - en transport UDP / NAT-T - en transport TCP (nouveauté 7.6) On peut faire de l’authentification moderne SAML, certificat utilisateur ou avec MFA TrustBuilder InWebo par exemple. Le FortiClient a un nombre limité de fonctionnalités dans la version gratuite et davantage quand il est managé par un EMS : https://docs.fortinet.com/document/forticlient/6.2.3/administration-guide/269675/feature-comparison-of-forticlient-free-and-paid-versions Si vous avez besoin, vous pouvez me contacter à l’adresse : gtournat (AT) ironie (.) fr > On 11 Apr 2025, at 15:37, Eric Belhomme <rico-fr...@ricozome.net> wrote: > > Bonjour chère liste, > > Je suis en train de regarder afin de nous mettre en conformité avec > NIS2 et DORA pour migrer nos VPN vers IPSEC. > Je souhaite écarter les setups "propriétaires" pour rester sur des > choses universelles qui puissent fonctionner partout, sans avoir à > installer de client propriétaire merdique. > J'ai donc posé mon dévolu sur IKEv2 + EAP-TLS qui devrait pouvoir > fonctionner chez tout le monde, et permet de faire du 2FA (user/mdp et > certificat X.509) > > J'ai donc tenté de PoCquer avec mes collègues du réseau sur un boitier > Fortinet. C'est un big fail ! > En désespoir de cause, nous avons tenté avec le client Forticlient, en > dégradant en EAP, et même jusqu'à un truc aussi con que PSK. Fail. > > Coté Linux, on a tenté avec la stack StrongSwan et NetworkManager, et > avec Forticlient. Sur Mac, on tenté avec l'implémentation native > IPSEC, et avec Forticlient. Rien n'est tombé en marche. > > Je dois tout de même préciser que ni moi , ni le collègue qui a la main > sur le Forti, ne sommes des experts IPSEC. Il est donc tout à fait > probable que le problème se situe entre la chaise et le clavier... > > Cependant, j'ai souvent entendu les gens du réseau de se plaindre des > implémentation foireuses des boitiers propriétaires. A tel point que je > me demande si la best-practise ne consisterait pas à carrément dédier > un serveur avec StrongSwan plutôt que de vouloir utiliser un boitier FW > ??? > > Je suis donc preneur de tout avis éclairé sur les questions suivantes : > - IPSEC sur appliance FW vs serveur IPSEC dédié ? > - mauvaise réputation Fortinet : mythe ou réalité ? > - vers quel type de matériel se diriger ? > > En vous remerciant, > > -- > Eric > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
