Bonjour Eric, Ça sera intéressant peut-être de regarder 6WIND vSecGW.
En gros, ça donne un serveur IPSEC dédié avec StrongSwan parfaitement apprivoisé sur n'importe lequel hardware COTS. Il est distribué sous une forme de packages ou on peut choisir une image de VM pour déployer dans l'infra instantanée. Côté client, on utilise les clients open source, openvpn. https://www.6wind.com/vrouter-vsr-solutions/virtual-security-gateway/use-case-site-to-site-vpn/ https://www.6wind.com/6wind-turbo-ipsec-the-vpn-concentrator-vrouter-for-secure-communication/ Voici comment ça se configure: https://doc.6wind.com/new/vsr-3/3.7/vsr-guide/user-guide/cli/security/ike.html On peut télécharger free trial pour un mois depuis ce lien https://www.6wind.com/vsr-evaluation/ C'est une boite française à Montigny-le-Bretonneux, vous aurez toujours un bon support si besoin. Bien cordialement, Le ven. 11 avr. 2025 à 15:35, Eric Belhomme <rico-fr...@ricozome.net> a écrit : > Bonjour chère liste, > > Je suis en train de regarder afin de nous mettre en conformité avec > NIS2 et DORA pour migrer nos VPN vers IPSEC. > Je souhaite écarter les setups "propriétaires" pour rester sur des > choses universelles qui puissent fonctionner partout, sans avoir à > installer de client propriétaire merdique. > J'ai donc posé mon dévolu sur IKEv2 + EAP-TLS qui devrait pouvoir > fonctionner chez tout le monde, et permet de faire du 2FA (user/mdp et > certificat X.509) > > J'ai donc tenté de PoCquer avec mes collègues du réseau sur un boitier > Fortinet. C'est un big fail ! > En désespoir de cause, nous avons tenté avec le client Forticlient, en > dégradant en EAP, et même jusqu'à un truc aussi con que PSK. Fail. > > Coté Linux, on a tenté avec la stack StrongSwan et NetworkManager, et > avec Forticlient. Sur Mac, on tenté avec l'implémentation native > IPSEC, et avec Forticlient. Rien n'est tombé en marche. > > Je dois tout de même préciser que ni moi , ni le collègue qui a la main > sur le Forti, ne sommes des experts IPSEC. Il est donc tout à fait > probable que le problème se situe entre la chaise et le clavier... > > Cependant, j'ai souvent entendu les gens du réseau de se plaindre des > implémentation foireuses des boitiers propriétaires. A tel point que je > me demande si la best-practise ne consisterait pas à carrément dédier > un serveur avec StrongSwan plutôt que de vouloir utiliser un boitier FW > ??? > > Je suis donc preneur de tout avis éclairé sur les questions suivantes : > - IPSEC sur appliance FW vs serveur IPSEC dédié ? > - mauvaise réputation Fortinet : mythe ou réalité ? > - vers quel type de matériel se diriger ? > > En vous remerciant, > > -- > Eric > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
