Oui et pas qu'un peu. La boite ou je bosse gere plusieurs dizaines de Fortigate sans Fortimanager. En CLI c'est super simple a configurer et la GUI est enfantine.On monte meme des vpns en étoile ou avec maillage entre plusieurs sites. Avec un peu de lab, tu peux meme monter des vpns entre tes differents sites et propager les reseaux de chacuns via BGP/OSPF/IS-IS.
Le seul projet ou l'on tente d'en utiliser un (Fortimanager pour 400 boitiers) est plus galere que les autres à cause de toutes les bizarreries des FortiManager. Les solutions opensource c'est sympa et a 37 ans j'en ai mangé pendant quelques années. Mais avoir un vrai support avec ses qualités et ses faiblesses plutot qu'une communauté pour laquelle tu es un lambda, ca a parfois du bon, et puis le fait de faire du CA avec un constructeur ça ouvre quelques portes. Le 9 mai 2011 19:01, David Amiel <da...@lesamiel.fr> a écrit : > Intéressant, t'as déjà essayé de configurer du vpn sur ce genre de boîtier > ? Je travaille sur du fortigate (sans fortimanager) et je ne trouve pas > l'interface particulièrement ergonomique, ni intuitive. > > > >> Hmm, 2 petits FG50 ou FG60 ca vaut moins cher que 1 serveur Dell. >> Le support/kb de Fortigate contient plein de whitepaper pour la >> connection avec du Cisco, etc meme avec Racoon. >> >> >> Le 9 mai 2011 18:04, Pierre Gaxatte <pierre.gaxa...@gmail.com> a écrit : >>> Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget >>> et >>> des compétences. >>> Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter >>> des >>> VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de >>> reporting >>> sur l'état des tunnels et le debuggage est vraiment lourd quand quelque >>> chose ne fonctionne pas... >>> Mais bon une fois le tunnel monté, ça bouge plus ! >>> Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu >>> plus. >>> >>> J'avais posé une question similaire il y a quelques années sur FRnog et >>> beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne >>> te >>> rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour >>> maintenir sérieusement ton cluster, ça peut correspondre à tes besoins >>> (en >>> tout cas il y a des chances que ça rentre dans ton budget aussi serré >>> soit-il !). >>> >>> 2011/5/9 Julien Bérard <julien.ber...@probesys.com> >>>> >>>> Merci. >>>> Justement je ne sais pas quel matériel je vais utiliser, je prépare ma >>>> consultation. Tu me conseils quelque chose en particulier? >>>> >>>> >>>> >>>> >>>> On 09/05/2011 17:47, Pierre Gaxatte wrote: >>>> >>>> Salut, >>>> Je pense que le plus simple est d'avoir deux tunnels montés sur chaque >>>> site (un à travers L1, l'autre à travers L2) et de faire juste une >>>> bascule >>>> au niveau routage lorsque la liaison principale tombe. Mais ça veut >>>> dire >>>> qu'il y aura toujours quelques paquets qui transitent sur L2 pour >>>> garder les >>>> tunnels up. >>>> Après il faudrait savoir ce que tu utilises pour monter les tunnels des >>>> deux côtés pour pouvoir dire si la bascule peut se faire >>>> automatiquement ou >>>> à la main ! >>>> Cordialement, >>>> Pierre >>>> >>>> 2011/5/9 Julien Bérard <julien.ber...@probesys.com> >>>>> >>>>> Bonjour, >>>>> >>>>> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste >>>>> qui pourra sûrement m'aider! >>>>> >>>>> >>>>> J'ai un site principal avec 2 liaisons, une principale(L1) et une de >>>>> secourt(L2). >>>>> Je souhaite y relier d'autres sites en IPSEC. >>>>> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour >>>>> que celui-ci soit utilisé si le premier lien(L1) tombe en panne? >>>>> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a >>>>> mieux: >>>>> >>>>> Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2, >>>>> ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un >>>>> changement de route suffit? Est-ce que je peux automatiser le >>>>> changement de >>>>> route? >>>>> Dans mes paramètres IPSEC je précise un deuxième serveur à contacter >>>>> (L2) >>>>> si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe >>>>> quel >>>>> matériel? >>>>> >>>>> Merci! >>>>> >>>>> >>>>> _______________________________________________ >>>>> Liste de diffusion du FRsAG >>>>> http://www.frsag.org/ >>>>> >>>> >>>> >>>> _______________________________________________ >>>> Liste de diffusion du FRsAG >>>> http://www.frsag.org/ >>>> >>>> >>>> -- >>>> Cordialement, >>>> >>>> Julien Bérard >>>> >>>> probeSys spécialiste GNU/Linux >>>> Tèl: 09-74-76-47-86 >>>> >>>> _______________________________________________ >>>> Liste de diffusion du FRsAG >>>> http://www.frsag.org/ >>>> >>> >>> >>> >>> -- >>> Pierre Gaxatte >>> >>> _______________________________________________ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/ >>> >>> >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
