Re: [FRnOG] [TECH] Problème FortiGate

Concernant le NPU, déjà désactivé à la demande du support Forti. On a accès au 2, là on a fait ticket chez notre intégrateur qui a fait un ticket chez Forti. La solution de changer le MTU sur l'interface WAN ne semble pas fonctionner Le jeu. 23 mai 2024 à 14:23, Guillaume Tournat a écrit : >

Re: [FRnOG] [TECH] Problème FortiGate

Éventuellement, vous pouvez désactiver l’offloading npu sur la policy concernée, pour voir si vous n’êtes pas dans un bug firmware/asic. Sinon, c’est troubleshoot avec le TAC Fortinet. Vous avez un TAM Fortinet ou c’est vous/votre intégrateur qui faites ce diagnostic ?On 23 May 2024, at 13:28,

Re: [FRnOG] [TECH] Problème FortiGate

Salut Guillaume, C'est ce que nous avons fait, désactiver tous les éléments de sécurité/déchiffrement. Le lun. 20 mai 2024 à 21:30, Guillaume a écrit : > Bonjour, > > Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet (et > non simplement de la vérification de certificat).

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet (et non simplement de la vérification de certificat). Et cela, les applications comme M365 notamment ne l'apprécient guère. Un test à réaliser serait de faire une policy aussi de celles pour le surf, qui cible

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 23:03, Jérôme Marteaux a écrit : Ce n'est pas une bonne idée. Exemple avec ce schéma: CPE <--> PE Si la MTU du PE est à 1500 et celle du CPE est à 1492: lorsque le PE va envoyer des paquets à 1500 le CPE va les dropper. Tu es sûr de çà ? Moi, j'ai plutôt l'impression

Re: [FRnOG] [TECH] Problème FortiGate

Salut, Désolé ca va pas t'aider mais attention, 2 PCs dans un même réseau/navigateur ne signifie pas du tout forcément la même requête réseau.. Juste en parlant de proxy HTTP tu peux avoir: - un poste qui sera configuré via son DHCP pour utiliser un proxy HTTP via un proxy.pac: - Les

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 09:34, Toussaint OTTAVI a écrit : Le 15/05/2024 à 14:48, Hugues Voiturier a écrit : Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, Je suppose que cela dépend des équipements. MSS = MTU moins les headers (IP, TCP, IPsec...). Par défaut, le

Re: [FRnOG] [TECH] Problème FortiGate

Pas fait ce test Toussaint, je vais voir ca. Adrien, au niveau des DNS, nous utilisons les DNS FortiGuard, environ 10ms de latence. Les tests "sans filtrage" sont fait pour l'ensemble du LAN vers le WAN. Le jeu. 16 mai 2024 à 09:54, Toussaint OTTAVI a écrit : > > > Le 16/05/2024 à 09:42,

Re: [FRnOG] [TECH] Problème FortiGate

Le 16/05/2024 à 09:42, Florian VANNIER a écrit : Nous avons également fait ce test en utilisant des règles SDWAN pour forcer sur l'un puis l'autre, même constat  Comme l'a dit Hugues dans une des toutes premières réponses, les symptômes "certains trucs fonctionnent et d'autres pas"

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 15:22, Nicolas VUILLERMET a écrit : On avait dit que le vendredi… Should I block ICMP? shouldiblockicmp.com Bah, c'est un sujet classique de

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour Toussaint, Nous avons également fait ce test en utilisant des règles SDWAN pour forcer sur l'un puis l'autre, même constat  Oui changer la MTU je ne sais pas si ca va changer qqch, on verra. Le jeu. 16 mai 2024 à 09:35, Toussaint OTTAVI a écrit : > > > Le 15/05/2024 à 14:48, Hugues

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 14:48, Hugues Voiturier a écrit : Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, Je suppose que cela dépend des équipements. MSS = MTU moins les headers (IP, TCP, IPsec...). Par défaut, le matériel que j'utilise calcule la MSS tout seul

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, Je rebondis sur ce message pour solliciter l'expertise de nombre d'entre vous. Je pense que comme Florian (et moi ;) ), une part des ASR lisant cette liste ont à charge des systèmes divers et variés, les empêchant d'être à la fois experts Forti + AD + Virtu + ... Avez vous à

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 14:46, Florian VANNIER a écrit : Nous avons 2 WAN, un chez Colt, l'autre chez Orange. Un truc simple à faire, c'est de forcer tout le trafic sur l'un, puis sur l'autre. Cà permet déjà de cibler le problème : en amont (coté Fortinet / réseau local) ou en aval (chez un

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 15:10, Xavier Beaudouin via frnog a écrit : Hello, A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a enlevé ce paramètre. On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille sur pas mal de sujets/problématiques mais on fait appel aux

Re: [FRnOG] [TECH] Problème FortiGate

Salut, J’ai eu un soucis similaire suite à un upgrade de forti. En 7.2 tu as une nouvelle features qui vient checker la validité des certificats distants même quand tu es en défaut. *Event-Sub-Type : certificate-probe-failed »* Ça se désactive en cli via la création d’un nouveau template…

Re: [FRnOG] [TECH] Problème FortiGate

Pour répondre à Richard KLEIN, non, nous n'en avons plus ... Aller si, juste un "certificate inpection" ... [image: image.png] Le mer. 15 mai 2024 à 15:22, Nicolas VUILLERMET a écrit : > On avait dit que le vendredi… > > Should I block ICMP? > shouldiblockicmp.com

Re: [FRnOG] [TECH] Problème FortiGate

On avait dit que le vendredi…Should I block ICMP?shouldiblockicmp.comJe dirai que l’icmp se filtre et se rate-limit.Ça fait parti des sujets sensibles avec le NAT, palliatif d’une pénurie d’IPv4, qui est devenu un moyen de sécurité car « l’extérieur peut pas joindre l’intérieur sans règle

Re: [FRnOG] [TECH] Problème FortiGate

Autre questions sur les fortigates , avez-vous du filtrage de sécurité ? En désactivant le problème persiste? Richard > Le 15 mai 2024 à 15:10, Xavier Beaudouin via frnog a écrit : > > Hello, > >> A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a >> enlevé ce

Re: [FRnOG] [TECH] Problème FortiGate

Hello, > A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a > enlevé ce paramètre. > > On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille > sur pas mal de sujets/problématiques mais on fait appel aux supports quand > on en a besoin ... > >> Mais

Re: [FRnOG] [TECH] Problème FortiGate

A vrai dire, on avait une vieille conf qui mettait une MTU à 1492, on a enlevé ce paramètre. On est pas expert réseau FortiNet/M365/Active Directory, on se débrouille sur pas mal de sujets/problématiques mais on fait appel aux supports quand on en a besoin ... Le mer. 15 mai 2024 à 14:48, Hugues

Re: [FRnOG] [TECH] Problème FortiGate

Mais quelle excellente idée de changer la MTU de l’interface sans changer la MSS, c’est un super moyen de s’assurer d’avoir des problèmes :-) Hugues Voiturier Consultant en architecture réseau AS2027 > On 15 May 2024, at 14:46, Florian VANNIER wrote: > > Oui, nous venons de changer la MTU sur

Re: [FRnOG] [TECH] Problème FortiGate

Oui, nous venons de changer la MTU sur notre interface WAN. On a demandé aux utilisateurs un retour sur plusieurs jours. Nous avons 2 WAN, un chez Colt, l'autre chez Orange. Le mer. 15 mai 2024 à 14:39, Toussaint OTTAVI a écrit : > > > Le 15/05/2024 à 13:46, Florian VANNIER a écrit : > > On va

Re: [FRnOG] [TECH] Problème FortiGate

Le 15/05/2024 à 13:46, Florian VANNIER a écrit : On va regarder et remonter cela au support de l'intégrateur pour le MSS. En attendant, fais simplement des essais en réduisant le MTU sur ton  interface WAN, et regarde si çà change quelque chose. Si tu as possibilité de faire une levée de

Re: [FRnOG] [TECH] Problème FortiGate

Hello, Avant de déléguer la patate chaude à un autre niveau du support, et quitte à être dans une démarche technique, pour valider ou invalider la thèse de la mss, il est possible de forcer une valeur de mss sur Fortinet pour que les paquets SYN TCP soit corrigés avec une bonne valeur de

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour à tous Merci pour vos réponses. On va regarder et remonter cela au support de l'intégrateur pour le MSS. Pour le FortiOS, nous sommes en 7.0.15 Nous sommes en Flow mode. Pour les postes, et bien pour 2 postes sur le même LAN, même navigateur, l'un fonctionne l'autre non et l'inverse est

Re: [FRnOG] [TECH] Problème FortiGate

Salut, j'ai eu ce genre de probleme que j'ai mis de temps à débugguer. Les sites httpS avaient une grande latence à la permiere connexion, (voir certains ne passaient pas) en passant par notre proxy Squid. Le meme ¨PC vers le meme site en bypassant le SQUID yavait pas de probleme. C'était en

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour Florian, Je suis d'accord avec Hugues, cela me fait également penser à un souci MSS. Cependant, tu indiques que cela fonctionne sur un poste sans problème. Quelle est la différence entre le poste qui fonctionne et ceux qui ne fonctionnent pas ? Par exemple : la version du navigateur, ce

Re: [FRnOG] [TECH] Problème FortiGate

Bonjour, La comme ça, les symptômes que tu décris me font penser a un souci de MTU / MSS. Tu as regardé en ce sens ? Hugues Hugues Voiturier Consultant en architecture réseau AS2027 > On 15 May 2024, at 11:59, Florian VANNIER wrote: > > Bonjour à tous, > Je me permets de jeter une

[FRnOG] [TECH] Problème FortiGate

Bonjour à tous, Je me permets de jeter une bouteille à la mer car on galère pas mal sur un cluster de FortiGate 101F. Pour résumer la situation, cluster sur un site distant géré par un FortiManager au niveau du groupe. Règles communes vers le web. (sur 8 sites distants) Spécifiquement sur ce site,