N’hésites pas à demander aux gars de l’APNF, ils m’ont donné les références de 
ce qui marche chez eux. A noter qu’ils utilisent du Checkpoint, donc si tu veux 
pas t’embêter, suffit de prendre la même chose

Sent from my iPhone

> On 7 Nov 2018, at 18:15, Joel DEREFINKO <joel.derefi...@118218.fr> wrote:
> 
> Merci,
> 
> Je note Fortinet dans un coin.
> 
> Pour la gamme Cisco ISR, un petit coup d'œil dans la doc de la gamme que nous 
> possédons (2911 et 3945) a douché mes espoirs.
> https://www.cisco.com/c/en/us/td/docs/routers/access/1900/software/configuration/guide/Software_Configuration/Secconf1.html
> 
> Je retrouve les mêmes possibilités (et limites) que sur mes ASA.
> 
> 2. encryption { des | 3des | aes | aes 192 | aes 256}
> 3. hash { md5 | sha }
> 5. group { 1 | 2 | 5 }
> 
> A voir si des gammes plus récentes offrent plus de paramètres...
> 
> 
> Joël
> 
> -----Message d'origine-----
> De : Michael Bazy [mailto:mb...@exclusive-networks.com] 
> Envoyé : mercredi 7 novembre 2018 17:28
> À : Hugues Voiturier; Joel DEREFINKO
> Cc : frnog-t...@frnog.org
> Objet : RE: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
> 
> Quelqu'un finira probablement par le citer, donc pour info, voici les 
> paramètres que supporte un (pourtant petit) FortiGate:
> 
> IKE v1 & v2
> DH Group 1 -> 31
> DES/3DES/AES128-192-256
> MD5/SHA1-256-384-512
> 
> Par contre, pas de support de l'EIGRP.
> 
> Et je ne pense pas que ton ingénierie aux UKs vienne dire que ce n'est pas 
> "Enterprise-Grade" (certification CC, toussa)
> 
> Michael
> 
> -----Message d'origine-----
> De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Hugues 
> Voiturier
> Envoyé : mercredi 7 novembre 2018 17:08
> À : Joel DEREFINKO <joel.derefi...@118218.fr>
> Cc : frnog-t...@frnog.org
> Objet : Re: [FRnOG] [TECH] Quel HW pour tunnel IPSEC avec APNF ?
> 
> Ah tiens, ravi de voir que je ne suis pas le seul à avoir des soucis avec 
> l’APNF et IPSEC ! 
> 
> Tu as essayé de regarder chez Cisco, mais dans la gamme de routeurs 
> classiques (ISR par exemple) ?
> 
> Il me semble que mon contact là bas m’avait dit que ça marchait.
> 
> @+
> 
> Hugues
> AS57199 - AS50628
> 
>> On 7 Nov 2018, at 17:00, Joel DEREFINKO <joel.derefi...@118218.fr> wrote:
>> 
>> Bonjour à tous !
>> 
>> Petit résumé de notre situation : nous sommes raccordés comme beaucoup à 
>> l'APNF via un tunnel IPSEC.
>> Nous ne sommes que consommateurs de données à des fins de facturation.
>> L'APNF a lancé (il y longtemps déjà) une campagne de migration des tunnels 
>> vers d'autres paramètres IPSEC plus robustes.
>> 
>> Notre souci, c'est que faisant partie d'un groupe américain qui a élevé 
>> Cisco au rang de religion, notre parc comporte essentiellement des ASA.
>> (Pour l'anecdote le routage interne est, entre autres, en EIGRP...)
>> 
>> Or ces petites bestioles (y compris celles renouvelées en 2018) ne proposent 
>> pas IKEv1/DH14/AES-256/SHA-256.
>> Ces paramètres sont dispo en IKEv2 mais Steria ne supporte pas IKEv2.
>> 
>> Je suis donc à la recherche d'alternatives HW pour héberger ce tunnel.
>> 
>> Petites précisions qui compliquent un peu le sujet, j'ai commencé à regarder 
>> OpenSWAN / LibreSWAN, mais mon ingénierie réseau basée en UK m'a gentiment 
>> fait comprendre que si je veux déployer de l'open-source, je me démerde de 
>> bout en bout (et je suis loin d'être expert...).
>> Donc en gros je suis à la recherche de quelque chose "d'enterprise-grade" 
>> que mes amis anglais seraient à même de tolérer... (je ne pense pas que 
>> Mikrotik serait accepté par exemple, mais je peux toujours tenter ma 
>> chance...)
>> 
>> Merci pour vos retours !
>> 
>> Joël
>> 
>> 
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à