> On Thu, May 2, 2024, at 12:56, David Ponzone wrote: >> Désactive IPv6 sur le client pour voir. > > ??? En 2024 AD ???
Oui, je suis assez d’accord, et pour mémoire, sur iOS/iPadOS, c’est totalement impossible en cellulaire (sauf bidouilles APN, et encore, je vais tâcher de tester. > Pourquoi pas activer IPv6 sur le head-end (au moins cote WAN) "juste pour > voir" ? Oui, ok, pour voir ça me va, ça ne coûte pas grand chose, et ça ne changera rien à mes confs. > Sinon, cote Forti, il y a la "firewall authentication", mais c'est un truc > qui va plutot (vaguement) dans le sens du ZTNA (et ca implique que l'ensemble > des ressources exposes aient des IP publiques - plus simple en v6 qu'en v4) Comme dit précédemmentt, on devrait implanter d’ici l’été une solution de ZTNA (JAMF Private Access), qui établit un tunnel wireguard avec l’infra JAMF, et on est en IKEv2 fixe vers l’infra du client. Je teste depuis quelques semaines chez moi, ça marche rudement bien, avec contrôle d’accès depuis le client (identité, conformité et ce qu’on veut), et possible traffic vectoring, DNS privé. Du coup aucune exposition publique de l’infra du client. Je ne voulais pas révolutionner la conf des Forti avant ça. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
