Bonjour,
Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet
(et non simplement de la vérification de certificat). Et cela, les
applications comme M365 notamment ne l'apprécient guère.
Un test à réaliser serait de faire une policy aussi de celles pour le
surf, qui cible les ISDB Microsoft, et sans déchiffrement a minima, et
sans UTM éventuellement :
config firewall policy
edit 0
set name "M365 apps"
set srcintf "internal"
set dstintf "virtual-wan-link"
set action accept
set srcaddr "all"
set internet-service enable
set internet-service-name "Microsoft-Azure" "Microsoft-Web"
"Microsoft-Other" "Microsoft-Office365" "Microsoft-Skype_Teams"
set schedule "always"
set logtraffic disable
set nat enable
next
end
gu!llaume
Le 15/05/2024 à 11:59, Florian VANNIER a écrit :
Bonjour à tous,
Je me permets de jeter une bouteille à la mer car on galère pas mal
sur un cluster de FortiGate 101F.
Pour résumer la situation, cluster sur un site distant géré par un
FortiManager au niveau du groupe.
Règles communes vers le web. (sur 8 sites distants)
Spécifiquement sur ce site, on rencontre des sites web qui tombent en
timeout (ou très très lent) ou bien des erreurs de certificat
(évidemment les clients ont le CA Root interne). Constaté aussi sur
différents navigateurs. Sur un poste ça fonctionne, l'autre non ...
FRNOG (1).png
FRNOG (2).png
On a donc désactivé au fur et à mesure tous les éléments de sécurité
(DeepSSL, IPS, AV ...) vers le web.
Mais on rencontre toujours ces problèmes de façon sporadique :(
On a aussi fait des tests afin d'exclure un problème sur un WAN
spécifique.
Calme plat sur l'utilisation CPU/RAM ...
FRNOG (3).png
Notre intégrateur ainsi que le support Fortinet semblent à cours d'idées.
Avez-vous déjà rencontré ce genre de problème ?
Une idée sur ce qui pourrait causer ce comportement ?
Merci d'avance la liste
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
