Re: [FRnOG] [TECH] Problème FortiGate

[Guillaume Tournat via frnog]

Éventuellement, vous pouvez désactiver l’offloading npu sur la policy concernée, pour voir si vous n’êtes pas dans un bug firmware/asic.  Sinon, c’est troubleshoot avec le TAC Fortinet.  Vous avez un TAM Fortinet ou c’est vous/votre intégrateur qui faites ce diagnostic ? On 23 May 2024, at 13:28, Florian VANNIER <florian.vannie...@gmail.com> wrote:  Salut Guillaume, C'est ce que nous avons fait, désactiver tous les éléments de sécurité/déchiffrement. Le lun. 20 mai 2024 à 21:30, Guillaume <guilla...@ironie.org> a écrit : Bonjour, Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet (et non simplement de la vérification de certificat). Et cela, les applications comme M365 notamment ne l'apprécient guère. Un test à réaliser serait de faire une policy aussi de celles pour le surf, qui cible les ISDB Microsoft, et sans déchiffrement a minima, et sans UTM éventuellement : config firewall policy     edit 0         set name "M365 apps"         set srcintf "internal"         set dstintf "virtual-wan-link"         set action accept         set srcaddr "all"         set internet-service enable         set internet-service-name "Microsoft-Azure" "Microsoft-Web" "Microsoft-Other" "Microsoft-Office365" "Microsoft-Skype_Teams"         set schedule "always"         set logtraffic disable         set nat enable     next end gu!llaume Le 15/05/2024 à 11:59, Florian VANNIER a écrit : Bonjour à tous, Je me permets de jeter une bouteille à la mer car on galère pas mal sur un cluster de FortiGate 101F. Pour résumer la situation, cluster sur un site distant géré par un FortiManager au niveau du groupe. Règles communes vers le web. (sur 8 sites distants) Spécifiquement sur ce site, on rencontre des sites web qui tombent en timeout (ou très très lent) ou bien des erreurs de certificat (évidemment les clients ont le CA Root interne). Constaté aussi sur différents navigateurs. Sur un poste ça fonctionne, l'autre non ... <FRNOG (1).png> <FRNOG (2).png> On a donc désactivé au fur et à mesure tous les éléments de sécurité (DeepSSL, IPS, AV ...) vers le web. Mais on rencontre toujours ces problèmes de façon sporadique :( On a aussi fait des tests afin d'exclure un problème sur un WAN spécifique. Calme plat sur l'utilisation CPU/RAM ... <FRNOG (3).png> Notre intégrateur ainsi que le support Fortinet semblent à cours d'idées. Avez-vous déjà rencontré ce genre de problème ?  Une idée sur ce qui pourrait causer ce comportement ? Merci d'avance la liste -- Florian VANNIER Administrateur systèmes et réseaux Tel : +33 6 83 10 70 09 E-mail : florian.vannie...@gmail.com