Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Le 16/05/2024 à 13:35, Dominique Rousseau a écrit : Le Thu, May 16, 2024 at 12:30:28PM +0200, Pierre DOLIDON [sn...@sn4ky.net] a écrit: Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Il faut récupérer initialement le certificat (ça se fait directement avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de configuration. aurais tu un exemple à ce sujet ? Je galère de mon côté... et ai poussé le client a monter un tunnel VPN L2L (parceque en plus, le besoin de L2L est bien là) mais en attendant, côté FG le CN et le FQDN changent tous les mois (oui oui) et sont pas résolvables, et j'en ai marre de bricoler Si tu ne l'as pas autrement, de memoire, il "suffit" de préparer le fichier de configuration avec tout ce que tu veux *sauf* le 'trusted-cert', et quand tu le lances, ça te donne une erreur avec l'empreinte vue. Peut-etre avec un « -v » ah oui, on est d'accord, c'est bien de ça que je parlais en partie "bricolage" :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Le Thu, May 16, 2024 at 12:30:28PM +0200, Pierre DOLIDON [sn...@sn4ky.net] a écrit: > Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : > >Il faut récupérer initialement le certificat (ça se fait directement > >avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de > >configuration. > > aurais tu un exemple à ce sujet ? > Je galère de mon côté... et ai poussé le client a monter un tunnel VPN L2L > (parceque en plus, le besoin de L2L est bien là) > mais en attendant, côté FG le CN et le FQDN changent tous les mois (oui oui) > et sont pas résolvables, et j'en ai marre de bricoler Si tu ne l'as pas autrement, de memoire, il "suffit" de préparer le fichier de configuration avec tout ce que tu veux *sauf* le 'trusted-cert', et quand tu le lances, ça te donne une erreur avec l'empreinte vue. Peut-etre avec un « -v » -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Il faut récupérer initialement le certificat (ça se fait directement avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de configuration. aurais tu un exemple à ce sujet ? Je galère de mon côté... et ai poussé le client a monter un tunnel VPN L2L (parceque en plus, le besoin de L2L est bien là) mais en attendant, côté FG le CN et le FQDN changent tous les mois (oui oui) et sont pas résolvables, et j'en ai marre de bricoler merci =) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Le 16/05/2024 à 11:14, Dominique Rousseau a écrit : Merci Dominique, je viens de noter tes conseils dans le dossier du client. Pas si vieux, en fait :) Effectivement, ça semblerait dater de 2015... C'était plutôt 'affectueux' au sens où le style de codage et les choix (vites vus) semblaient refléter une approche old-school (c'est un compliment), car je bataille souvent avec du code 'moderne' écrit dans des langages de kicools nourris de microservices. Alors ça fait du bien de voir ça. Et selon la cohabitation que tu veux avoir avec le reste du système sur lequel tu l'utilises, moi, il y a 2 options que j'utilise dans la conf pour qu'il ne touche pas au DNS : set-dns = 0 pppd-use-peerdns = 0 Bon à savoir. On va tester comme ça. On des portables-poubelles pour ces usages, un doze X pour les backoffices bancaires pourris - mais qui utilise encore cette mégabouse d'Adobe Air ? le crédit agric'ole bien sûr - pour la vente en ligne de nos clients ecommerce, et d'autres sous nux - notre use case du jour - pour les accès VPN clients. -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Le Thu, May 16, 2024 at 10:57:00AM +0200, Stéphane Rivière [s...@genesix.org] a écrit: > Merci pour vos réponses rapides > > https://github.com/adrienverge/openfortivpn > > Et paquet direct pour Ubuntu : openfortivpn > > Un bon vieux bidule codé très proprement en C et des retours positifs, ça > sent bon... Pas si vieux, en fait :) Mais oui, ça marche tres bien, et plutot mieux que le "forticlient" officiel. Ça s'occupe de la partie moche TLS et ça utilise pppd pour établir la connexion. Il faut récupérer initialement le certificat (ça se fait directement avec la commande openfortivpn ) et mettre l'empreinte dans le fichier de configuration. Le paquet Ubuntu ne fourni(ssai?)t pas d'unit SystemD si tu as besoin que ça se (re)lance automatiquement. Et selon la cohabitation que tu veux avoir avec le reste du système sur lequel tu l'utilises, moi, il y a 2 options que j'utilise dans la conf pour qu'il ne touche pas au DNS : set-dns = 0 pppd-use-peerdns = 0 -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 6 rue des Hautes cornes - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Ancien utilisateur d'openfortivpn maintenant passé sur openconnect pour la gestion du DTLS et autres options avancées. Bonne journée à tous -- Arnaud On Thu, 16 May 2024 at 10:57, Stéphane Rivière wrote: > Merci pour vos réponses rapides > > https://github.com/adrienverge/openfortivpn > > Et paquet direct pour Ubuntu : openfortivpn > > Un bon vieux bidule codé très proprement en C et des retours positifs, > ça sent bon... > > Donc quand ça va ressortir le mois prochain, je vais suivre votre conseil ! > > Encore merci pour votre aide :) > > -- > Stéphane Rivière > Ile d'Oléron - France > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Merci pour vos réponses rapides https://github.com/adrienverge/openfortivpn Et paquet direct pour Ubuntu : openfortivpn Un bon vieux bidule codé très proprement en C et des retours positifs, ça sent bon... Donc quand ça va ressortir le mois prochain, je vais suivre votre conseil ! Encore merci pour votre aide :) -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Bonjour, On Thu, 16 May 2024 10:23:34 +0200 David Ponzone wrote: > Qui a fait la conf côté FG ? > Quelqu’un qui sait un peu ce qu’il fait ? > > Et ça marche avec un Forticlient Win ou Mac ? J'ai des acces remote Forti depuis un Nux, mais je fais ca avec "openfortivpn"... c'est triste a dire, mais c'est le seul client que j'ai trouve qui me permet de me connecter ;) Apres, pas sur du tout que ca integre tout ce que peut faire "forticlient zero trust fabric agent VPN", mais bon, si ca peut aider: openfortivpn.x86_64 1.21.0-2.fc39 Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Bonjour. J'utilise openfortivpn sous Ubuntu 22.04 et cela fonctionne. Je ne connais pas le modèle Forti de l'autre extrémité. Le 16/05/2024 à 10:20, Stéphane Rivière a écrit : Bonjour à tous, Puisqu'on parle beaucoup de fortigate sur la liste... un truc en attente depuis un an en mode pas urgent... :) Un client très micromou héberge ses ressources 'on premises' comment on dit aujourd'hui. Manifestement, le grand routeur/firewall de l'entreprise est un fortigate (pas plus d'info sur la chose). Pour effectuer nos maintenances (il a un manchot sous hyper-v pour son soft de prod que nous administrons), on se connecte en SSH et WEB et ça roule. Pour des tests, il a été exprimé le besoin d'un accès à son intranet par VPN. On a reçu un forticlient zero trust fabric agent VPN (7.0.7.0246 free version pour Linux), semble t-il fondé sur OpenSSL (aucune indication de version hormis (C) 1998-2018) quand on regarde les crédits. Ça se connecte du premier coup sans râler et c'est tout. Bien sûr ça ne marche pas. Bien sûr tous nos autres clients très manchots ne posent aucun souci avec OpenSSL/OpenVPN. Et on a plusieurs VPN pour la boite également fondés sur OpenSSL/OpenVPN qui gazouillent invariablement bien. D'après quelques amis 'fortigatés', il semble que ce genre de chose (routeur/firewall fortigate, forticlient sur GNU/Linux (ici ubuntu 22.04 LTS) ne tombe pas nécessairement en marche. N'ayant rien trouvé de décisif à l'époque dans la KB fortigate, je me demandais si vous aviez juste quelques conseils de base à me communiquer afin que je les retransmettre au service IT du client, qui est très sympa mais clairement en dehors de sa zone de confort (comme nous d'ailleurs, on n'a jamais vu un fortigate de notre vie). Bien à vous tous, -- Daniel Huhardeaux +33.368460...@tootai.net sip:8...@sip.tootai.net +41.445532...@swiss-itech.chtootaiNET --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Forticlient, Linux et OpenSSL
Qui a fait la conf côté FG ? Quelqu’un qui sait un peu ce qu’il fait ? Et ça marche avec un Forticlient Win ou Mac ? David > Le 16 mai 2024 à 10:20, Stéphane Rivière a écrit : > > Bonjour à tous, > > Puisqu'on parle beaucoup de fortigate sur la liste... un truc en attente > depuis un an en mode pas urgent... :) > > Un client très micromou héberge ses ressources 'on premises' comment on dit > aujourd'hui. Manifestement, le grand routeur/firewall de l'entreprise est un > fortigate (pas plus d'info sur la chose). Pour effectuer nos maintenances (il > a un manchot sous hyper-v pour son soft de prod que nous administrons), on se > connecte en SSH et WEB et ça roule. > > Pour des tests, il a été exprimé le besoin d'un accès à son intranet par VPN. > On a reçu un forticlient zero trust fabric agent VPN (7.0.7.0246 free version > pour Linux), semble t-il fondé sur OpenSSL (aucune indication de version > hormis (C) 1998-2018) quand on regarde les crédits. Ça se connecte du premier > coup sans râler et c'est tout. Bien sûr ça ne marche pas. Bien sûr tous nos > autres clients très manchots ne posent aucun souci avec OpenSSL/OpenVPN. Et > on a plusieurs VPN pour la boite également fondés sur OpenSSL/OpenVPN qui > gazouillent invariablement bien. > > D'après quelques amis 'fortigatés', il semble que ce genre de chose > (routeur/firewall fortigate, forticlient sur GNU/Linux (ici ubuntu 22.04 LTS) > ne tombe pas nécessairement en marche. N'ayant rien trouvé de décisif à > l'époque dans la KB fortigate, je me demandais si vous aviez juste quelques > conseils de base à me communiquer afin que je les retransmettre au service IT > du client, qui est très sympa mais clairement en dehors de sa zone de confort > (comme nous d'ailleurs, on n'a jamais vu un fortigate de notre vie). > > Bien à vous tous, > > -- > Stéphane Rivière > Ile d'Oléron - France > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Forticlient, Linux et OpenSSL
Bonjour à tous, Puisqu'on parle beaucoup de fortigate sur la liste... un truc en attente depuis un an en mode pas urgent... :) Un client très micromou héberge ses ressources 'on premises' comment on dit aujourd'hui. Manifestement, le grand routeur/firewall de l'entreprise est un fortigate (pas plus d'info sur la chose). Pour effectuer nos maintenances (il a un manchot sous hyper-v pour son soft de prod que nous administrons), on se connecte en SSH et WEB et ça roule. Pour des tests, il a été exprimé le besoin d'un accès à son intranet par VPN. On a reçu un forticlient zero trust fabric agent VPN (7.0.7.0246 free version pour Linux), semble t-il fondé sur OpenSSL (aucune indication de version hormis (C) 1998-2018) quand on regarde les crédits. Ça se connecte du premier coup sans râler et c'est tout. Bien sûr ça ne marche pas. Bien sûr tous nos autres clients très manchots ne posent aucun souci avec OpenSSL/OpenVPN. Et on a plusieurs VPN pour la boite également fondés sur OpenSSL/OpenVPN qui gazouillent invariablement bien. D'après quelques amis 'fortigatés', il semble que ce genre de chose (routeur/firewall fortigate, forticlient sur GNU/Linux (ici ubuntu 22.04 LTS) ne tombe pas nécessairement en marche. N'ayant rien trouvé de décisif à l'époque dans la KB fortigate, je me demandais si vous aviez juste quelques conseils de base à me communiquer afin que je les retransmettre au service IT du client, qui est très sympa mais clairement en dehors de sa zone de confort (comme nous d'ailleurs, on n'a jamais vu un fortigate de notre vie). Bien à vous tous, -- Stéphane Rivière Ile d'Oléron - France --- Liste de diffusion du FRnOG http://www.frnog.org/