RE: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Michel Py]

> Toussaint OTTAVI a écrit :
> Donc, de mon coté, je mets des firewalls qui font juste firewall. Et des AP 
> qui font juste AP, sur une patte
>  dédiée du FW (soit des AP pas chers pour les petites installs, soit des gros 
> avec un contrôleur dédié pour 
> les installs plus conséquentes). Bien évidemment, les AP sont en hauteur et 
> loin de tout autre équipement.

+1 à éviter les machins "tout-en-un".

Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Guillaume Barrot]

Techniquement, depuis plusieurs génération déjà, le low end Fortinet est en
SOC, donc pas d'ASIC.
Les premiers ASICs arrivent en général sur les modèles "centaines" (100D,
100E, etc..) mais tout ça se verifie dans leurs docs.

Idem, la regle "ça c'est géré par le CPU" est pas forcément valable pour
toute la gamme.
A partir du middle end, ils ajoutent un FPGA pour décharger du traitement
L7 par exemple.

Bref, faut se taper les docs pour savoir...

Le 6 juillet 2017 à 14:05, Abonnements Incal  a écrit :

> Par expérience sur les modèles FWF, j'ai pu constater quelques
> "incohérences" dans la config par défaut de la partie WIFI. En effet, ces
> modèles (FortiWIFI) intègrent la partie WIFI via un "Software Switch" (seul
> mode possible pour la gestion du WIFI interne) et est donc supporté par le
> CPU uniquement et non par l'ASIC. Malheureusement le CPU est là avant tout
> pour le GUI et toutes les fonctions non gérées par l'ASIC.
> Cela inclus aussi le PPPOE uniquement géré par le CPU, par exemple, tu ne
> pourras pas utiliser ce type de boitier en direct sur une ONT Orange en
> PPPOE, sous peine de saturer le CPU à 100% avec un débit maximum entre 150
> et 200Mbits.
>
> Bref, pour corriger ce souci, tu peux comme tu l'as fait, mettre des bornes
> externes de la marque qui te convient ou des FortiAP en mode "Local
> Bridge".
>
> Dernière chose, le Firmware 5.6 n'est actuellement pas conseillé en
> production.
>
>
>
> Le 5 juillet 2017 à 18:37, David Ponzone  a
> écrit :
>
> > Plutôt très content de Fortinet d’un point de vue FW/UTM, j’aurais aimé
> > avoir confirmation que les AP WIFI embarqués dans les UTM étaient connus
> > pour être des bouzes infâmes, et que ce n'’était moi qui avait mis une
> cage
> > de faraday autour par inadvertance….
> > Les clients se plaignent de décos intempestives et d’un débit pathétique.
> > On a mis une Ubiquiti à la place et les clients sont ravis.
> >
> > Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à
> > 70€ ?
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[David Ponzone]

Merci pour vos conseils mais rassurez-vous, je ne mets généralement que des AP 
dédiés :)
Il reste qu’il est intéressant de savoir pourquoi Fortinet ne peut pas sortir 
un UTM avec AP intégré à 1000-1500€ dont le WIFI marche aussi bien qu’un 
Technicolor à 50€ (c’est-à-dire convenablement).
Je crois qu’on a donc affaire à un hardware/software sérieusement moisi.

> Le 6 juil. 2017 à 13:48, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> Donc, de mon coté, je mets des firewalls qui font juste firewall. Et des
>> AP qui font juste AP, sur une patte dédiée du FW (soit des AP pas chers
>> pour les petites installs, soit des gros avec un contrôleur dédié pour
>> les installs plus conséquentes). Bien évidemment, les AP sont en hauteur
>> et loin de tout autre équipement. Déformation radioamateur, sans doute ;-)
> 
> Non. Du bon sens. Un truc qui fait un truc le fait bien. Un machin qui fait 
> trop
> de choses, y tjrs un compromis coût / conso / commercialware a la con qui 
> fait chier.
> 
> Donc on as:
> - router
> - switch
> - firewall
> - ap 
> - nas
> 
> Ce qui fait absolument tout en un seul boitier... #fear (ou c'est pour Mme 
> Michu qui ne veux brancher qu'un machin).
> 
>> Aux gens qui me demandent pourquoi je ne mets pas de boitiers WiFi tout
>> intégrés comme les Dead-Box, je réponds que s'il suffisait de poser des
>> antennes par terre pour que çà fonctionne, TDF, Orange, SFR et autres
>> TowerCast ne se feraient sans doute pas ch*er à installer des pylônes de
>> plusieurs dizaines de mètres en haut de montagnes ;-)
> 
> +1 et tu peux ajouter aussi que c'est pour la même raison qu'on se fait 
>  a mettre des antennes sur les toits pour mieux recevoir
> 
> Déformation d'électronicien... :p
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Abonnements Incal]

Par expérience sur les modèles FWF, j'ai pu constater quelques
"incohérences" dans la config par défaut de la partie WIFI. En effet, ces
modèles (FortiWIFI) intègrent la partie WIFI via un "Software Switch" (seul
mode possible pour la gestion du WIFI interne) et est donc supporté par le
CPU uniquement et non par l'ASIC. Malheureusement le CPU est là avant tout
pour le GUI et toutes les fonctions non gérées par l'ASIC.
Cela inclus aussi le PPPOE uniquement géré par le CPU, par exemple, tu ne
pourras pas utiliser ce type de boitier en direct sur une ONT Orange en
PPPOE, sous peine de saturer le CPU à 100% avec un débit maximum entre 150
et 200Mbits.

Bref, pour corriger ce souci, tu peux comme tu l'as fait, mettre des bornes
externes de la marque qui te convient ou des FortiAP en mode "Local Bridge".

Dernière chose, le Firmware 5.6 n'est actuellement pas conseillé en
production.



Le 5 juillet 2017 à 18:37, David Ponzone  a écrit :

> Plutôt très content de Fortinet d’un point de vue FW/UTM, j’aurais aimé
> avoir confirmation que les AP WIFI embarqués dans les UTM étaient connus
> pour être des bouzes infâmes, et que ce n'’était moi qui avait mis une cage
> de faraday autour par inadvertance….
> Les clients se plaignent de décos intempestives et d’un débit pathétique.
> On a mis une Ubiquiti à la place et les clients sont ravis.
>
> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à
> 70€ ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Xavier Beaudouin]

Hello,

> Donc, de mon coté, je mets des firewalls qui font juste firewall. Et des
> AP qui font juste AP, sur une patte dédiée du FW (soit des AP pas chers
> pour les petites installs, soit des gros avec un contrôleur dédié pour
> les installs plus conséquentes). Bien évidemment, les AP sont en hauteur
> et loin de tout autre équipement. Déformation radioamateur, sans doute ;-)

Non. Du bon sens. Un truc qui fait un truc le fait bien. Un machin qui fait trop
de choses, y tjrs un compromis coût / conso / commercialware a la con qui fait 
chier.

Donc on as:
- router
- switch
- firewall
- ap 
- nas

Ce qui fait absolument tout en un seul boitier... #fear (ou c'est pour Mme 
Michu qui ne veux brancher qu'un machin).
 
> Aux gens qui me demandent pourquoi je ne mets pas de boitiers WiFi tout
> intégrés comme les Dead-Box, je réponds que s'il suffisait de poser des
> antennes par terre pour que çà fonctionne, TDF, Orange, SFR et autres
> TowerCast ne se feraient sans doute pas ch*er à installer des pylônes de
> plusieurs dizaines de mètres en haut de montagnes ;-)

+1 et tu peux ajouter aussi que c'est pour la même raison qu'on se fait 
 a mettre des antennes sur les toits pour mieux recevoir

Déformation d'électronicien... :p

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Toussaint OTTAVI]

Le 05/07/2017 à 18:56, David Ponzone a écrit :

Parmi les problèmes les plus fréquents, c'est avec Apple et aussi des clients 
qui basculent dans arrêt entre 2.4 et 5 GHz.


... ou des clients qui ne savent pas "roamer" correctement entre des AP 
5 GHz et des AP 2.4 GHz (par exemple, les terminaux portables 
Datalogic). Workaround : bloquer le terminal ou le réseau sur une seule 
bande de fréquence.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Toussaint OTTAVI]

Le 05/07/2017 à 18:37, David Ponzone a écrit :

Plutôt très content de Fortinet d’un point de vue FW/UTM, j’aurais aimé avoir 
confirmation que les AP WIFI embarqués dans les UTM étaient connus pour être 
des bouzes infâmes, et que ce n'’était moi qui avait mis une cage de faraday 
autour par inadvertance….


Je n'ai jamais testé Fortinet, mais j'ai fait le même constat chez 
SonicWALL. Les firewalls sont en général placés dans des baies, dans des 
locaux plus ou moins dédiés, et ce sont rarement des endroits opportuns 
pour une bonne couverture. Par ailleurs, je me rappelle avoir passé pas 
mal de temps sur des phénomènes assez étranges de débits qui se 
cassaient la gueule même en filaire lorsque le WiFi était utilisé. Les 
boitiers étaient en plastique, et je pense que la carte électronique 
"ramassait" des ondes radio (phénomène bien connu des radioamateurs, 
dont les effets peuvent être d'autant plus spectaculaires que les 
niveaux de puissance augmentent.)


Donc, de mon coté, je mets des firewalls qui font juste firewall. Et des 
AP qui font juste AP, sur une patte dédiée du FW (soit des AP pas chers 
pour les petites installs, soit des gros avec un contrôleur dédié pour 
les installs plus conséquentes). Bien évidemment, les AP sont en hauteur 
et loin de tout autre équipement. Déformation radioamateur, sans doute ;-)


Aux gens qui me demandent pourquoi je ne mets pas de boitiers WiFi tout 
intégrés comme les Dead-Box, je réponds que s'il suffisait de poser des 
antennes par terre pour que çà fonctionne, TDF, Orange, SFR et autres 
TowerCast ne se feraient sans doute pas ch*er à installer des pylônes de 
plusieurs dizaines de mètres en haut de montagnes ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[LUC Abo]

Par expérience sur des modèles FWF, j'ai pu constater quelques
"incohérences" dans la config par défaut de la partie WIFI. En effet, ces
modèles (FortiWIFI) intègrent la partie WIFI via un "Software Switch" (seul
mode possible pour la gestion du WIFI interne) et est donc supporté par le
CPU uniquement et non par l'ASIC. Malheureusement le CPU est là avant tout
pour le GUI et toutes les fonctions non gérées par l'ASIC.
Cela inclus aussi le PPPOE uniquement géré par le CPU, par exemple, tu ne
pourras pas utiliser ce type de boitier en direct sur une ONT Orange en
PPPOE, sous peine de saturer le CPU à 100% avec un débit maximum entre 150
et 200Mbits.

Bref, pour corriger ce souci, tu peux comme tu l'as fait, mettre des bornes
externes de la marque qui te convient ou des FortiAP en mode "Local Bridge".

Dernière chose, le Firmware 5.6 n'est actuellement pas conseillé en
production.

Le 5 juillet 2017 à 18:37, David Ponzone  a écrit :

> Plutôt très content de Fortinet d’un point de vue FW/UTM, j’aurais aimé
> avoir confirmation que les AP WIFI embarqués dans les UTM étaient connus
> pour être des bouzes infâmes, et que ce n'’était moi qui avait mis une cage
> de faraday autour par inadvertance….
> Les clients se plaignent de décos intempestives et d’un débit pathétique.
> On a mis une Ubiquiti à la place et les clients sont ravis.
>
> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à
> 70€ ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Guillaume Tournat]

Je suppose que c'est le modèle FWF-50E
Les générations E sont mieux supportées en firmware 5.6. Tu peux essayer 
d'upgrader. 

Ensuite essaye de faire deux SSID différents en 2.4 et 5GHz. Pour voir si ce 
n'est pas un souci de client qui passe son temps à basculer entre les deux. 


gu!llaume


Le 5 juil. 2017 à 18:56, David Ponzone  a écrit :

>> Le 5 juil. 2017 à 18:46, Guillaume Tournat  a écrit :
>> 
>> Salut
>> 
>> Peux tu préciser l'environnement ?
>> - modèle FortiGate version FortiOS
> 
> FW50-2R
> v5.4.4,build7607
> 
>> - modèle FortiAP et firmware 
> 
> AP onboard
> 
>> - device client : Pc ? Tablette ? Smartphone ?
> 
> 1 Galaxy S7 et un iPhone.
> 
>> - band 2.4 ou 5
> 
> Les 2, j’ai pas touché la conf par défaut.
> 
>> Parmi les problèmes les plus fréquents, c'est avec Apple et aussi des 
>> clients qui basculent dans arrêt entre 2.4 et 5 GHz. 
> 
> Intéressant, je pourrais essayer de forcer en 5Ghz.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Antoine Benkemoun-André]

Je ne peux que confirmer !!

On avait mis des Forti-AP « legacy » dans nos bureaux à l’étranger à job-1. On 
a eu des problèmes à l’infini avec les symptomes que tu décris.

On a remplacé par des Aruba et même résultats, paf ca va tout de suite beaucoup 
mieux.

Antoine

> Le 5 juil. 2017 à 22:14, David Ponzone  a écrit :
> 
> Oui ap-ac-lite.
> J'irai pas mettre 100 clients dessus, cependant.
> 
> David Ponzone
> 
> 
> 
> Le 5 juil. 2017 à 20:26, Michel Py  a 
> écrit :
> 
>>> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à 
>>> 70€ ?
>> 
>> C'est quoi que tu as à 70€ ? AP-AC-Lite ? Je viens de refaire le Wifi de la 
>> boite, j'ai décidé d'investir (:-) un peu plus de $100 pièce dans des 
>> AP-AC-PRO, principalement à cause du POE qui est standard. Ca marche.
>> 
>> Est-ce qu'il y a quelqu'un ici qui a déployé le nouveau AP-AC-HD ?
>> 
>> Michel.
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[David Ponzone]

Oui ap-ac-lite.
J'irai pas mettre 100 clients dessus, cependant.

David Ponzone



Le 5 juil. 2017 à 20:26, Michel Py  a écrit 
:

>> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à 70€ 
>> ?
> 
> C'est quoi que tu as à 70€ ? AP-AC-Lite ? Je viens de refaire le Wifi de la 
> boite, j'ai décidé d'investir (:-) un peu plus de $100 pièce dans des 
> AP-AC-PRO, principalement à cause du POE qui est standard. Ca marche.
> 
> Est-ce qu'il y a quelqu'un ici qui a déployé le nouveau AP-AC-HD ?
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Michel Py]

> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à 70€ ?

C'est quoi que tu as à 70€ ? AP-AC-Lite ? Je viens de refaire le Wifi de la 
boite, j'ai décidé d'investir (:-) un peu plus de $100 pièce dans des 
AP-AC-PRO, principalement à cause du POE qui est standard. Ca marche.

Est-ce qu'il y a quelqu'un ici qui a déployé le nouveau AP-AC-HD ?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[David Ponzone]

> Le 5 juil. 2017 à 18:46, Guillaume Tournat  a écrit :
> 
> Salut
> 
> Peux tu préciser l'environnement ?
> - modèle FortiGate version FortiOS

FW50-2R
v5.4.4,build7607

> - modèle FortiAP et firmware 

AP onboard

> - device client : Pc ? Tablette ? Smartphone ?

1 Galaxy S7 et un iPhone.

> - band 2.4 ou 5

Les 2, j’ai pas touché la conf par défaut.

> Parmi les problèmes les plus fréquents, c'est avec Apple et aussi des clients 
> qui basculent dans arrêt entre 2.4 et 5 GHz. 

Intéressant, je pourrais essayer de forcer en 5Ghz.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortinet et son WIFI legacy....

[Guillaume Tournat]

Salut

Peux tu préciser l'environnement ?
- modèle FortiGate version FortiOS
- modèle FortiAP et firmware 
- device client : Pc ? Tablette ? Smartphone ?
- band 2.4 ou 5

Parmi les problèmes les plus fréquents, c'est avec Apple et aussi des clients 
qui basculent dans arrêt entre 2.4 et 5 GHz. 


gu!llaume 


> Le 5 juil. 2017 à 18:37, David Ponzone  a écrit :
> 
> Plutôt très content de Fortinet d’un point de vue FW/UTM, j’aurais aimé avoir 
> confirmation que les AP WIFI embarqués dans les UTM étaient connus pour être 
> des bouzes infâmes, et que ce n'’était moi qui avait mis une cage de faraday 
> autour par inadvertance….
> Les clients se plaignent de décos intempestives et d’un débit pathétique.
> On a mis une Ubiquiti à la place et les clients sont ravis.
> 
> Donc AP Fortinet legacy (non-Meru) 10 fois moins bon qu’un AP Ubiquiti à 70€ ?
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/