Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Merci pour vos infos. J'ai finalement abandonner pour passer sur du libre (pfsense). Sa juste fonctionne. Le 6 janv. 2017 22:35, "Guillaume Tournat"a écrit : > Le 06/01/2017 à 13:40, Louis a écrit : > >> De mémoire, on peut forcer le proxy-id en cli sur le fortigate. >> >> > en effet : > > config vpn ipsec phase2-interface > edit "A" > set phase1name "A" > set proposal aes256-sha256 > set src-subnet 1.2.3.0 255.255.255.0 > set dst-subnet 4.5.6.0 255.255.255.0 > next > end > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Le 06/01/2017 à 13:40, Louis a écrit : De mémoire, on peut forcer le proxy-id en cli sur le fortigate. en effet : config vpn ipsec phase2-interface edit "A" set phase1name "A" set proposal aes256-sha256 set src-subnet 1.2.3.0 255.255.255.0 set dst-subnet 4.5.6.0 255.255.255.0 next end --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Pas tout-à-fait, c'est possible également en GUI. Quelques lignes de commandes utiles sur le Fortigate, qui pourront te montrer la négociation: #diag deb en #diag deb app ike -1 C'est assez verbeux par contre, mais tu devrais voir l'erreur remonter... Autre chose : une bonne méthodologie à ne pas oublier est de lancer les commandes sur le Forti (pense à logger la sortie SSH! :) ) et de tenter de monter le VPN via le poste linux. Sinon, en terme de config, tu as testé celle-là ? http://kb.fortinet.com/kb/documentLink.do?externalID=FD37618 Michael -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Louis Envoyé : vendredi 6 janvier 2017 13:41 À : Servan Jouan <sejo...@gmail.com> Cc : David Ponzone <david.ponz...@gmail.com>; Choukou Moun <choukoum...@gmail.com>; frnog-tech <frnog-t...@frnog.org> Objet : Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server De mémoire, on peut forcer le proxy-id en cli sur le fortigate. Le 6 janvier 2017 à 13:21, Servan Jouan <sejo...@gmail.com> a écrit : > Bonjour Choukou Moun, > > J'ai régulièrement eu des problèmes entre les Fortigate et les autres > marques. Souvent le problème vient des "proxy-id", il me semble que > fortigate le calcul automatiquement en fonction des réseaux > "associés" au tunnel contrairement aux autres marques ou ils sont > explicitement indiqués. > Ce n'est valable que si tu as plusieurs subnets... > > Je ne promets rien, mais c'est une piste ;) > > Servan. > > > Le 6 janvier 2017 à 12:30, David Ponzone <david.ponz...@gmail.com> a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun <choukoum...@gmail.com> a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en >> > espérant qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que >> > ce n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > Le 6 janvier 2017 à 12:30, David Ponzone <david.ponz...@gmail.com> a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun <choukoum...@gmail.com> a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en >> > espérant qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que >> > ce n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
De mémoire, on peut forcer le proxy-id en cli sur le fortigate. Le 6 janvier 2017 à 13:21, Servan Jouana écrit : > Bonjour Choukou Moun, > > J'ai régulièrement eu des problèmes entre les Fortigate et les autres > marques. Souvent le problème vient des "proxy-id", il me semble que > fortigate le calcul automatiquement en fonction des réseaux "associés" au > tunnel contrairement aux autres marques ou ils sont explicitement indiqués. > Ce n'est valable que si tu as plusieurs subnets... > > Je ne promets rien, mais c'est une piste ;) > > Servan. > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en espérant >> > qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que ce >> > n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > Le 6 janvier 2017 à 12:30, David Ponzone a > écrit : > >> Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) >> >> > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : >> > >> > Bonjour à tous >> > >> > out d'abord je vous souhaite une excellente année 2017 en espérant >> > qu'elle sera meilleur que cette année 2016. >> > >> > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un >> > Fortigate. >> > >> > J'ai l'impression que c'est moi qui a un problème mais je pense que ce >> > n'est pas possible. >> > >> > SI vous avez des pistes je suis preneur merci. >> > >> > MAZ >> > >> > --- >> > Liste de diffusion du FRnOG >> > http://www.frnog.org/ >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Bonjour Choukou Moun, J'ai régulièrement eu des problèmes entre les Fortigate et les autres marques. Souvent le problème vient des "proxy-id", il me semble que fortigate le calcul automatiquement en fonction des réseaux "associés" au tunnel contrairement aux autres marques ou ils sont explicitement indiqués. Ce n'est valable que si tu as plusieurs subnets... Je ne promets rien, mais c'est une piste ;) Servan. Le 6 janvier 2017 à 12:30, David Ponzonea écrit : > Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > > > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : > > > > Bonjour à tous > > > > out d'abord je vous souhaite une excellente année 2017 en espérant > > qu'elle sera meilleur que cette année 2016. > > > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > > Fortigate. > > > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > > n'est pas possible. > > > > SI vous avez des pistes je suis preneur merci. > > > > MAZ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > Le 6 janvier 2017 à 12:30, David Ponzone a écrit : > Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > > > Le 6 janv. 2017 à 12:24, Choukou Moun a écrit : > > > > Bonjour à tous > > > > out d'abord je vous souhaite une excellente année 2017 en espérant > > qu'elle sera meilleur que cette année 2016. > > > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > > Fortigate. > > > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > > n'est pas possible. > > > > SI vous avez des pistes je suis preneur merci. > > > > MAZ > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRNOG] [TECH] Fortigate ipsec to Linux server
Ca, c’est un beau vendredi froid mais ensoleillé qui commence :) > Le 6 janv. 2017 à 12:24, Choukou Mouna écrit : > > Bonjour à tous > > out d'abord je vous souhaite une excellente année 2017 en espérant > qu'elle sera meilleur que cette année 2016. > > J'essai de monter un lien IPsec entre un serveur Linux IPsec et un > Fortigate. > > J'ai l'impression que c'est moi qui a un problème mais je pense que ce > n'est pas possible. > > SI vous avez des pistes je suis preneur merci. > > MAZ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/