[Fortigate] Bypass ONT Orange

Bypass ONT Orange [Fortigate] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 26-05-2014 à 18:42:01    

Bonjour,
 
Je cherche à me passer de la livebox d'Orange dans une installation en Fibre.  
 
J'ai la configuration suivante:  
arrivée fibre Orange <--> ONT <-- Trunk ethernet avec plusieurs VLAN dont 835 pour l'IP --> WAN1 du Fortiwifi 80D  
 
J'ai configuré une interface virtuelle VLAN sur le WAN1 branchée sur le VLAN 835 du trunk issu de l'ONT.
Sur cette interface virtuelle, j'arrive bien à lancer une session PPPoE et récupérer l'IP publique ainsi que les serveurs DNS d'Orange.
 
Seulement c'est à peu près tout. Aucun trafic ne passe, pourtant j'autorise tout entre "internal" et "PPPoE".
 
Une idée ?
 
Merci

Reply

Marsh Posté le 26-05-2014 à 18:42:01   

Reply

Marsh Posté le 14-10-2015 à 13:17:10    

Bonjour,
 
Avez-vous réussi à résoudre votre problème depuis le temps?
Je suis confronté au même problème à l'heure actuelle.
 
Cordialement,
 
Seb
 

mile75 a écrit :

Bonjour,
 
Je cherche à me passer de la livebox d'Orange dans une installation en Fibre.  
 
J'ai la configuration suivante:  
arrivée fibre Orange <--> ONT <-- Trunk ethernet avec plusieurs VLAN dont 835 pour l'IP --> WAN1 du Fortiwifi 80D  
 
J'ai configuré une interface virtuelle VLAN sur le WAN1 branchée sur le VLAN 835 du trunk issu de l'ONT.
Sur cette interface virtuelle, j'arrive bien à lancer une session PPPoE et récupérer l'IP publique ainsi que les serveurs DNS d'Orange.
 
Seulement c'est à peu près tout. Aucun trafic ne passe, pourtant j'autorise tout entre "internal" et "PPPoE".
 
Une idée ?
 
Merci


Reply

Marsh Posté le 14-10-2015 à 16:43:50    

Bonjour,
 
Oui en fait c'est très simple, il suffit de créer une interface virtuelle VLAN835 sur l'interface WAN reliée à votre ONT Orange et ensuite PPPoE. Ensuite vous créer les routes statiques de base pour orange :
 
 
Route:
IP/Mask : sous réseau de votre LAN
gateway 193.253.160.3
device : nom_du_VIF835
 

Message cité 1 fois
Message édité par mile75 le 14-10-2015 à 16:46:13
Reply

Marsh Posté le 15-10-2015 à 11:00:40    

En fait moi, j'ai fais cela comme configuration :
 
Dans mon interface Wan2, j'ai :
 
 
Interface Name : Wan2 (Adresse MAC)
Alias: FO Orange
Link Status : Down
Type : Physical Interface
Adressing mode : PPPoe
Status : Failed
Usename : fti/xxxxxxx
Password : *******
Unnumbered IP : 0.0.0.0
Initial Disc Timeout : 1
Initial PADT Timeout : 1
Retrieve default gateway from server : Cocher
Override Internal DNS : Cocher
Administrative Access : Ping
Device Management : Detect and identity Devices : Décocher
Enable Explicit Web Proxy : Décocher
Listen for Radius accounting Messages : Décocher
Administrative Status : UP
 
Je suis ensuite obliger de créer une autre interface qui va se positionner sous WAN2 :
 
Interface Name : VLAN FO Orange
Type : VLAN
Interface : Wan2
VLAN ID : 835
Adressing Mode : PPPoE
Status : Connected
Obtained IP/Netmask : 193.x.x.x 255.255.255.255
Acquired DNS 81.253.149.6 80.10.246.136
Default Getaway : 193.253.160.3
Username : fti/xxxxxxx
Password : *******
Unnumbered IP : 0.0.0.0
Initial Disc Timeout : 1
Initial PADT Timeout : 1
Retrieve default Gateway from server : Cocher
Distance : 5
Override Internal DNS : Cocher
Administrative Access : Ping
Device Management : Detect and Identify Devices : Décocher
Enable Explicit Web Proxy : Décocher
Listen for Radius Accounting Messages : Décoché
Administrative Status : UP
 
 
Est-ce normal que sur l'interface WAN 2 je vois connection failed, alors que sur l VLAN c'est connected?
 
Merci
 

mile75 a écrit :

Bonjour,
 
Oui en fait c'est très simple, il suffit de créer une interface virtuelle VLAN835 sur l'interface WAN reliée à votre ONT Orange et ensuite PPPoE. Ensuite vous créer les routes statiques de base pour orange :
 
 
Route:
IP/Mask : sous réseau de votre LAN
gateway 193.253.160.3
device : nom_du_VIF835
 


Reply

Marsh Posté le 15-10-2015 à 11:38:48    

Oui c'est normal, on ne se sert pas de WAN2 qui est, par défaut, connectée, au VLAN1 du trunk, VLAN1 sur lequel il ne se passe strictement rien.
 
Il faut maintenant que vous alliez dans la partie concernant les routes statiques du routeur. Ensuite créez la route que je vous ai indiquée plus haut.
 
Je n'ai pas les infos sur votre interface LAN (plages d'IP). Supposons que votre LAN soit sur 192.168.0.0/24
 
La route a créer est simplement :
 
Route:  
IP/Mask : 192.168.0.0/24
gateway 193.253.160.3
device : VLAN FO Orange
 
Ensuite il faut créer une firewall policy entre l'interface LAN et l'interface "VLAN FO Orange" (et non WAN2), en cochant la case NAT.
 
 

Reply

Marsh Posté le 15-10-2015 à 13:33:17    

Bonjour,
Merci pour votre réponse.
Sur WAN1 j'ai déjà une fibre qui arrive.
tout fonctionne.
Quand j'active (VLAN FO Orange) en parallèle, tout se coupe.
Plus aucun utilisateurs n'a d'accès internet.
Je n'arrive pas à voir d'où vient le problème.
 
Peut-être le DNS à changer sur les serveurs DNS.
 
Je vais regarder cela.
 
Merci
 

Reply

Marsh Posté le 15-10-2015 à 13:39:30    

Dans WAN2 au dessus du VLAN835, vous avez Failed aussi au niveau du Status ?
Et l'administrative Status est UP?
Merci

Reply

Marsh Posté le 15-10-2015 à 14:00:31    

Si vous avez 2 accès fibres, il faut traiter les routes séparément. Une route vers la passerelle de WAN1 et une route vers la passerelle de VLAN FO Orange. Avec des priorités différentes.

Reply

Marsh Posté le 15-10-2015 à 16:34:35    

J'ai bien traiter les routes séparément, mais dès que j'active la fibre Orange, les utilisateurs n'ont plus d'accès à Internet.
 
Au niveau des routes, j'ai mis :
Fibre 1 Administrative Distance 10
Priority 5
Fibre 2 (VLAN Orange) Administrative Distance 20
Priority 10
 
Afin que les utilisateurs gardent leur connexion sur Fibre 1 en priorité.
 
Mais cela coupe tout

Reply

Marsh Posté le 15-10-2015 à 16:37:34    

Je n'ai pas assez d'éléments. Liste de vos routes statiques et dynamiques ?
Attention les routes dynamiques sont prioritaires sur les routes statiques.

Reply

Marsh Posté le 15-10-2015 à 16:37:34   

Reply

Marsh Posté le 15-10-2015 à 17:06:56    

Alors voici le résultat de Test :
 
Avant connexion VLAN (juste avec Fibre1) :
Static Routes
IP/Netmask 0.0.0.0 0.0.0.0
Gateway 109.x.x.x
Device Wan1
 
Routing Monitor :
Type : Static Network 0.0.0.0/0 Gateway 109.x.x.x Interface WAN1
Type : Connected Network 109.x.x.x/29 Gateway 0.0.0.0 Interface WAN1
Type : Connected 192.168.20.0/24 Gateway 0.0.0.0 Interface Internal1
 
Après branchement fibre Orange sur WAN2 :
 
Static Routes
IP/Netmask 0.0.0.0 0.0.0.0
Gateway 109.x.x.x
Device Wan1
 
IP/Netmask 192.168.20.0 255.255.255.0
Gateway 193.253.160.3
Device VLAN FO Orange
 
Routing Monitor :
Type : Static Network 0.0.0.0/0 Gateway 0.0.0.0 Interface VLAN FO Orange
Type : Connected Network 109.x.x.x/29 Gateway 0.0.0.0 Interface WAN1
Type : Connected 192.168.20.0/24 Gateway 0.0.0.0 Interface Internal1
Type : Connected 193.x.x.x (IP Fixe) Gateway 0.0.0.0 Interface ppp1
Type : Connected 193.253.160.3 /32 Gateway 0.0.0.0 interface ppp1
 
Qu'en pensez-vous ?
 
Merci

Reply

Marsh Posté le 15-10-2015 à 17:25:06    

Le problème vient selon moi de la gestion des priorités (des distances).
 
Essayez:
distance = 10 identique pour les deux interfaces WAN1 (fibre) et VLAN FO Orange (fibre orange)
 
Puis pour les 2 routes statiques:
distance = 10 et 20
priorité = 0 (il faut que la priorité soit identique).
 
 

Reply

Marsh Posté le 15-10-2015 à 17:45:42    

Sur l'interface WAN1, je n'ai pas d'onglet Distance, comme "l'adressing mode " est en manuel.
Sur l'interface WAN2, au dessus donc de VLAN FO Orange,
vous avez mis quoi ? PPPoE avec Identifiant + Administrative Status en UP ?
 

Reply

Marsh Posté le 15-10-2015 à 18:03:28    

Non manual
0.0.0.0/0.0.0.0
Administrative status = up


Message édité par mile75 le 15-10-2015 à 18:03:56
Reply

Marsh Posté le 20-10-2015 à 09:49:44    

avec tout décochés ?
 
J'ai mis les 2 en routes, mais j'ai la moitié des utilisateurs qui obtiennent une navigation avec la FO Orange, et d'autre qui ont tout de bloqué avec l'autre FO.
Faut que je regarde ça.
Peut-être qu'il faut laisser un certain temps de propagation.

Reply

Marsh Posté le 20-10-2015 à 09:53:07    

Il faudrait peut-être que j'aille dans le WAN link load balancing Interface pour configurer cela.  
vous connaissez?

Reply

Marsh Posté le 20-10-2015 à 12:41:23    

Je vous ai laissé mon numéro. C'est trop long par messages interposés, je n'aurai pas le temps de continuer ici à vous aider.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed