Bonjour à tous,
 
Je vous sollicite car cela fait plusieurs semaines que je cherche une solution sur le forum, internet avec des guides mais je ne trouve pas la bonne configuration.
Voici mon souci, j'ai plusieurs sites distant mais sur le même réseau 10.17.72.x/24 reliés entre eux en fibre optique du même opérateur internet. (couleur noire)
Sur site il y a des abonnements Adsl orange et des Fortinet 50B. Je souhaiterai (couleur verte) pouvoir les utiliser en cas de coupure d'un lien fibre optique.  
 
Pur ce faire, parallèlement en test j'ai configuré les Fortinet pour faire du VPN entre eux et ça fonctionne mais sur des réseaux IP différents,par exemple j'ai mis le site A en 192.168.1.x/24 et le site principal en 192.168.2.x/24 mais je souhaiterai que ça fonctionne avec le plan d'adressage réseau existant qui est en 10.17.72.1/24 sur chaque site.
 
 

 
Pouvez-vous m'aider à y voir plus clair pour adapter ma configuration ADSL "de secours" en utilisant un VPN.
 
Je vous en suis tres reconnaissant et vous remercie pour votre aide.
Vincent

Bonjour,
 
tu peux faire un tunnel gretap que tu "encapsules" dans un vpn ipsec, ainsi tu gardes le même plan d'adressage des deux côtés. en pratique je sais comment le faire sur du stormshield mais je connais mal Fortinet donc il te faudra probablement une doc ^^ .

Bonjour,
 
Merci Splinter pour t’être arrêté sur mon souci.
Je suis ton conseil, j'ai trouvé de la doc  http://docs.fortinet.com/uploaded/ [...] vpn-50.pdf
Par contre il faut un FortiOS 4.0 et je suis en 3.0, je regarde en ce moment comment le mettre a jour.
Vincent

Pas de soucis
 
procédure pour l'update :
 
To upgrade the firmware using the web-based manager
1
Copy the new firmware image file to your management computer.
The firmware images for FortiGate units are available at the Fortinet Technical Support  
web site. Log in to  
the site and go to  
Firmware Images > FortiGate
.
2
Log into the web-based manager as the super admin, or an administrator account that  
has system configuration read and write privileges.
3
Go to  
System > Status
.
4
In the System Information section, sele
ct Update on the Fi
rmware Version line.
5
Type the path and filename of the firmware  
image file, or select Browse and locate the  
file.
6
Select  
OK
.
The FortiGate unit uploads the firmware  
image file, upgrades to the new firmware  
version, closes all sessions, restarts, and  
displays the FortiGate login. This process  
takes a few minutes.
7
Log into the web-based manager.
8
Go to  
System > Status
 and check the Firmware Version to confirm that the firmware  
upgrade is successfully installed.
9
Update antivirus and attack definitions. For information about updating antivirus and  
attack definitions, see  
“Configuring FortiGuard Services” on page 264
 
source :  http://kb.fortinet.com/kb/microsit [...] 2013546163

Super, merci je vais donc suivre la procedure et te tiens au courant de la suite.

Salut,
 
Alors pour les mises à jour du Fortinet faut avoir une licence active,et la mienne est expirée depuis 2008 et celui qui nous a fourni les Fortinet n'existe plus, bref ca semble le moisi. Par contre sur 2 autres sites, (j'en ai 5 qui pointent vers un site - serveur principal) j'ai trouvé un zyxel usg 50, en regardant les doc ici et la, j'ai trouvé ceci http://www.zyxel.fr/support/knowle [...] ail/115246
 
Je vais essayer entre les deux sites qui ont le même zyxel  du coup et je te dit ce qu'il en est.
Vincent

Hello !  
 
Effectivement c'est dommage, peut-être à l'avenir faudra t'il envisager de reprendre une licence ? ou changer de produit ?  
 
Ta solution entre les deux zyxel à l'air assez simple a mettre en oeuvre effectivement, j'attends ton retour sur ce sujet, c'est intéressant

Tu peux également résoudre les problèmes de sites distants qui se recouvrent avec des translations. Même qd ils sont reliés en ipsec.
 
Si t'encapsules des tunnels dans d'autres tunnels (comme gretap dans ipsec) tu finis par transporter que des entêtes de protocoles au bout d'un moment.
 
Reste à voir dans le cas présent quelle est la solution la plus efficace.

Tout a fait Giméa, du Nat-T , c'est tout à fait ce qu'il va mettre en oeuvre avec la doc des Zyxel. Oui, le Gretap dans Ipsec augmente la longueur des en-têtes, donc la fragmentation, mais je ne pense pas que cela fasse baisser sensiblement la qualité de la connexion ?

Le NAT-T dans le cadre d'ipsec permet à un correspondant de monter un tunnel tout en étant derrière un routeur qui NAT.
 
Dans son cas à lui, il peut faire du NAT avant VPN en attribuant un subnet virtuel de chaque coté et en translatant.
 
Si tu paramètres correctement ton MSS, j'aurais tendance à penser que tu n'auras pas de fragmentation mais par contre en encapsulant du GRE dans de l'IPSEC tu envoies des trames qui contiennent moins de données utiles et plus d'entêtes.
 
En fait la vraie solution dans son cas ça serait surtout de ne pas avoir de réseaux qui se recouvrent.
 

Oui, ça serait la solution la plus simple, mais il y a les contraintes de l'existant, tu peux pas toujours tout changer en entreprise.  
 
Tu as raison pour le nat-t, c'est un abus de langage de ma part mais on parle bien de la même chose .

 
Exact, d'autant plus que je n'avais que partiellement lu son message et son schéma et qu'en plus c'est seulement pour du secours.
 

Salut,
 
désolé de répondre si tard, j'ai fait des tests entre deux zyxel usg50, l'un derrière un lien adsl SFR et l'autre Orange, le vpn se monte bien mais le NAT ne fonctionne pas.
J'ai passé bcp de temps sur les conf sans pour autant trouver de solution, j'ai contacté mon éditeur qui gère le serveur en question et lui ai demandé de libérer une des 4 cartes réseau et d'y mettre une adresse ip privée différente du reseau actuel.
Ce sera plus simple a gérer, d'autant plus que c'est pour du secours...
 
Merci à tous pour m'avoir aidé.
 
Bonne soirée,