Reprise du message précédent :

Raconte un peu ?

De toute façon ils n'avaient plus personne pour gérer ça (enfin si, y en avait un, mais vu qu'il veut plus rien foutre), donc ils sont passés par un presta qui leur a mis ça. Tant qu'ils sont capables de gérer ces bouses...

Je le redis, mais Stormshield, avec les firmwares récents, ça marche plutôt bien. Et venant de VyOS, oui j'aurais pu cracher sur Stormshield (bon faut pas en mettre pour faire du routeur/FW de type opérateur telco).

Nah, l'histoire avec Fortinet Ici on en a pas mal et ça marche bien, je suis toujours curieux de connaitre les avis qui vont dans l'autre sens

 
Tu fais de l'IPv6 ? Du BGP ?

c'est quoi les problèmes avec bgp ? on en a ici, à part le fait qu'il faut faire la config en CLI ça a l'air de fonctionner correctement.

Chez nous certaines boîtes ça a été :
- Gisèle, prenez votre Compaq et vos classeurs chez vous, j'appelle le presta pour qu'il mette en place un truc pour se connecter !

Pour hier...

Moi c'est ma soeur qui m'a fait un tour pendable.
 
A l'install de sa boutique, je lui ai installé un petit NAS/serveur, avec accès VPN, accès web etc.
 
Là au confinement elle m'apelle "dis j'arrive plus à me connecter à distance au truc c'est normal ?"
 
Je regarde, effectivement, tout offline, j'arrive pas à joindre quoi que ce soit.
 
Elle me voit galerer pendant 10 minutes, puis tout d'un coup "Ah on a changé le fournisseur internet, tu crois que ça peut jouer ?"
 
 

 
Je veux bien voir la conf qui permet d'annoncer un préfixe en IPv6 (pas une route connected ou apprise en ospf hein! )
 

 
Ok en IPv4, KO en IPv6, c'est tellement logique

bah oui vu la grosse faute

Activate /activate6 ?

 
Je ne suis pas responsable de la syntaxe de merde de Forti

Merci ça va me servir pour mon projet interne.
On est encore en routage statique sur nos 4 firewalls avec des tables de routage complètement débiles  

Le PC fixe nomade  

Pas avec les fortigate non, seulement firewalling et VPN. Pour tout ce qui est routage BGP et v4/v6 on fait ça sur des routeurs/switches L3.

T'as l'équivalent chez Cisco avec "neighbor activate" hein De là à dire que Cisco a une syntaxe de merde, je vais rester neutre sur ce coup

Bon à savoir que le BGP ne se fait qu'en CLI sur les fortigate, ça me parait surprenant mais pourquoi pas

pas de netconf ?

c'est pas qu'il ne se fait qu'en CLI, c'est juste qu'en GUI tu peux configurer ton ASN et tes neighbors mais c'est à peu près tout.
 
J'ai pas regardé si ça s'est amélioré depuis la 6.0 ceci dit.

 
Du coup, tu fais comment sur les Forti pour configurer un prefixe IPv6 plus specifique sur une autre interface ?
 

 
Oui et ce n'est pas la même chose.
 

 
Non, ça ne s'est pas amélioré
J'en arrive à la conclusion que c'est le genre de fonctionnalité présente juste pour cocher une case, pas pour être utilisée.

J'utilise pas IPv6 sur les Forti, problem avoided

Détaille un peu + ce que tu veux faire, de ce que je comprends tu veux mettre par exemple sur internal1 une IPv6 en /32 et sur internal2 une IP du même subnet /32 mais avec un masque /64 ?
Ça me semble bien tordu comme design J'ai sûrement mal compris.

À froid là comme ça sans avoir touché de config BGP Forti ça me semble assez similaire pourtant : tu t'en sers pour contrôler quelle address-family v4 ou v6 tu veux échanger sur le neighbor En quoi tu trouves ça différent ?

J'ai trouvé cet article sur leur KB, apparemment il peut y avoir des mélanges v4/v6 qui créent des soucis :
https://kb.fortinet.com/kb/document [...] ID=FD37481

 
A priori, tu as compris ce que je veux faire  
 

 
En fait c'est pareil mais la mise en place me parait plus naturelle chez Cisco (choix par AF, pas par peer, du coup il y'a un seul mot clé pour la même action)

 
Mais pourquoiiiii ? Quel cas peut amener un truc comme ça ?  
J'ai déjà vu ce design bancal à cause de migrations/regroupements de subnets, ajouter en + l'ARP Proxy activé par défaut dans le mix, ça pétait aléatoirement sans prévenir (et c'était des IPs de caches DNS donc gros ravages derrière ), on s'en est mordu les doigts 1000 fois avant de terminer de bouger les services liés pour remettre l'adressage IP à plat  
 

Faudra que je me refasse un lab mais à l'époque (je débutais en BGP) j'avais pas réussi à échanger de préfixes IPv6 par dessus une session v4. C'est quand même assez spécial. Au final, "keep it simple," je me retrouve avec une adresse family par neighbor, c'est pratique courante d'ailleurs sur tous les IXPs où je traine, tout le monde a une IPv4 pour l'address-family v4 et une IPv6 pour l'address-family v6, chaque commande address family ayant un nom spécifique ("address-family ipv4 unicast" ou "address-family ipv6 unicast" ) donc ça revient au même que Forti.

Ca irait bien sur le topic sysadmin tout ça quand même

/ne ferais pas de commentaire sur windows

 
 Clair. Ne soyez pas trop technique dans ce sujet svp.

 
T'en fais pas que si le Fortigate fonctionnait "normalement" (annonce d'un préfixe qui n'est pas déjà en FIB), je n'irai pas faire ce genre de saleté
(je ne veux pas jouer avec les filtres juste pour un préfixe)

C'est du réseau  

Rien à faire sur sysadmin  

D'ailleurs les sysadmin sont des gueux  

Retire ça  

bon bah le topic netadmin

quelle plateforme ?

Si tu peux pas originer ce que tu veux (ce qui est étrange d'ailleurs...), tu ne peux pas simplement faire une route vers null0 (ou l'équivalent de null0 chez Forti) de ton préfixe spécifique, pour avoir une annonce valide pour BGP ?
Le bricolage d'interfaces pour se mettre une route spécifique en FIB là, il me semble bien rodéo

 
Je comprends ce que tu veux dire mais je ne suis pas vraiment d'accord, pour moi le keep it simple ce serait plutôt avoir un neighbor par... neighbor, pas un neighbor par neighbor par adress family. De même sur la partie dataplane, un next-hop unique pour les deux familles et comme ça plus besoin d'avoir une interco IPv4 + un interco IPv6... mais bon c'est pas encore supporté partout.

   il n'avait pas vu que c'était du réseau

Pouvons nous rester dans le thème générique du sujet svp ?

qui est ?

"fortigate gere le bgp de maniere merdique" selon ivy gu, ça te vas ?

la rfc5549. Ce topic est maintenant entièrement dédié à la rfc5549.

j'aurais plutôt dit "pas terrible" que merdique, mais c'est fortinet, vu le prix on peut pas être trop exigeant non plus pour une feature qui s'éloigne un peu du firewalling

Enfin bon, espérons qu'avec tous les gros opérateurs cloud qui fonctionnent en BGP pour leurs interco avec le on premise, les implémentations des constructeurs de firewalls un peu à la traine vont s'améliorer.

 yes !    
 
 

 
2004, 10mb sur un serveur DC avec 30mb burstable

2002, le routeur soft en ethernet sur modem adsl 512k routé avec kerio et à la seconde avant la déco des 24hr

A l’epoque moi je galèrerais avec un modem Sagem usb qui tapais du bsod à longueur de journée et le même soft kerio.
Rétrospectivement 100w le routeur instable fallait être con  

ah non j'avais du thomson st512 je crois, par contre j'ai appris cette année ou l'année dernière qu'il y'avait un path/crack/procédure pour le passer en routeur plutôt qu'en modem pppoe@ethernet

c'était pas plutot l'alcatel speedtouch home que tu passais en pro?
http://www.hightech-industry.com/adsl/