Concernant le NPU, déjà désactivé à la demande du support Forti. On a accès au 2, là on a fait ticket chez notre intégrateur qui a fait un ticket chez Forti.
La solution de changer le MTU sur l'interface WAN ne semble pas fonctionner Le jeu. 23 mai 2024 à 14:23, Guillaume Tournat <guilla...@ironie.org> a écrit : > Éventuellement, vous pouvez désactiver l’offloading npu sur la policy > concernée, pour voir si vous n’êtes pas dans un bug firmware/asic. > > Sinon, c’est troubleshoot avec le TAC Fortinet. > Vous avez un TAM Fortinet ou c’est vous/votre intégrateur qui faites ce > diagnostic ? > > > > On 23 May 2024, at 13:28, Florian VANNIER <florian.vannie...@gmail.com> > wrote: > > > Salut Guillaume, > C'est ce que nous avons fait, désactiver tous les éléments de > sécurité/déchiffrement. > > Le lun. 20 mai 2024 à 21:30, Guillaume <guilla...@ironie.org> a écrit : > >> Bonjour, >> >> Qui dit "CA Root interne" semble indiquer du déchiffrement SSL complet >> (et non simplement de la vérification de certificat). Et cela, les >> applications comme M365 notamment ne l'apprécient guère. >> >> Un test à réaliser serait de faire une policy aussi de celles pour le >> surf, qui cible les ISDB Microsoft, et sans déchiffrement a minima, et sans >> UTM éventuellement : >> >> >> config firewall policy >> edit 0 >> set name "M365 apps" >> set srcintf "internal" >> set dstintf "virtual-wan-link" >> set action accept >> set srcaddr "all" >> set internet-service enable >> set internet-service-name "Microsoft-Azure" "Microsoft-Web" >> "Microsoft-Other" "Microsoft-Office365" "Microsoft-Skype_Teams" >> set schedule "always" >> set logtraffic disable >> set nat enable >> next >> end >> >> >> gu!llaume >> >> >> Le 15/05/2024 à 11:59, Florian VANNIER a écrit : >> >> Bonjour à tous, >> Je me permets de jeter une bouteille à la mer car on galère pas mal sur >> un cluster de FortiGate 101F. >> Pour résumer la situation, cluster sur un site distant géré par un >> FortiManager au niveau du groupe. >> Règles communes vers le web. (sur 8 sites distants) >> Spécifiquement sur ce site, on rencontre des sites web qui tombent en >> timeout (ou très très lent) ou bien des erreurs de certificat (évidemment >> les clients ont le CA Root interne). Constaté aussi sur différents >> navigateurs. Sur un poste ça fonctionne, l'autre non ... >> <FRNOG (1).png> >> >> >> <FRNOG (2).png> >> >> >> >> On a donc désactivé au fur et à mesure tous les éléments de sécurité >> (DeepSSL, IPS, AV ...) vers le web. >> Mais on rencontre toujours ces problèmes de façon sporadique :( >> On a aussi fait des tests afin d'exclure un problème sur un WAN >> spécifique. >> Calme plat sur l'utilisation CPU/RAM ... >> <FRNOG (3).png> >> >> >> >> Notre intégrateur ainsi que le support Fortinet semblent à cours d'idées. >> >> Avez-vous déjà rencontré ce genre de problème ? >> Une idée sur ce qui pourrait causer ce comportement ? >> >> Merci d'avance la liste >> >> > > -- > *Florian VANNIER* > Administrateur systèmes et réseaux > Tel : +33 6 83 10 70 09 > E-mail : florian.vannie...@gmail.com > > -- *Florian VANNIER* Administrateur systèmes et réseaux Tel : +33 6 83 10 70 09 E-mail : florian.vannie...@gmail.com --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
