FortiGate-60F¶
SPOF — Point de defaillance unique du reseau Vonnas
Le FortiGate 60F est le seul firewall/routeur du site. Il n'existe aucun equipement de secours, aucune HA, aucun spare. Sa perte entraine la coupure totale de tous les services reseau, inter-VLAN, Internet, VPN et WiFi pour l'ensemble du site (bureaux + usine). Emplacement physique : Charpente Dosage (usine) — hors salle serveur, protection physique reduite.
Identite¶
| Champ | Valeur |
|---|---|
| Nom | Fortigate FG-60F |
| Modele | Fortinet FortiGate FG-60F |
| S/N | GT60FTK2109CWPM |
| MAC | 94:ff:3c:68:8c:b2 |
| OS | FortiOS |
| Firmware | A completer |
| Mode | Route |
| HA | Standalone (aucun cluster) |
| Emplacement | Charpente Dosage (usine) — PAS en salle serveur |
| Criticite | C1 — critique |
| Infogerant | ALLEO |
| IP Management | 10.1.250.254 (V250 LAN_MGMT) |
| Statut | Actif |
IPs par VLAN¶
| VLAN | Nom | IP FortiGate |
|---|---|---|
| V1 | LAN_ADMIN | 128.55.55.250 |
| V110 | LAN_INDUS_GEST | 10.1.1.254 |
| V120 | LAN_INDUS_AUTO | 10.1.2.254 |
| V230 | LAN_SERVEUR (decomm.) | 10.1.230.254 |
| V250 | LAN_MGMT | 10.1.250.254 |
Passerelle par defaut
Le FortiGate est la passerelle .254 sur tous les sous-reseaux VLAN du site (routeur inter-VLAN).
Credentials d'urgence¶
Acces reserves au personnel habilite
| Acces | Identifiant | Mot de passe | Remarque |
|---|---|---|---|
| FortiGate admin (GUI/CLI) | admin |
Voir coffre-fort / ALLEO | https://10.1.250.254 ou https://10.1.1.99 |
| ALLEO (infogerant) | A completer | A completer | Contacter ALLEO pour acces d'urgence |
| Console serie | N/A | Meme credentials admin | Cable RJ45-DB9 ou USB, PuTTY Serial 9600 8N1 |
Roles et fonctions¶
Le FortiGate 60F cumule tous les roles reseau critiques du site Vonnas :
Routeur inter-VLAN¶
- Passerelle
.254sur les 17 VLANs du site - Routage entre tous les sous-reseaux bureaux, usine, serveurs, VoIP, visiteurs, management
Firewall / Securite¶
- 47 regles firewall (44 ACCEPT + 2 DENY + implicit deny)
- Profils de securite ALLEO : antivirus, IPS, inspection SSL, filtrage web, controle applicatif
- Voir Regles firewall pour le detail et les alertes critiques
FortiLink Controller¶
- Gestion centralisee de 5 FortiSwitch via protocole FortiLink
- Configuration, firmware, monitoring des switches depuis l'interface FortiGate
- Voir FortiLink — Switches manages
WiFi Controller¶
- Gestion de 3 FortiAP (bornes WiFi)
- Voir FortiAP — Bornes WiFi
Serveur DHCP¶
- Fournit le DHCP pour 3 VLANs :
- VLAN 11 (Visiteurs)
- VLAN 50 (VoIP)
- VLAN 250 (Management)
- Plages d'adresses : non documentees (a completer)
Passerelle VPN¶
- IPSec : tunnel
TO_AZURE_USINE(Vonnas <-> Azure) — actif - SSL-VPN : 3 profils configures, tous desactives (Alleo, Nomade, Agnes)
- Voir VPN
Connexion WAN / Internet¶
- Fibre : port3, VLAN 23
- ADSL : port2, VLAN 21
- 4G : backup
- SD-WAN probable (a confirmer)
FortiLink — Switches manages¶
Le FortiGate gere 5 FortiSwitch via FortiLink. La topologie forme un arbre hierarchique.
FortiGate 60F (controller)
├── BAIE_ADMINISTRATION (S124E) ─── coeur bureaux
│ ├── BAIE_BUREAU_48POE (S148F-FPOE) ─── bureaux PoE
│ ├── BAIE_BUREAU_24 (S124F) ─── bureaux
│ └── BUR_QUALITE_8P (S108F-POE) ─── qualite
└── BAIE_INDUS (S108F) ─── usine (~73 equipements)
| Nom | Modele | S/N | IP | Firmware | Role |
|---|---|---|---|---|---|
| BAIE_ADMINISTRATION | FortiSwitch S124E | Voir synthese | 10.255.1.3 |
v7.2.3 | Coeur bureaux |
| BAIE_BUREAU_48POE | FortiSwitch S148F-FPOE | Voir synthese | 10.255.1.6 |
v7.2.4 | Bureaux PoE |
| BAIE_BUREAU_24 | FortiSwitch S124F | Voir synthese | 10.255.1.4 |
v7.2.4 | Bureaux |
| BUR_QUALITE_8P | FortiSwitch S108F-POE | Voir synthese | 10.255.1.5 |
v7.6.0 | Qualite |
| BAIE_INDUS | FortiSwitch S108F | Voir synthese | 10.255.1.2 |
v7.2.3 | Usine |
SPOF usine
BAIE_INDUS est connecte au FortiGate sur un seul port (port1). Ce lien unique dessert environ 73 equipements industriels. La perte de ce port coupe toute l'usine.
Commandes CLI FortiLink utiles¶
# Etat des FortiSwitch connectes
execute switch-controller get-conn-status
# Detail d'un switch specifique
show switch-controller managed-switch <S/N>
# Table MAC d'un switch
diagnose switch-controller switch-info mac-table <S/N>
FortiAP — Bornes WiFi¶
Le FortiGate gere 3 bornes WiFi FortiAP connectees via BAIE_BUREAU_48POE (ports 14, 15, 17).
| Nom | IP | Port FortiSwitch |
|---|---|---|
| Borne_RdC_Couloir | 10.1.250.101 |
BAIE_BUREAU_48POE port14 |
| Borne_Etage_Couloir | 10.1.250.102 |
BAIE_BUREAU_48POE port15 |
| Borne_Salle_Reunion | 10.1.250.104 |
BAIE_BUREAU_48POE port17 |
Regles firewall¶
Statistiques globales¶
| Indicateur | Valeur |
|---|---|
| Nombre total de regles | 47 |
| ACCEPT | 44 |
| DENY | 2 |
| Implicit deny | 1 |
| Regles actives | 40 |
| Regles desactivees | 7 |
| Trafic total logue | ~300 GB |
Alertes critiques¶
CRITIQUE — Regle LAN_TO_LAN
Tout LAN <-> Tout LAN, TOUS services — 29.9 GB de trafic logue. Cette regle autorise tout le trafic entre tous les VLANs sans restriction. Elle annule completement la segmentation reseau. A restreindre en priorite.
HIGH — Regle LAN_ADMIN_TO_INDUS_TEST
Regle de test : tous ports ouverts de LAN_ADMIN vers l'usine — 5.19 GB de trafic. Regle temporaire jamais supprimee. A desactiver immediatement.
HIGH — Regle LAN2WAN_KEMIN
Automate OT (Kemin) avec acces WAN complet (tous ports, tous services). Un equipement industriel ne devrait jamais avoir un acces Internet non restreint.
Profils de securite appliques¶
| Profil | Type |
|---|---|
| ALLEO_ANTIVIRUS | Antivirus |
| ALLEO_IPS | Prevention d'intrusion |
| ALLEO_CRT_INSPECTION | Inspection SSL/TLS |
| ALLEO_WEBFILTER | Filtrage web (standard) |
| ALLEO_WEBFILTER_STRICT | Filtrage web (strict) |
| ALLEO_APPCTRL | Controle applicatif (standard) |
| ALLEO_APPCTRL_STRICT | Controle applicatif (strict) |
Gestion des profils
Tous les profils de securite sont geres par ALLEO (infogerant). Toute modification doit passer par ALLEO.
Pour le detail complet des regles, voir regles-firewall-fortigate-60f.
VPN¶
IPSec¶
| Tunnel | Source | Destination | Statut | Trafic retour |
|---|---|---|---|---|
| TO_AZURE_USINE | Vonnas | Azure | Actif | 916 MB |
SSL-VPN¶
| Profil | Statut |
|---|---|
| Alleo | Desactive |
| Nomade | Desactive |
| Agnes | Desactive |
Tous les profils SSL-VPN sont desactives. L'acces distant se fait uniquement via le tunnel IPSec vers Azure.
Pour le detail, voir documentation-vpn-vonnas.
Dependances¶
Upstream (le FortiGate depend de)¶
graph TD
ELEC[Alimentation electrique bureaux] --> FG[FortiGate 60F]
OND[Onduleur Riello] --> FG
FIBRE[Internet Fibre] --> FG
ADSL[Internet ADSL] --> FG
4G[Internet 4G backup] --> FG| Dependance | Type | Impact si perte |
|---|---|---|
| Alimentation electrique | Electrique | Arret complet |
| Onduleur Riello | Electrique | Pas de protection coupure |
| Internet Fibre (port3) | WAN | Bascule ADSL/4G |
| Internet ADSL (port2) | WAN | Bascule Fibre/4G |
| Internet 4G | WAN backup | Perte du dernier recours |
Downstream (tout ce qui depend du FortiGate)¶
Impact total en cas de panne
La perte du FortiGate entraine la coupure de l'integralite du reseau Vonnas.
| Element dependant | Nature de la dependance |
|---|---|
| BAIE_ADMINISTRATION | FortiLink management |
| BAIE_BUREAU_48POE | FortiLink management (cascade) |
| BAIE_BUREAU_24 | FortiLink management (cascade) |
| BUR_QUALITE_8P | FortiLink management (cascade) |
| BAIE_INDUS | FortiLink management (~73 equipements usine) |
| Tous les VLANs | Routage inter-VLAN |
| Tous les postes / serveurs | Acces Internet |
| TO_AZURE_USINE | Tunnel VPN IPSec |
| VLAN 11, 50, 250 | Serveur DHCP |
| 3 FortiAP | WiFi controller |
| FortiView | Monitoring local temps reel |
| 3CX VoIP | Routage VLAN 50 |
Pour la carte complete, voir carte-dependances-vonnas.
Reseau¶
IPs par VLAN (resume)¶
| VLAN | Nom | Sous-reseau | IP FortiGate |
|---|---|---|---|
| V1 | LAN_ADMIN | 128.55.55.0/24 | 128.55.55.250 |
| V110 | LAN_INDUS_GEST | 10.1.1.0/24 | 10.1.1.254 |
| V120 | LAN_INDUS_AUTO | 10.1.2.0/24 | 10.1.2.254 |
| V230 | LAN_SERVEUR | 10.1.230.0/24 | 10.1.230.254 |
| V250 | LAN_MGMT | 10.1.250.0/24 | 10.1.250.254 |
Le FortiGate est present sur les 17 VLANs du site comme passerelle .254. Seuls les VLANs avec IPs connues sont listes ci-dessus. Voir plan-adressage-ip-vonnas pour la liste complete.
Connexions WAN¶
| Lien | Port | VLAN | Remarque |
|---|---|---|---|
| Fibre | port3 | V23 | Lien principal |
| ADSL | port2 | V21 | Backup |
| 4G | A completer | N/A | Dernier recours |
Sauvegarde¶
CRITIQUE — Aucune sauvegarde documentee
La configuration du FortiGate n'est pas integree a Veeam ni a aucun outil de sauvegarde automatise. En cas de perte ou corruption de la configuration, il n'existe aucun backup pour restaurer l'equipement. Niveau de protection actuel : 0
Recommandations¶
- Export manuel immediat : GUI > System > Configuration > Backup
- Sauvegarde CLI :
execute backup config tftp <nom_fichier> <ip_serveur_tftp> - Automatiser : mettre en place un script planifie (cron + SCP/TFTP) ou utiliser FortiManager
- Stocker hors site : copie de la config sur un support externe ou dans le coffre-fort numerique
Restauration¶
A REDIGER
Il n'existe pas de fiche reflexe pour le FortiGate 60F. Procedure de restauration a creer par Sentinel (A7).
Informations connues (extraites de guide-tout-down)¶
Demarrage : - Temps de boot : 2 a 5 minutes - Apres boot : verifier la connectivite WAN - FortiLink : les switches remontent 2-3 minutes apres le FortiGate
Acces console : - Cable console RJ45-DB9 ou USB - PuTTY : Serial, 9600 baud, 8N1 - Pas de flow control
Acces web : - https://10.1.250.254 (management VLAN 250) - https://10.1.1.99 (acces alternatif)
Commandes CLI essentielles :
# Etat general du systeme
get system status
# Redemarrage
execute reboot
# Etat des FortiSwitch
execute switch-controller get-conn-status
# Verification interfaces
get system interface physical
En cas de corruption de configuration : - Possibilite de reboot en configuration usine - Contacter le support Fortinet AVANT toute reinitialisation - Restaurer depuis un backup de configuration (si disponible)
Supervision¶
| Outil | Type | Couverture | Remarque |
|---|---|---|---|
| FortiAnalyzer | Logs, reporting, analyse | Regles, trafic, VPN, FortiSwitch, FortiAP | Gere par prestataire externe |
| FortiView | Monitoring temps reel | Dashboard local FortiGate | Pas d'historique, temps reel uniquement |
FortiAnalyzer est heberge chez le prestataire externe. L'acces aux logs historiques necessite une demande aupres d'ALLEO.
Pour le detail, voir documentation-supervision-vonnas.
Contact support¶
| Entite | Contact | Remarque |
|---|---|---|
| Fortinet (constructeur) | A completer | Support materiel et logiciel FortiOS |
| ALLEO (infogerant) | A completer | Gestion quotidienne, profils securite, monitoring |
Historique¶
| Date | Evenement | Auteur |
|---|---|---|
| 2026-02-17 | Refactoring embed Obsidian (MAJ agent + frontmatter) | A2-Cataloger |
| 2026-02-17 | Creation de la fiche equipement (POC) | Tom |
| — | A completer : date de mise en service | — |
| — | A completer : historique firmware | — |
Sources¶
Cette fiche consolide les informations issues de 13 documents du referentiel IT-Docs Vonnas :
| Document | Informations extraites |
|---|---|
| regles-firewall-fortigate-60f | Regles, profils securite, VPN, statistiques trafic |
| plan-adressage-ip-vonnas | IPs du FortiGate sur chaque VLAN |
| topologie-reseau-vonnas | Position centrale, arbre FortiLink, diagrammes |
| cablage-brassage-vonnas | Arbre FortiLink, ports physiques |
| infrastructure-vonnas-synthese | S/N, MAC, table FortiSwitch, trunks, WiFi |
| carte-dependances-vonnas | Dependances centrales, identification SPOF |
| matrice-flux-vonnas | Flux reseau autorises/bloques |
| documentation-dns-vonnas | Forwarders DNS via FortiGate |
| documentation-dhcp-vonnas | Serveur DHCP pour VLANs 11, 50, 250 |
| documentation-vpn-vonnas | IPSec TO_AZURE_USINE, SSL-VPN desactive |
| documentation-wifi-vonnas | Gestion FortiAP, bornes WiFi |
| documentation-supervision-vonnas | FortiAnalyzer, FortiView |
| guide-tout-down | Procedure de redemarrage, acces console |
Voir aussi¶
- infrastructure-vonnas-synthese — Vue globale de l'infrastructure Vonnas
- carte-dependances-vonnas — Carte des dependances (FortiGate = noeud central)
- topologie-reseau-vonnas — Topologie physique et logique
- registre-vlan-vonnas — Liste complete des 17 VLANs
- guide-tout-down — Procedure de reprise totale du site
- analyse-couverture — Couverture documentaire du site