DOCUMENTATION VPN - Site Vonnas
Derniere MAJ : 2026-02-11 | Source : Config Fortigate FG-60F
Equipement : Fortigate FG-60F | IP : 10.1.250.254
1. Vue d'ensemble
| Type |
Nom |
Statut |
Trafic |
| IPSec site-to-site |
TO_AZURE_USINE |
ACTIF |
916 MB entrant |
| SSL-VPN |
VPN_TO_LAN_ALLEO |
DECOMMISSIONNE |
- |
| SSL-VPN |
VPN_TO_LAN |
DECOMMISSIONNE |
- |
| SSL-VPN |
VPN_TO_Poste_Agnes |
DECOMMISSIONNE |
- |
Seul le tunnel IPSec vers Azure est operationnel. Aucun acces distant VPN n'est actif.
2. Tunnel IPSec : TO_AZURE_USINE
Identification
| Champ |
Valeur |
| Nom |
TO_AZURE_USINE |
| Type |
IPSec site-to-site |
| Statut |
ACTIF |
Endpoints
|
Local (Vonnas) |
Distant (Azure) |
| IP publique |
WAN_FIBRE (185.19.240.247) |
20.199.97.213 |
| Interface |
WAN_FIBRE (VLAN 23) |
Azure VPN Gateway |
| Equipement |
Fortigate FG-60F |
Azure |
Chiffrement
| Parametre |
Valeur |
| IKE Version |
2 |
| Phase 1 - Algorithmes |
AES256-SHA256, AES256-SHA1 |
| Phase 1 - DH Group |
2 |
| Pre-shared Key |
Stockee dans le Fortigate (reference coffre-fort : A DOCUMENTER) |
Phase 2 - Selectors
| Nom |
Subnet local |
Subnet distant |
| TO_AZURE_USINE |
LOCAL_LAN_TO_AZURE |
LAN_AZURE |
Reseaux transportes
| Direction |
Source |
Destination |
Regle FW |
Trafic |
| Vonnas → Azure |
SRLV-SERV-APP, SRLV-SERV-BDD |
LAN_AZURE_HUB, LAN_AZURE_USINE_VONNAS |
IPSEC_VONNAS_TO_AZURE |
0 B |
| Azure → Vonnas |
LAN_AZURE_HUB, LAN_AZURE_USINE_VONNAS |
SRLV-SERV-APP, SRLV-SERV-BDD |
IPSEC_VONNAS_FROM_AZURE |
916 MB |
Le trafic est principalement entrant depuis Azure vers les serveurs Nutriciel (APP + BDD).
Usage : synchronisation / acces aux donnees ERP depuis l'infrastructure Azure.
Diagnostic en cas de panne
# Verifier l'etat du tunnel
diagnose vpn tunnel list name TO_AZURE_USINE
get vpn ipsec tunnel summary
# Verifier la phase 1
diagnose vpn ike gateway list name TO_AZURE_USINE
# Verifier la phase 2
diagnose vpn tunnel list name TO_AZURE_USINE
# Relancer le tunnel
diagnose vpn tunnel down TO_AZURE_USINE
diagnose vpn tunnel up TO_AZURE_USINE
# Verifier la connectivite vers Azure
execute ping 20.199.97.213
Procedure de re-etablissement
- Verifier :
diagnose vpn tunnel list name TO_AZURE_USINE → tunnel UP ?
- Si DOWN cote local :
- Verifier le lien WAN_FIBRE (ping passerelle FAI)
- Verifier les logs :
diagnose debug application ike -1 puis diagnose debug enable
- Relancer :
diagnose vpn tunnel down/up TO_AZURE_USINE
- Si DOWN cote Azure :
- Verifier la VPN Gateway Azure dans le portail (Azure Portal → VPN Gateway → Connections)
- Contact Azure / equipe cloud
- Si PSK modifiee : la PSK doit etre identique des 2 cotes (Fortigate + Azure)
3. SSL-VPN — DECOMMISSIONNES
Les 3 profils SSL-VPN ont ete decommissionnes. Les regles firewall associees sont desactivees.
| Profil |
Utilisateurs |
Acces prevu |
Statut |
| VPN_TO_LAN_ALLEO |
Infogérant ALLEO |
ADMIN + PC + SERVEUR (DNS + RDP) |
DECOMMISSIONNE |
| VPN_TO_LAN |
Employes nomades (NOMADE) |
ADMIN + PC + SERVEUR (DNS + RDP + ORACLE) |
DECOMMISSIONNE |
| VPN_TO_Poste_Agnes |
1 utilisateur (clientless) |
ADMIN + PC + SERVEUR (DNS + RDP + ORACLE) |
DECOMMISSIONNE |
Configuration residuelle
| Parametre |
Valeur |
| Interface |
ssl.root |
| Pool IP |
SSLVPN_TUNNEL_ADDR1 |
| Groupes |
Alleo, NOMADE, VPN_Clientless |
Ces configurations restent presentes dans le Fortigate mais sont inactives. Elles peuvent etre supprimees lors d'un nettoyage.
4. Points d'attention
| # |
Constat |
Risque |
Recommandation |
| 1 |
Aucun acces distant actif |
Si besoin d'intervention a distance = deplacement obligatoire |
Evaluer si un VPN d'urgence doit etre pre-configure |
| 2 |
PSK non referencee dans un coffre-fort |
Perte de la PSK = reconfiguration des 2 cotes |
Stocker la PSK dans un gestionnaire de secrets |
| 3 |
DH Group 2 (1024 bits) |
Considere faible par les standards actuels |
Migrer vers DH Group 14 (2048) ou 19/20 (ECC) |
| 4 |
Trafic unidirectionnel |
916 MB Azure→Vonnas mais 0 B Vonnas→Azure |
Verifier si le sens Vonnas→Azure est utilise |
| 5 |
Config SSL-VPN residuelle |
Configurations orphelines dans le Fortigate |
Nettoyer les objets (ssl.root, pools, groupes) |
Voir aussi
Document genere par NetMapper (A3) le 2026-02-11 | Inclus dans le Pack Panne