Discussion :

[Invité]

Bonjour,
Pour vous situer rapidement, je travaille depuis 1 mois sur une problématique de migration de DMZ d'une ancienne infra vers une nouvelle. Grosso merdo, le réseau se compose de la façon suivante :

WAN
l
FW Stormshield
l
SW HP5120
l
FW Fortinet -- DMZ -- SRV Proxy
l
LAN

Le but de ma mission est de migrer la DMZ sur le Firewall Stormshield afin d'obtenir cette topologie :

WAN
l
FW Stormshield -- DMZ -- SRV Proxy
l
SW HP5120
l
FW Fortinet
l
LAN

Je me heurte à une problématique réseau dont je ne parviens pas à me défaire, voilà comment fonctionne l'infra actuelle :
- Le routage du trafic destiné au WAN achemine les paquets vers le Firewall Fortinet, c'est à dire que ce firewall est en quelque sorte la passerelle par défaut des autres équipements.
- Pour que le trafic HTTP et HTTPS soit contrôlé par le proxy, une policy route est présente sur le Firewall Fortinet qui dit que ce trafic doit être acheminé vers le patte VLAN DMZ.

Là où je bloque, c'est que pour réaliser la migration, il faut que la policy route envoie le trafic HTTP et HTTPS vers le nouveau proxy situé sur le FW Stormshield, or lorsque les paquets atteignent le SW HP5120, ils sont destinés à l'extérieur donc sont retournés au FW Fortinet et j'ai beau retourné l'affaire dans tous les sens, pas moyen de trouver une solution.

Je pense que la meilleure solution est de retirer le SW HP5120 et de connecter en direct le Firewall Stormshield.

Qu'en dites-vous? Merci d'avance pour vos retours.

[pascaldm]

Aucune information n'est donnée sur les équipements en charge de la NAT dynamique ou statique, ni sur la politique de sécurité entre les zones : LAN <-> WAN, LAN <-> DMZ et DMZ <-> WAN.
Quels sont les adressages des zones LAN, DMZ, WAN (public ou privé) ?
Quelles sont les routes (statique ou dynamique) sur chaque équipements ainsi que les passerelles par défaut ? OK il y a un Policy-Based Routing (PBR) sur le Fortinet qu'il faudrait apparemment déplacer sur le Stormfield. Mais existe-t-il d'autre PBR (routage par règle) ?

lorsque les paquets atteignent le SW HP5120, ils sont destinés à l'extérieur donc sont retournés au FW Fortinet

Apparemment le switch est un équipement de layer 3 car il participe au routage. Pourquoi route-t-il les paquets au Fortinet (route par défaut, PBR, ...) ?

[Invité]

Bonjour pascaldm, je te remercie pour ton aide.

Les règles de filtrage sur le Fortinet sont les suivantes :
Accepter le trafic du WAN vers la DMZ
Accepter le trafic de la DMZ vers le WAN
Accepter le trafic du LAN vers le proxy DMZ
Accepter le trafic du LAN vers le WAN

Le NAT est activé sur la patte WAN du Fortinet uniquement et convertit en une IP publique le trafic sortant et entrant.

Sur le switch HP5120, il y a une route par défaut vers le Fortinet. Les paquets vers la DMZ sont eux aussi acheminés vers le Fortinet car ils empruntent la route par défaut.
Côté Stormshield, seule une route par défaut est configurée vers le switch HP5120.

J'ai commis une erreur dans mon schéma, voici la version correcte :

LAN
l
FW Stormshield
l
SW HP5120
l
FW Fortinet -- DMZ -- SRV Proxy
l L WAN
LAN

Le LAN côté Stormshield n'a pas de problème pour accéder au proxy pour inspection HTTP et HTTPS, or le LAN côté Fortinet ne pourra pas aller sur la DMZ du Stormshield car, une fois arrivée sur le switch HP5120, le paquet à destination du WAN sera re-rerouté sur la passerelle par défaut.

[pascaldm]

le LAN côté Fortinet ne pourra pas aller sur la DMZ du Stormshield car, une fois arrivée sur le switch HP5120, le paquet à destination du WAN sera re-rerouté sur la passerelle par défaut.

Si j'ai bien compris la problématique, lorsque la DMZ sera raccordée au Stormshield, il faut ajouter statiquement les routes nécessaires pour joindre la DMZ (en rouge) :

• ajouter une route statique sur le Fortinet pointant vers le switch pour joindre la DMZ,
• ajouter une route statique sur le switch pointant vers le Stormshield pour joindre la DMZ.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
    LAN1                            default routes     New specific
      |                                                   routes  
  Stormshield -- DMZ -- SRV Proxy     (default)           
      |                                  |                 ^         
      |                                  v                 |
    HP5120                            (default)          to DMZ
      |                                  |                 ^
      |                                  v                 |
   Fortinet                                              to DMZ
    |  (nat) 
    |    | 
  LAN2  WAN

Si aucune route (dynamique ou statique) n'est en place, le LAN2, le Fortinet et le switch sont incapables de joindre la DMZ (maintenant connectée au Stormshield).
Le LAN2 ne peut pas non plus joindre le LAN1. Si c'est nécessaire, il faut aussi ajouter des routes statiques "to LAN1" (comme pour la DMZ) pour permettre un routage de LAN2 vers LAN1. Dans l'autre sens, les routes par défaut sont suffisantes.