Salut tout le monde,
 
 
Suite au rachat de notre société, nous devons faire quelques changements d'infrastructure réseau.
 
Entre autre, nous devons sur tous nos sites (19) déjà relié par VPN Ipsec entre eux, faire un filtrage web par proxy. Sur nos deux principaux sites, nous avons du Fortigate actuellement.
 
Le but serait de centraliser l'ensemble des flux internet des petits sites vers les deux Principaux. Et faire le filtrage via les Fortigates. La question, comment sur des routeurs (Zyxel ou Forti) imposer le passage par le VPN en route par défaut pour le web ?
 
 
Merci par avance pour vos avis

sur tu route-based IPSec (comme le font les fortinet, pour zyxel je ne sais pas) c'est facile, tu mets ta route par défaut via l'interface tunnel et voilà. Tu auras peut-être aussi besoin de mettre une route en /32 vers le peer VPN distant via le routeur internet local pour ne pas que le tunnel ne retombe une fois établi (du fait de la route vers le peer qui serait passée à l'intérieur du tunnel, ce qui n'aurait pas de sens).

Merci de ta réponse, je ne connais pas bien cette partie la. Est-ce que tu aurais des précisions sur les points que tu indiques stp

Hello

Dans la phase 2 de ton VPN tu vas déclarer des routes, qui sont (en général) les réseaux LAN de tes deux sites.
Il te suffit de remplacer la route de ton site principal (celui avec tes accès Internet mutualisés) par un 0.0.0.0/0 (enfin regarde la doc de ton équipement pour la syntaxe).
Du coup ça force l'ensemble du trafic à l'intérieur du lien IPSec.

Attention juste, en faisant ça tu rajoutes de la latence au surf et autres.
Ca peut coincer avec HTTPS selon tes latences/débits etc.

(corrigé thx Je@nb)

0.0.0.0/32 ça va pas router grand chose
0.0.0.0/0 plutôt

Oula oui... bien vu.

 
Suis vraiment curieux de cette partie, tu peux expliciter ?
 
 
Sinon concernant ta demande, sur les Forti des sites distant il faudra :
-Modifier les tunnels comme l'explicite RancidFan
-Créer des règles de routages pour forcer le trafic interne des utilisateurs vers l'ipsec. Sans pour autant y forcer le trafic du firewall lui même (beh oui, sinon comment il fait pour se connecter à l'équipement distant?   )

Merci beaucoup pour les forti c'est clair pour moi. Par contre pour les Zyxel uniquement une modif de la phase suffit ? Car je peux pas choisir l'interface de sortie comme sur mes Fortinet