Salut,
Merci beaucoup pour ce retour super complet et franchement instructif
— le combo Jinja + FortiManager me parle bien, surtout avec un passé
de dev et une volonté d’industrialiser à fond.
Côté perf et simplicité, ton setup semble solide. Le côté “just works”
dans un contexte avec peu de ressources humaines, c’est un argument de
poids.
Pour affiner un peu ma réflexion, j’aurais une question sur les coûts
globaux de la solution Fortinet dans votre contexte :
*
Vous êtes sur quels ordres de grandeur de coût par site (licence +
matériel + support), pour des sites avec un lien <1G ?
*
Et pour les quelques sites avec des besoins plus costauds (jusqu’à
10G), tu sais à peu près ce que ça représente en budget par site ?
*
Est-ce que la partie FortiManager/FortiToken a un impact
significatif sur le coût global, ou c’est marginal une fois
mutualisé ?
Je me doute que ça dépend pas mal du sizing et des options activées,
mais même une fourchette approximative serait top pour m’aider à
comparer objectivement.
Merci encore pour ton retour d’expérience très précieux !
À+
Thierry
On Thu, Jul 17, 2025 at 10:55 AM Baptiste Chappe
<[email protected]> wrote:
Salut Thierry,
Petit REX sur un déploiement SD-WAN avec Fort$ et Silv* pour
environ 150 sites répartis en France et en Europe.
Matériel principalement composé de petits boîtiers 60F / 100F,
avec des liens ISP en 100 Mbit/s à 1 Gbit/s, plus quelques backups
4G (quand ça fonctionne…), et des appliances déployées dans Azure
sur deux régions.
Les éditeurs de solutions SDWAN te vendent que grâce au SDWAN, tu
peux prendre un lien fibre 10 Meg. Ça marche bien avec le
management/direction mais souvent un peu moins avec la tech/sites
distant..
Déploiement en production depuis 2 ans, avec automatisation via
Jinja, en s’appuyant sur FortiManager et FortiToken centralisés.
On a la chance d’être en France/Europe, donc pas de souci de
latence/fibre, ce qui nous permet d’avoir deux HUBs sur de gros
DCs en région parisienne et d'avoir un AS.
Je ferai plus de breakout local si
Je suis seul à gérer le LAN + WAN, donc il fallait une solution
simple, stable, et automatisable.
Une fois que tu as bien compris la distinction entre l’underlay
(le lien) et l’overlay (le tunnel), tu fais ce que tu veux des
paquets.
2 Hub dans deux DC câblé en 10G histoire de pouvoir absorber un
pic si besoin.
Les points qui m'intéressent en retour :
Solutions testées et vos retours (Silve& For)
Silv : utilisé pendant 3 ans (en 2022) Licensing au Mbit/s
consommé : 10 / 20 / 50 / 100 etc. avec différentes tailles de
boîtiers.
→ Gros point négatif : devoir brider un lien fibre 100 Mbit/s à 50
pour respecter la licence... frustrant et un prix délirant pour
une pseudo techno de caching/optimisation... (je te laisse
expliquer au site distant
pourquoi ça télécharge moins vite qu' à la maison car ils ont
fibre 10Meg...)
Fortinet : en prod depuis 3 ans.
→ Globalement très satisfait, surtout côté automatisation. Tu
poses un 60F et il te sort un petit 1G. Bien vérifier les spec des
boitiers UTM/Boost...etc si tu en as besoin de plus.
Stabilité, perf réseau, gestion centralisée
RAS niveau stabilité. Quelque bug de tunnel IPSEC selon la version
de firmware mais ca patch pas trop mal. Et puis par habitude, on
oublie pas de patcher les boitiers forti car ca se fait trouer
tout les trimestres :)
Gestion centralisée efficace avec FortiManager. Tout est
automatisé, c’est industrialisé proprement.
Intégration WAN hybride (MPLS / Internet / Cloud)
Tu mets ce que tu veux en underlay : MPLS, DIA, 4G, etc. Ça monte
un tunnel IPSEC et tu le gères.
Mes opérateurs me livrent un lien basique avec du DHCP. Comme à la
maison. Quand le boitier récupère de l'internet (sans ip
public/nat/bidouille...etc), le boitier monte son tun IPSEC. fin
du sujet.
On a ajouté quelques routes en dur dans l'underlay SDWAN des
spokes pour que notre HUB (FortiToken) soit toujours accessible.
On annonce le routage du site distant de l'overlay via BGP sans
oublier d'ajouter un prefixlist.
Le SD-WAN va gérer le breakout ou faire remonter les flux IPsec
vers le DC.
Pas de mesh inter-sites, ça n’a aucun intérêt dans notre cas (1 ou
3 ms gagnée au mieux...). Je préfère donner un 100 Meg à deux site
plutôt qu'un 10 Meg entre Bordeaux et Toulon car gain de 1 ms en
latence...
Et de toute façon, la majorité des intercos opérateurs remontent à
Paris...
Fonctions de sécurité (firewall, segmentation...)
Utilisation de la stack Fortinet avec des firewall policies sans
filtrage sur les sites. Tu fais du vlan, de l'IPS et tout ce que
tu veux sur le firewall. La brique SDWAN est gérée après dans un
menu autre.
Tout le trafic remonte vers le DC où il est filtré.
Seul Teams est breakouté localement via la stratégie Internet
Services (nécessite la lience UTM basique).
Choix d’architecture
Hub & Spoke, sans full mesh (inutile dans notre contexte). Toute
remonte sur deux hub indépendants. Je casse mon premier Hub, le
deuxième reprend sans coupure des tunnel.
Après test de toutes les features SD-WAN marketing (boost,
agrégation, etc.), je suis revenu à du lien principal en FTTH 1G,
avec backup FTTO ou 4G.
→ Les vendeurs te vendent du rêve avec le load balancing, mais
testez par vous-mêmes du LB sur une fibre 5Meg et une fibre 1G…
Automatisation
Déploiement automatisé avec Jinja et les templates FortiManager.
Résultat : zéro friction, tout tourne bien, même en étant seul sur
le réseau pour le client.
Bref, je suis pas badgé forti mais c'était le moins cher et de
loin et ca just work.
Si besoin, petite démo possible :)
La prochaine mode, c'est de te vendre du routage/ipsec/agent sur
ton pc et te faire des sites basiques sans dépendance à un HUB.
C'est ton poste qui monte le tunnel via son agent via la stratégie
de routage.
Un bout de Jinja pour les techs :
-> Routing en primary/secondary. Sélection faite en dur selon le
cost du routage.
-> On l'indique primary/secondary dans l'alias de l'interface
réseaux -> Ca remonte dans la sup, la prod n'est plus perdu...
-> {{VARIABLE}}
image.png
config system interface
{% if 'static' in ISP1_Mode %}
edit {{ISP1_Interface}}
set vdom "root"
set mode static
set ip {{ISP1_IP}} {{ISP1_Mask}}
set allowaccess ping fgfm
set type physical
{% if ISP1_Cost < ISP2_Cost %}
set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}Mb
{% else %}
set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% endif %}
set role wan
set estimated-upstream-bandwidth {{ISP1_Upstream}}
set estimated-downstream-bandwidth {{ISP1_Downstream}}
next
{% else %}
edit {{ISP1_Interface}}
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set type physical
{% if ISP1_Cost < ISP2_Cost %}
set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% else %}
set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% endif %}
set role wan
set estimated-upstream-bandwidth {{ISP1_Upstream}}
set estimated-downstream-bandwidth {{ISP1_Downstream}}
next
{% endif %}
Baptiste,
Le mer. 16 juil. 2025 à 16:15, Thierry DELABUS
<[email protected]> a écrit :
Salut à tous,
Je suis en train d'étudier sérieusement les solutions SD-WAN
du marché pour
un projet de déploiement sur 400 à 500 sites, avec des liens
assez costauds
(entre 1 et 10 Gbps par site).
Avant de m'engager trop loin avec un éditeur/intégrateur, je
voulais avoir
vos retours d’expérience si vous avez déjà bossé sur des
projets de cette
taille (ou proches).
Je suis preneur de tout : ce qui a bien marché, ce qui vous a
déçu, les
pièges à éviter, les trucs qui ont fait gagner du temps ou au
contraire
fait galérer en prod ou au déploiement.
Quelques points qui m'intéressent en particulier :
-
Les solutions que vous avez testées ou déployées, et ce que
vous en
pensez vraiment
-
Ce que ça donne en termes de stabilité, perf réseau, gestion
centralisée, etc.
-
Intégration avec des WAN hybrides (MPLS/Internet), cloud
gateways, etc.
-
Si vous avez utilisé les fonctions de sécurité embarquées
(firewall,
segmentation...), c’est fiable ou mieux vaut les désactiver ?
-
Vos choix d’archi (full mesh, hub & spoke, autre...)
-
Et globalement tout retour terrain ou conseil que vous
auriez pour
éviter de se rater
L’idée c’est de ne pas partir tête baissée sur une solution "à
la mode"
sans avoir bien mesuré les implications techniques et
opérationnelles.
Merci d’avance à ceux qui prendront le temps de partager leur
expérience !
À+
Thierry D.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
