# 📚 Formation SD-WAN Fortinet – Jour 1 + Jour 2 🛠️ TP 1 – Préparer l’environnement GNS3 avec FortiGate ## 🎯 Objectif : Créer une première topologie réseau avec FortiGate dans GNS3 et accéder à son interface graphique. --- ## 🧰 Matériel requis : - GNS3 (installé et configuré) - FortiGate `.qcow2` (image KVM) - Webterm `.gns3a` - GNS3 VM (Network 1 carte **Host-Only** et 1 carte **NAT**) --- ## 🗺️ Étapes à suivre : 1. Lancer GNS3 et créer un nouveau projet : `Nom : au choix` 2. Importer l’image FortiGate : `File > Import Appliance > fortigate.qcow2` 3. Importer l’image FortiGate : `File > Import Appliance > webterm.gns3a` 4. Attribuer une interfaces : - `Port1` (Management) 5. Relier `eth0` du webterm à un switch et le `Port1` du Fortigate à ce switch et au Cloud l’accès à l'interface web.  Configurer l'interface du webterm (on peut aussi la laisser en DHCP) :  6. Démarrer la VM FortiGate et attendre le boot complet. 7. Dans la CLI (console), entrer la configuration suivante (Si le Fortigate n'a pas eu d'IP via DHCP) : ```bash config system interface edit port1 set mode static set ip 192.168.100.254/24 set allowaccess ping http https ssh next end ``` ### 🌐 Accès à l'interface FortiGate via navigateur Depuis le navigateur du webterm, ouvre l’adresse suivante : 👉 **https://IPFortigate**  Identifiants par défaut : - **Nom** : `admin` - **Mot de passe** : *(laisser vide)* - **Changer le Mot de passe** --- ✅ **Résultat attendu** : - Tu accèdes à l’interface web (GUI) de FortiGate. - L’équipement est prêt à être utilisé pour les étapes suivantes : routage, VPN, configuration SD-WAN. --- # 🛠️ TP 2 – Ajouter Netem pour simuler la qualité des liens ## 🎯 Objectif Simuler la latence, les pertes ou la bande passante des liens WAN dans **GNS3** à l’aide de **Netem**. --- ## 🧰 Matériel requis - Appliance **Netem** ajoutée dans GNS3 (`.gns3a` + image disque) - 1 FortiGate relié à une passerelle ou un Cloud (internet) - Console GNS3 pour configurer Netem --- ## 🗺️ Étapes à suivre 1. **importer l’appliance Netem** dans GNS3 depuis : 🔗 distribué dans le canal Teams 2. **Placer** le nœud **Netem** dans ton projet GNS3. 3. **Relier** le FortiGate (`port1` – WAN1) à une passerelle ou un Cloud via **Netem** : **ATTENTION :** Pour le Cloud bien choisir en cliquant dessus la meme carte servant de NAT pour la VM GNS3.  4. **Démarrer** Netem. Son interface de configuration s’affiche automatiquement. 5. Dans le menu **Netem** : - Choisir **eth0 -> eth1** - Régler **Delay** sur `120ms` - Régler **Loss** sur `3%` - *(Optionnel)* Activer **Symmetric** pour appliquer les mêmes réglages dans les deux sens - **Sauvegarder** avec **Save** et revenir au menu principal  6. Depuis le **FortiGate**, exécuter un test de connectivité : ```bash execute ping 8.8.8.8 ``` ## 🔍 Observation Observer la latence et la stabilité du lien dans les résultats du ping. --- ✅ **Résultat attendu** : - Netem simule un lien WAN dégradé (latence + perte de paquets) - Le FortiGate continue à transmettre le trafic via ce lien, ce qui permettra plus tard d’observer les réactions dynamiques du SD-WAN. --- ## 🔐 Module 1 – FortiGate Security ## 🎯 Objectifs pédagogiques Ce module a pour but de familiariser l’étudiant avec les fonctionnalités de sécurité de base sur FortiGate. Il apprendra à créer des règles de pare-feu, activer les inspections de contenu (AV, Web Filter, IPS), et analyser les événements de sécurité via FortiAnalyzer. --- ## ✍️ Introduction Le FortiGate est bien plus qu’un simple pare-feu. Il agit comme une passerelle de sécurité capable d’appliquer des politiques granulaires sur les flux réseau, de détecter des applications, de bloquer des sites malveillants, d’inspecter les fichiers transitant sur le réseau, et de prévenir les intrusions. Dans ce module, nous allons apprendre à définir des politiques de sécurité adaptées à un environnement LAN-to-WAN classique, tout en activant les fonctions de protection UTM (Unified Threat Management). --- # 🛠️ TP 1 – Créer une politique de sécurité LAN > WAN avec inspection UTM ## 🎯 Objectif : Permettre aux machines du réseau LAN d’accéder à Internet avec inspection de sécurité active. --- ## 🧰 Matériel requis : - 1 FortiGate avec : - `port1` connecté au LAN (ex: 192.168.10.0/24) - `port2` connecté à Internet ou un simulateur WAN - Une VM client dans le LAN (optionnel) - Connexion internet (réelle ou simulée via ping 8.8.8.8) --- ## 🗺️ Étapes à suivre : 1. Configurer l'interface Port1 pour le LAN ```bash config system interface edit port1 set mode static set ip 192.168.10.1/24 set allowaccess ping http https ssh next end ``` 2. Créer un objet d’adresse LAN : ```bash config firewall address edit LAN_SUBNET set subnet 192.168.10.0 255.255.255.0 next end ``` 3. Configurer l'interface WAN (Port 2 en DHCP) ```bash config system interface edit port2 set mode dhcp set allowaccess ping next end ``` 4. Configurer Webterm dans le LAN (si pas en DHCP mettre DNS Goolge dans /etc/resolv.conf)  Relier le tout :  ### 🔧 Étape 2 – Créer une règle de sécurité avec inspection UTM Via l'interface Web :   **ATTENTION :** ajouter impérativement cette ligne pour ne pas avoir de soucis de vérification de certificats : ```bash config firewall policy edit 1 set ssl-ssh-profile no-inspection next end ``` Via CLI : ```bash config firewall policy edit 1 set name "LAN_to_WAN" set srcintf "port1" set dstintf "port2" set action accept set srcaddr "LAN_SUBNET" set dstaddr "all" set schedule "always" set service "ALL" set utm-status enable set ssl-ssh-profile "no-inspection" set av-profile "default" set webfilter-profile "default" set ips-sensor "default" set nat enable next end ``` ## 🔧 Étape 3 – Activer le NAT ```bash config firewall policy edit 1 set nat enable end ``` ## 🌐 Étape 4 – Tester l’accès Internet depuis le client Sur le poste client connecté au LAN, exécutez les commandes suivantes pour vérifier l’accès Internet : ```bash ping 8.8.8.8 ``` --- ✅ **Résultat attendu** : - Le client obtient une réponse depuis Internet. - La sortie ping affiche des réponses ICMP (latence en ms). - Si un Web Filter ou d’autres fonctions UTM sont activées, celles-ci filtrent le trafic selon la configuration ---