FortiAP Bridge et mode tunnel

Un point d'accès est une chose utile. Même sur de grandes distances, il nous permet de rester en contact avec le réseau, mais c'est le réglage qui compte. Le mode bridge et le mode tunnel ont l'air sympa, mais quelle est leur différence et quel est l'effet de chaque mode ? Découvrez tout ce qu'il faut savoir sur le réglage de vos FortiAP dans cet article.

Qu'est-ce que le mode Bridge/Tunnel ?

Lorsque vous installez un point d'accès Fortinet, vous avez le choix entre deux modes, le mode tunnel ou le mode pont. Par défaut, le mode tunnel est sélectionné. En mode tunnel, les réseaux sans fil ou câblés sont gérés dans un réseau séparé. Pour pouvoir utiliser tous les ports, le mode Bridge doit être activé, ce qui permet au FortiAP de partager le même sous-réseau avec les réseaux sans fil et câblés. C'est la connexion du système à l'aide d'un pont qui a donné son nom au mode Bridge.

Quels sont les avantages et les inconvénients du mode tunnel et du mode pont ?

Comme nous l'avons déjà mentionné, le mode tunnel ne permet pas de disposer de tous les canaux, en raison de sa répartition stricte entre les connexions LAN et WLAN. Cependant, il offre également une protection plus forte contre les attaquants. Selon le système qu'ils attaquent, l'une des lignes est toujours disponible pour le trafic sécurisé. En mode bridge, cette protection est désactivée par la connexion des passerelles, mais il est possible de gérer davantage de points d'accès en plus de l'utilisation de tous les canaux, ce qui permet une utilisation plus étendue.

Comment configurer mon nouveau FortiAP en mode Bridge ?

Pour cela, allez dans votre FortiGate dans Réseaux (Network), puis dans Interfaces (Interfaces), où vous développez un accès LAN. Paramétrez l'accès manuellement et indiquez l'adresse IP et le masque de réseau. Sous l'option Accès administrateur (Administrative Access), cochez la case "CAPWAP". Avec un PING, vous pouvez tester si votre système peut déjà être routé. Activez le serveur DHCP et, sous Périphériques en réseau (Networked Devices), la détection des périphériques (Device Detection) et le balayage actif (Active Scanning). Connectez ensuite votre FortiGate au point d'accès via le LAN. Vous trouverez le FortiAP listé dans WiFi & Switch Controller, sous le point ForitAPs gérés (Managed FortiAP). Comme on prend en général un nouveau point d'accès pour cette procédure, la colonne vous indique que l'appareil n'est pas encore autorisé. Les nouveaux FortiAP sont ajoutés par défaut dans cette liste, mais ne sont pas autorisés, ce qui peut être corrigé par un simple clic droit. Pour ce faire, sélectionnez le point d'accès correspondant et confirmez l'autorisation dans le champ qui apparaît. Au début, le point d'accès disparaîtra de la liste, mais si vous rechargez la page après quelques minutes, le FortiAP apparaîtra à nouveau dans la liste avec le réglage souhaité. Ensuite, vous devez vérifier si le pare-feu du système de votre point d'accès est à jour. Si votre système indique qu'une nouvelle version est disponible, il est préférable de la télécharger directement chez FortiGuard.

Passons maintenant à la configuration proprement dite du mode Bridge. Pour cela, vous devez créer un nouveau SSID dans WiFi &Switch Controller sous SSID. Réglez le mode de trafic (Traffic Mode) sur le mode AP Bridge, vous ouvrez ainsi un mode Bridge local dans ce point d'accès. Nommez le FortiAP et réglez le mode de sécurité sur le paramètre souhaité. Veillez à utiliser une clé sûre, composée d'un numéro, de majuscules et de caractères spéciaux.

Ensuite, il ne vous reste plus qu'à préparer votre point d'accès pour l'accès sans fil à Internet. Pour ce faire, sélectionnez Stratégies et objets (Policy & Objects), sous Stratégies IPv4 (IPv4 Policy), vous devez créer une nouvelle stratégie. Pour l'interface entrante (Incoming Interface), indiquez le SSID de votre point d'accès nouvellement créé et pour l'interface sortante (Outgoing Interface), indiquez l'interface de votre FortiGate vers le câble réseau. Enfin, confirmez que la reconnaissance de nom (NAT) doit être activée.