← Retour au blog ·

Comment j’ai mis en place un VPN IPsec site-à-site FortiGate sur deux opérateurs (et ce que j’ai appris)

Publié le 05/01/2026 · Mis à jour le 05/01/2026

Quand on m’a confié le projet de connecter deux sites distants avec FortiGate, je pensais que ce serait simple : créer un VPN IPsec, tester, et hop, le tour était joué. Mais ajouter la redondance multi-opérateur a tout changé. Entre surprises techniques et petites galères, voici ce que j’ai appris.

1. Comprendre les contraintes du multi-opérateur

Le but était clair : chaque site devait rester connecté même si un opérateur tombait. Simple sur le papier, compliqué dans la pratique.

  • Deux IP publiques différentes sur chaque site
  • Nécessité de configurer deux tunnels IPsec distincts
  • Choix entre SD-WAN ou failover via routes statiques

Je me suis vite rendu compte que penser “tunnel unique” ne suffisait pas : il fallait gérer la redondance et la performance dès le départ.

2. Les phases 1 et 2, mais pour deux opérateurs

Au début, j’ai essayé de copier-coller mon tunnel principal pour le second opérateur… grosse erreur. Chaque Phase 1 devait avoir :

  • Son interface WAN dédiée
  • Son IP distante spécifique
  • Son propre pré-shared key et configuration de chiffrement

Idem pour la Phase 2 : chaque tunnel avait ses sous-réseaux locaux et distants, son chiffrement et PFS. Cela m’a appris que la clarté dans le naming des tunnels est essentielle. Mon tunnel s’appelait initialement “VPN”, puis j’ai dû le renommer “VPN_OP1” et “VPN_OP2” pour éviter la confusion.

3. Politiques de sécurité et NAT

Au début, j’avais trop ouvert le trafic avec des politiques “any → any”, ce qui a généré des alertes de sécurité. Ensuite, j’ai appris :

  • Créer une policy spécifique pour chaque tunnel
  • Définir clairement les sources et destinations
  • Activer ou désactiver le NAT selon le type de trafic

Résultat : moins d’alertes, plus de visibilité, et surtout un réseau vraiment sécurisé.

4. Le choix du failover : SD-WAN ou routes statiques ?

J’ai testé les deux :

  • SD-WAN : simple, bascule automatique selon la latence ou la perte de paquets. Mais un peu plus complexe à surveiller au début.
  • Routes statiques avec monitoring : plus classique, mais il faut bien configurer le suivi de l’état du tunnel pour éviter les coupures silencieuses.

Au final, SD-WAN m’a semblé plus résilient pour un environnement multi-opérateur.

5. Tester, tester et encore tester

La vraie leçon : ne jamais supposer que “ça va marcher”.

  • J’ai débranché un opérateur pour vérifier que l’autre prenait le relais
  • J’ai pingé les sous-réseaux distants, vérifié les logs IPsec et ajusté la MTU pour éviter les problèmes de fragmentation
  • J’ai surveillé la stabilité des tunnels sur plusieurs jours

Ces tests m’ont permis d’anticiper les problèmes avant qu’ils n’affectent les utilisateurs.

Conclusion

Mettre en place un VPN IPsec site-à-site multi-opérateur sur FortiGate n’est pas juste une question de config. C’est une combinaison de préparation, précision dans les tunnels, politique de sécurité claire, et tests rigoureux.

Au final, voir les tunnels basculer automatiquement sans interrompre le trafic a été extrêmement satisfaisant – et m’a rappelé que la patience et l’attention aux détails paient toujours dans le réseau.

Partager :
Voir tous les articles