Configurer un pare-feu Fortinet

Ce guide explique comment configurer un pare-feu Fortinet afin de permettre à Reemo d’utiliser une connexion optimale (direct/udp) et d’éviter tout passage inutile par des relais.
Une configuration correcte réduit significativement la latence et améliore la qualité audio/vidéo des sessions.
Sans cette configuration, Reemo peut toujours fonctionner, mais les connexions passeront par des relais (relay/tcp, relay/udp, websocket) avec des performances réduites.
Avant de commencer, assurez-vous que votre pare-feu Fortinet (FortiGate NGFW, FortiOS 6.x ou 7.x) est correctement installé et accessible via son interface d’administration web.
Connectez-vous ensuite à l’interface avec vos identifiants administrateur.

Note

Cette configuration est donnée à titre d’exemple.
Les étapes peuvent varier légèrement en fonction de la version de votre Fortinet.
Les noms proposés pour les objets (Reemo_TURN1, Reemo_Protocol_in, etc.) sont indicatifs : vous pouvez utiliser vos propres conventions.

Étape 1 : Ajouter les serveurs Reemo

Dans le menu Firewall Objects > Address > Addresses, ajoutez les adresses suivantes :

  • Reemo_TURN1:

    • Type: FQDN

    • FQDN: turn1.reemo.io

Ajout de l'adresse TURN1

Ajout de l’adresse TURN1.

  • Reemo_TURN2:

    • Type: FQDN

    • FQDN: turn2.reemo.io

Ajout de l'adresse TURN2

Ajout de l’adresse TURN2.

  • Reemo_Signal:

    • Type: FQDN

    • FQDN: signal.reemo.io

Ajout de l'adresse SIGNAL

Ajout de l’adresse SIGNAL.

Étape 2 : Ajouter les services nécessaires

Dans le menu Firewall Objects > Services, ajoutez :

  • Reemo_UDP443:

    • Service Type: Firewall

    • Protocol: UDP

    • Destination Port: 443

Ajout du service UDP443

Ajout du service UDP443.

  • Reemo_Protocol_in:

    • Service Type: Firewall

    • Protocol: UDP

    • Destination Port: 58200–58400

Ajout du service Reemo Protocol In

Ajout du service Reemo Protocol In.

  • Reemo_Protocol_out:

    • Service Type: Firewall

    • Protocol: UDP

    • Destination Port: 1024–65535

    • Source Port: 58200–58400

Ajout du service Reemo Protocol Out

Ajout du service Reemo Protocol Out.

Note

La plage large (1024–65535) est requise par WebRTC pour établir des connexions pair-à-pair. Le trafic reste chiffré de bout en bout et restreint aux communications Reemo.

Étape 3 : Créer les règles de pare-feu

Note

Sur les versions récentes de Fortinet, activez l’option Preserve Source Port pour une compatibilité optimale.

Option Preserve Source Port

Option Preserve Source Port.

Dans le menu Policy, ajoutez ces règles de pare-feu :

Règles Globales

  • Reemo TURN:

    • Source Address: LAN

    • Destination Address: Reemo_TURN1, Reemo_TURN2

    • Service: Reemo_UDP443, Reemo_Protocol_in

    • Action: ACCEPT

Ajout de la règle de pare-feu Reemo TURN

Ajout de la règle de pare-feu Reemo TURN.

  • Reemo SIGNAL:

    • Source Address: LAN

    • Destination Address: Reemo_Signal

    • Service: HTTPS

    • Action: ACCEPT

Ajout de la règle de pare-feu Reemo SIGNAL

Ajout de la règle de pare-feu Reemo SIGNAL.

Règles côté ordinateur distant (“Reemo Side”)

Ces règles concernent le trafic sortant généré par l’ordinateur distant équipé de l’Agent Reemo. Elles permettent à la machine de communiquer correctement avec le navigateur client via les ports UDP définis.

Firewall Reemo Side

Firewall Reemo Side.

  • Reemo Protocol Out:

    • Source Address: LAN (ordinateur distant)

    • Destination Address: all

    • Service: Reemo_Protocol_out

    • Action: ACCEPT

Ajout de la règle de pare-feu Reemo Protocol Out

Ajout de la règle côté ordinateur distant (Reemo Side).

Aperçu des règles côté Reemo Side

Aperçu des règles de pare-feu côté Reemo Side

Exemple de configuration côté ordinateur distant.

Règles côté navigateur (“Browser Side”)

Ces règles concernent le trafic entrant côté navigateur (poste de l’utilisateur qui se connecte). Elles garantissent que les flux UDP envoyés par l’Agent Reemo atteignent bien le navigateur via la plage de ports définie.

Firewall Browser Side

Firewall Browser Side.

  • Reemo Protocol In:

    • Source Address: LAN

    • Destination Address: all

    • Service: Reemo_Protocol_in

    • Action: ACCEPT

Ajout de la règle de pare-feu Reemo Protocol In

Ajout de la règle côté navigateur (Browser Side).

Aperçu des règles côté Browser Side

Aperçu des règles de pare-feu côté Browser Side

Exemple de configuration côté navigateur.

Résumé : Ports et adresses à ouvrir

Pour référence rapide, voici un tableau récapitulatif des flux nécessaires au bon fonctionnement de Reemo en direct/udp :

Usage

Protocol

Ports

Destination

Signal server

TCP/UDP

443

signal.reemo.io

TURN servers

UDP

443

turn1.reemo.io, turn2.reemo.io

Reemo Protocol In

UDP

58200–58400

Navigateur (poste client)

Reemo Protocol Out

UDP

1024–65535 (src 58200–58400)

Ordinateur distant (Agent Reemo)