Salut à tous,
 
Un de mes clients (PME de 30 personnes) a actuellement une liaison SDSL 8 Mb (SFR). Dans l'absolu elle ne fonctionne pas trop mal, mais il est arrivé quelque fois qu'elle coupe plus ou moins longtemps, et avec la dépendance que les entreprises ont aujourd'hui vis à vis de leur connexion Internet, inutile de dire que c'est la cata à chaque fois.
 
Nous avons donc pris la décision de prendre une connexion Internet de secours, à base d'un ADSL2+ (Orange Business). Pour le moment, en cas de coupure de SFR, la bascule est faite manuellement, ce qui fonctionne bien sûr très bien, mais je cherche à éviter toute manipulation manuelle pour cela, n'étant pas sur site tous les jours, et les users n'étant pas tout à fait aptes à cela   .
 
Coup de chance, le Firewall existant gère le double WAN, il s'agit d'un Fortinet Fortigate 60B. Je configure les deux interfaces (un sur le routeur SDSL SFR, et une avec un modem ADSL2+ en PPOE), pas de soucis pour ça. Et là j'arrive dans le menu "ECMP Load Balancing Method" du Fortinet, avec 3 choix possibles :
 
1) Source IP Based : apparemment le Fortinet réparti les connexions sortantes sur les deux WAN, à chaque fois qu'un nouvel ordi local initie une connexion vers l'extérieur, avec donc 50/50 sur les 2 WAN. Pas intéressant dans mon cas car je veux que tout sorte par le WAN 1, sauf coupure totale du WAN 2.
 
2) Weighted Based : le trafic passe par tel ou tel WAN en fonction des règles définies et du "coûts" que l'on indique pour chaque route. Cette option ne semble pas adaptée non plus dans mon cas, je ne me vois pas faire des quantités des règles et indiquer des "coûts" sur les liaisons.    
 
3) Spill-over : le Fortinet réparti le trafic suivant l'utilisation des WAN. Pareil, je ne vois pas trop comment m'en sortir avec cette option, je ne veux pas que des connexions sortantes passent tout à coup par le WAN 2 parce que qq'un télécharge un fichier sur la WAN 1.
 
Bref soit qqch m'échappe, soit je ne suis pas au bon endroit. Comment dire "tout passe par le WAN 1 sauf s'il est DOWN auquel cas on passe par le WAN 2 tant qu'il est DOWN" ?    
 
 
Une fois ce problème résolu, j'ai déjà pas mal d'autres questions qui se bousculent : dans mon serveur DNS, j'ai indiqué comme redirecteurs les serveurs DNS de SFR. Mais si pendant une coupure SFR on passe par la liaison orange pour accéder à un nouveau site, mon serveur DNS local va envoyer la demande aux DNS SFR, qui ne répondront probablement pas à une demande provenant de Orange ? Auquel cas plus de nouvelles résolutions ? Il convient donc dans ce cas d'utiliser des DNS "ouverts", type OpenDNS ou les DNS Google ?
 
Deuxième point, la détection de WAN tombé, "Dead Gateway Detection". Par défaut j'avais mis le "saut suivant" comme adresse pour le PING qui vérifie que la connexion est UP. Problème, la passerelle peut très bien répondre sans que la liaison derrière ensuite fonctionne bien, c'est déjà arrivé plusieurs fois avec SFR, et ça ne me permet donc pas de détecter une coupure. La solution est donc de pinguer un serveur distant type google ou autre ? Ou c'est une mauvaise idée ?
 
De même par défaut il faut 5 coupures avec 5 secondes d'intervalle à chaque fois avant de décréter qu'un liaison est down, sauf que lors de ma dernière perturbation de service, dû à un engorgement du réseau opérateur, j'avais 1 ping sur 2 qui passait, ce qui empêchait de surfer, mais jamais le Firewall n'aurait pu détecter que la connexion était vraiment DOWN avec ce moyen... Je suppose qu'il n'y a pas de solution miracle pour ce cas particulier ?
 
Et enfin dernier point auquel je pense pour le moment dans ma réflexion profonde sur le double WAN : certains personnes de l'extérieur se connectent chez nous à un serveur FTP hébergé en interne, ou encore à un VPN. Comment se libérer de la contrainte de l'IP publique qui change si on passe d'une liaison à l'autre ? Un Dyn-dns se met-il à jour assez rapidement pour parer à ce type de bascule de connexion ? Ou y'a-t-il d'autres méthodes ?
 
Merci d'avoir lu jusqu'ici    
 
 

Bon j'ai lu que la 1ere motié, je garde la suite pour plus tard.
Effectivement tu n'es pas au bon endroit, tu es en load balacing, c'est de l'équilibrage et ce n'est pas ce que tu veux.
Il faut que tu ailles dans le failover, si un lien tombe l'autre prend la suite.

Et pourquoi tu ne veux pas utiliser les brins simultanement ?  
 
c'est dommage d'avoir une ligne ADSL qui ne servira qu'une fois tous les "36 du mois" alors que tu peux justement augmenter ta bande passante et définir des regles te permettant d'apporter un confort d'utilisation suplementaire  aux utilisateurs.

Disons que le problème d'utiliser deux liens très différents, c'est que si je réparti les connexions par liens par exemple, je peux me trouver avec un utilisateur qui va vouloir se connecter à un FTP pour uploader un fichier, et qui va se retrouver sur la connexion ADSL, et qui donc uploader son fichier à 1 Mb au lieu des 8 Mb de l'autre liaison. Encore qu'on peut peut-être s'en sortir avec des règles en identifiant clairement tous les protocoles qui ont besoin d'un upload maximum ? Typiquement FTP et SMTP par exemple ?
 
D'après ce que je lis sur le net, pour la failover il suffit d'ajouter de configurer les deux routes statiques, et de mettre une "distance" plus forte pour la 2e afin qu'elle ne soit utilisée par défaut qu'en cas de coupure de la première.
 
Mais si j'utilise le load balancing pour forcer mon FTP sur le WAN 1 (SDSL), et que le WAN 1 tombe, là par contre il ne passera pas sur le WAN 2 j'imagine ?

Le load balancing ne fera pas le failover.
Si tu n'as pas de probleme de saturation de bande passante, tu fais le failover.
Sinon tu peux faire une route pour rediriger un des protocoles sur le 2eme lien. Et tu laisse le failover activé.
Mais tu n'as pas besoin de load balancing pour cette configuration.

C'est pas que je n'ai pas de problème, mais effectivement utiliser l'ADSL me plairait bien pour augmenter la vitesse de DL considérablement, mais je ne vois pas trop comment m'y prendre sans risque de me retrouver avec des users qui doivent uploader de gros fichiers et qui se retrouvent sur la liaison ADSL, mais il y a peut-être des solutions ?

Suivant le matériel que tu as tu peux par exemple spécifier que les flux FTP doivent passer par defaut  sur la SDSL, idem pour les flux SMTP et HTTPS (qui peuvent etre problématiques lorsque l'on fait du multi wan).

Il te faut du matériel plus haut de gamme.
Avec un U70S en V9.1 (matériel que je connais), tu peux aller assez loin dans la config.
Tu peux par exemple forcé le passage par l'adsl par défaut sur http/https.
Et une règle sur http/https par la sdsl pour une destination spécifique.