Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2105 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Fiabilisation d'un accès VPN

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Fiabilisation d'un accès VPN

n°58209
__YS__
Ne jamais baisser les bras
Posté le 12-09-2009 à 18:34:15  profilanswer
 

Bonjour,
 
J'ai une problématique pour laquelle je sèche complètement, et mes 3h de recherches sur le forum n'ont rien donné...
 
Je souhaiterais savoir s'il est possible de raccorder la DMZ de mon entreprise via 2 accès internet (que je préfèrerais simultanément mais ça n'est pas la priorité) ET en rendant cette DMZ accessible depuis l'internet via ces deux accès, sachant que l'adresse IP publique du serveur d'authentification est précisément fournie par un des deux opérateurs (du coup que se passe-t-il quand son accès tombe ?)
 
J'ai fait un schéma pour illustrer grossièrement l'architecture :
http://sakadachi.free.fr/priv/img/secours%20acces.png
 
Question subsidiaire qui me paraît intuitivement complètement absurde mais bon on ne sait jamais : peut-on faire l'acquisition d'une adresse IP publique ? les opérateurs peuvent-ils céder une adresse ou un subnet d'adresses ? (ce qui m'arrangerait mais j'en doute, mon entreprise n'est pas un opérateur)
 
Merci pour toutes vos réactions.
 
Y.


---------------
L'urgent est fait, l'impossible est en cours. Pour les miracles, prévoir un délai ...
mood
Publicité
Posté le 12-09-2009 à 18:34:15  profilanswer
 

n°58217
Je@nb
Modérateur
Kindly give dime
Posté le 12-09-2009 à 19:32:28  profilanswer
 

Tu montes un AS, tu demandes des IP et tu les annonces à tes 2 FAI mais c'est bcp plus compliqué que ça.

n°58218
dreamer18
CDLM
Posté le 12-09-2009 à 19:51:15  profilanswer
 

oui ça c'est la méthode "propre" mais fort chère :D sinon y a des produits de load balancing de lien internet (radware, F5...) mais j'ai jamais joué avec.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°58220
__YS__
Ne jamais baisser les bras
Posté le 12-09-2009 à 21:29:59  profilanswer
 

Je@nb a écrit :

Tu montes un AS, tu demandes des IP et tu les annonces à tes 2 FAI mais c'est bcp plus compliqué que ça.


 
Bonsoir,
 
Merci pour ta réponse.
qu'entends tu par "tu demandes des IP" ? des IP publiques ?  
Quelle est la procédure ? (du moins, où est-ce que je peux trouver ca ?)
 
Y.

n°58221
reckoner
Posté le 12-09-2009 à 22:13:38  profilanswer
 

Quid du round robin DNS ? Bon ok c'est dégueu mais là tu aurais de la répartition de charge  pour pas un kopek... A voir non ?

n°58222
__YS__
Ne jamais baisser les bras
Posté le 12-09-2009 à 22:28:25  profilanswer
 

dreamer18 a écrit :

oui ça c'est la méthode "propre" mais fort chère :D sinon y a des produits de load balancing de lien internet (radware, F5...) mais j'ai jamais joué avec.


 
Bonsoir,
 
J'ai de mémoires, deux F5, mais ce n'est pas moi qui les gère, je vais voir en quelle mesure on peut en utiliser un pour répondre à mon souci, en revanche, je ne vois pas comment je vais contourner le problème du DNS qui pointe vers l'adresse IP publique du concentrateur VPN (CISCO ASA) dans le cas où l'opérateur rouge tombe.  :??:  
 
En tout cas merci pour l'information sur le F5, je n'y avais pas pensé, je vais me renseigner de ce pas.
Si tu as encore des idées lumineuses de ce genre je suis preneur  :)  
 
Y.

n°58304
meulator
Si je t'attrape...
Posté le 15-09-2009 à 16:31:53  profilanswer
 

2 lien internet par site, donc 2 ip publiques, de chaque coté un firewall qui gère 2 WAN... ça doit le faire non? Sur ton Vpn tu configure 2 ip de chaque coté, et roule... il teste la 1ere ip, si ça passe pas il essaye la 2ème..

n°58435
__YS__
Ne jamais baisser les bras
Posté le 20-09-2009 à 23:28:43  profilanswer
 

Non, le client VPN ne peut pas avoir une telle configuration ; c'était en effet ma première réflexion, mais la configuration du client dont on dispose ne présente pas beaucoup de souplesses... :(

 

Par ailleurs, on est rattaché à une PKI donc dans la configuration la nom de domaine est entré en dur donc il faudrait avoir deux configurations dans chaque client... avec les deux sous domaines qui pointeraient chacun vers l'adresse publique de chacun des deux opérateurs .... :-/

 

Qu'il s'agisse de l'adresse IP ou du domaine, le problème est le même, il faut trouver un moyen de pouvoir basculer (en cas de défaillance de l'un) ou utiliser (si on peut trouver une façon d'avoir les deux opérateurs en même temps) l'autre opérateur en cas de défaillance du rouge. Il est clair que pouvoir utiliser les deux opérateurs en même temps est la meilleure configuration (cf paragraphe suivant).

 

Nouveaux éléments :

 

On avance ....
Il va y avoir un deuxième concentrateur VPN (pour augmenter la capacité en terme de nombre de connexions simultanées). L'avantage, c'est que l'on peut configurer plusieurs adresses sur un même équipement, c'est à dire que l'on peut associer une adresse principale et une adresse de backup dans un autre plan d'adressage, ce qui permet de les atteindre aussi bien par un opérateur que par l'autre.

 

Ce qui résout une infime partie du problème et le déplace : il suffirait de pouvoir fiabiliser la résolution de nom. Je m'explique.
1. on configure a coup de round robin DNS 2 adresses IP (la rouge et la jaune)
2. on sauve donc 50 % de ma population : si un opérateur tombe, la population qui a récupéré l'adresse correspondant à l'opérateur qui est tombé, va perdre sa connexion,
3. les clients déco vont se connecter, et 50% d'entre eux vont tomber sur le bon, etc ...
4. le problème, c'est qu'il y a toujours 50 % de la population qui réalise une résolution de nom qui va récupérer l'adresse de l'opérateur défaillant...

 

=> ma problématique est donc maintenant de mettre à jour dynamiquement le DNS sachant que les clients se trouveront forcément en France, je ne me souviens plus trop mais mes vagues souvenirs de cours sur le DNS me suggèrent qu'il y a des notions de plaques pour les serveurs DNS non ?

 

Je ne m'y connais pas du tout en DNS, et ce que je suppose juste au dessus à propos de round robin DNS est pure supposition en fonction de ce que j'ai compris de par mes quelques lectures sur le net. Si les personnes qui ont une expérience d'utilisation de round robin DNS pouvaient me confirmer les points 1 à 4 ci-dessus, ça serait très sympa de leur part.

 

Si tout ce que j'ai supposé est correct, il ne me reste plus qu'à trouver une façon de mettre à jour dynamiquement le DNS (je n'ai pas encore eu le temps de creuser...) mais est-ce que le fait d'installer un serveur DNS dans ma DMZ pourrait m'être d'une aide quelconque ?
Edit : est-ce que round robin DNS pourrait par exemple mettre à jour le DNS en testant que les deux opérateurs sont bien joignables via un script ?

 

Merci beaucoup pour vos remarques, désolé si je ne réponds pas toujours en live mais c'est le rush et je n'ai malheureusement pas que cette problématique à gérer, m'enfin ça, ça me regarde :)
Enfin, ca parait évident, mais je publierai la solution que l'on aura adoptée si ca peut aider d'autres personnes... :)


Message édité par __YS__ le 20-09-2009 à 23:38:27

---------------
L'urgent est fait, l'impossible est en cours. Pour les miracles, prévoir un délai ...
n°58437
reckoner
Posté le 21-09-2009 à 01:54:26  profilanswer
 

Oh non, le round robin DNS c'est tout pourri : tu mets 2 A pour un même nom, ça permet juste de pseudo load balancer quand tout marche bien. Si un concentrateur/lien tombe, t'es dans le caca :/
 
Modifier le dns à la volée why not, mais ce que tu es en train d'essayer de reproduire c'est... du GSLB (GTM chez F5). Sauf que là tu l'utiliserais pour load balancer sur le même site, mais deux liens différents.  
 
T'aurais pas plus vite fait de t'acheter une licence ? J'avoue qu'ils se gavent bien chez F5 mais ils font de bons produits donc on pardonne :D
 
Sinon si tu veux vraiment faire un truc à la mano je verrais ça comme ça :
 
- round robin DNS + des A avec un TTL faible
- un script qui fait du monitoring sur tes liens et IP, si une est down => on met à jour la zone et on fait un IXFR sur les slaves (= mise à jour des zones). Encore mieux, si tu as bind il y a nsupdate qui peut faire le job assez/très facilement ;)
 
Les clients foireront leurs requêtes pendant un petit bout de temps mais ça remontera. Si tes DNS sont hébergés chez toi, pense bien à installer un slave atteignable par l'autre lien ;)
 
Problème : tu vas multiplier ton traffic DNS sur ce nom d'hôte, j'espère qu'il est propre au VPN :D


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Fiabilisation d'un accès VPN

 

Sujets relatifs
Annonces EIGRP dans un VPNDemande d'aide config VPN PIX 506E Cisco PIX Device Manager 3.0
Juniper SSG520 : multiple VPN sur 1 gatewayprivilèges d'administration et accès refusé
Interdire l'accès à l'exterieur des adresses SMTP de grp de messagerieavoir acces à intranet depuis l'étranger?
Routeur VPN sans filVPN en maille automatique
GPO - Limiter l'accès à une dossier [résolu]Accès VPN GRE IPSEC derrière un routeur ?
Plus de sujets relatifs à : Fiabilisation d'un accès VPN


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR