Bonjour,
 
j'ai une problematique que je ne sais comment résoudre de la meilleure facon
 
1 site principal avec un concentrateur vpn sous freebsd
N sites distant avec des box vpn sous freebsd
 
tous les sites distant sont connectés au siege
 
Probleme, cette installation doit pour des raisons inflexibles etre supprimée
 
je dois donc remplacer ces liens par quelque chose, mais le soucis est que la coupure réseau doit etre si possible inexistante, ou le plus court possible.
 
la solution serait donc de faire un second lien vpn basé cette fois sur du Cisco ou autre à faire fonctionner en parallele, ainsi le 1er lien vpn peut etre supprimé...
 
ma question, est ce réalisable? sachant que je n'ai pas droit a l'erreur, genre couper "pour tester"
 
Si ce n'est pas possible, comment y parvenir (a part un autre lien sdsl) ?
 
 
merci de vos réactions  

non. En ipsec, les associations de sécurité ont une durée de vie, et si tu coupes ton concentrateur freebsd sur ton site principal, les sites distants vont mettre un certain temps pour détecter que le nouveau concentrateur  est une nouvelle machine et renégocier les SA.

ok, je comprends, mais ce n'est pas exactement cela ma question  : en fait, tous les freebsd vont dégager, que ce soit au siege ou sur les sites distant.. d'ou la question du parrallele, un second "réseau" vpn sur la meme ligne sdsl

UP! Si j'ai 2 ip publiques dispo sur cette ligne sdsl, est ce faisable?

ok pour monter le tunnel mais mais ca risque de coincer pour la phase 2 si tu as les memes domaines d'encryption.

Donc il faudrait utiliser un protocole de cryptage différent? Genre IPsec d'un coté et SLL de l'autre?

dans tous les cas je ne vois pas comment tu eviterais un downtime. il y a forcement a un moment donnée une vpn qui devient prioritaire sur l'autre et le routage est modifié , les 2 vpns ne vont pas gerer les paquets en partage de charge jusqu'a ce que tu en debranches une.
ca pourrait marcher en natant des 2 cotes sur la 2eme connexion vpn mais de toute façon tes applicatifs s'y perdraient.

Ça dépend du type de données et comment tu as configuré ton tunnel VPN : tu dois pouvoir doubler ta connexion puisque tu change le matériel des deux cotés.
 
Tu établis tes deux vpn en // et ton switch s'il existe et s'il est suffisamment intelligent devrait équilibrer la charge tout seul entre les deux solutions....(QOS et cas du "trou noir" )
 
Nb: donc switch avant le tunnel, et switch entre l'entrée du tunnel et le SDSL. (et idem de l'autre coté bien sur)
(dans le cas ou ton tunnel précédant était déjà bien configuré)
 
Ceci dit, en général, ce type de motif ne se passe pas sans mal alors prévoie tout de même un downtime....(genre un dimanche a 2h du mat, ça te laisse dans le pire des cas la journée pour rétablir sans casser trop d'œufs)