Bonjour à tous,
 
Mon entreprise va déménager et je me pose une question sur un point bien précis sur le nouveau réseau.
Pour résumé, la nouvelle connexion sera composée de 2 routeurs (l'un pour une connexion SDSL et l'autre pour ADSL) le 2e travaillant en backup du 1er via VRRP.
Au cul de tout ça je souhaite y mettre mon firewall, mais je ne comprends pas comment il va communiquer avec ce routeur virtuel, en effet les règles du firewall sont en destination soit de l'interface WAN1 soit WAN2 et comme ce n'est pas le firewall qui décide qui est le routeur maitre je n'arrive pas à saisir comment il va faire la différence pour orienter le trafic vers la bonne sortie ...
 
Ça doit être tout con mais je pige pas le truc ...
 
Merci

Je suis pas sur de bien comprendre, mais sur ton firewall tu vas pouvoir décider ce qui passe sur chacun de tes deux WAN.

Donc tu vas pouvoir dire que par défaut tout passe par le SDSL et ce que tu décide toi par l'ADSL...

Ton firewall doit aussi gérer le load balancing entre les deux liens.

Edit : sorry j'avais pas fait gaffe au VRRP. Je sais pas du coup chez nous le load balancing ai géré par le firewall.

hmm, via ta réponse je pense avoir pigé un truc ..
Disons que l'adresse virtuelle du routeur est 10.0.0.1, donc côté client la passerelle bouge pas et il en a rien à faire de toute manière. Le firewall lui voit passer du trafic à destination de l'IP 10.0.0.1 et via ARP il doit pouvoir faire le distinguo si cette IP est sur WAN1 ou WAN2.
Ce qui veut dire aussi que toutes les règles du firewall doivent être en double pour assurer la même sécurité sur les 2 liens.
J'espère que je dis pas de connerie.

Mais en réfléchissant un peu plus, pour communiquer entre eux via VRRP les 2 routeurs ont besoin d'un switch et les interfaces WAN1 et WAN2 ne sont pas considérées comme tel ?
Du coup, il y a un chainon manquant, faudrait isoler 3 ports d'un switch pour les 2 routeurs et le lien vers le Firewall.
Tout ça devient complexe et intéressant à la fois !

Pour moi c'est plutôt sur ton firewall qu'est implémenté le protocole VRRP.
 
Sur ton firewall tu va brancher les deux WAN et lui s'occupera de gérer le load balancing entre les deux.

Non, pour deux raisons :
- le failover (et non load balancing) est intégré à la solution proposée par mon prestataire, donc je dois faire avec
- VRRP est un protocole entre 2 (et plus) équipements (routeurs), je suis quasi certain qu'un firewall ne peut pas gérer ce protocole pour d'autres équipements

Salut,
 
faut pas simplement brancher un switch entre tes 2 routeurs et ton firewall, et n'utiliser du coup avec ton firewall 1 seule interface wan ?

C'est ce que je disais plus haut, ça me semble l'idée la plus censée pour l'instant.

 
Failover en effet, je mélange parfois.

Je viens d'avoir une réponse de mon intégrateur et en fait il y a déjà 2 possibilités :
-soit on ajoute le firewall dans le groupe VRRP, mais dans ce cas si on veut y voir un intérêt dans notre configuration il faut lui adjoindre un modem pour qu'il devienne un 3e accès Internet
-soit on passe les ports WAN1 et WAN2 en switchports et dans ce cas ça rejoint plus ou moins ce qu'on disait plus haut (minus l'adjonction d'un switch)