Bonjour à tous,  
 
La société pour laquelle je travaille désire partager son futur accès Fibre dédiée 200Mbps entre plusieurs sociétés situées dans plusieurs bâtiments mais connectés par des fourreaux de câbles déjà présents.  
 
Le but serait donc de partager la bande passante internet tout en isolant les sociétés entre elles.
 
Comment faire cela de manière la plus simple possible ? Utiliser un switch avec plusieurs VLANs ? 1 VLAN par société et le port de la livebox en commun ? Utiliser plusieurs routeurs ? plusieurs firewalls ?
 
La plupart des sociétés ayant déjà un réseau propre configuré, est-il possible de conserver cet adressage ou dois-je envisager un sous-réseau par société et leur imposer cette organisation ?
 
En vous remerciant mille fois pour votre temps,  
 
Bien cordialement,  
 
Dimitri

Il faudrait déjà voir si un seul accès mutualisé est possible, est ce qu'ils ne vont pas tous avoir une redirection de port sur le 443 ? est ce que plusieurs IP est possible ?
Sinon un routeur mutualisé et chacun avec son réseau et ses switchs derrière.

Peut être aussi prévoir un équipement pouvant attribuer une bande passante par port. Sinon tu risques D avoir une société qui bouffe toute la connexion.
 
Tu peux mettre un routeur/firewall Fortinet 100E par exemple qui va pouvoir t'offrir dans les 16 ports pour avoir un contrôle dz flux, des vlans par société etc...

Il te faut un routeur apte à gérer de multiples LAN et faire du traffic shaping.

et histoire de limiter les soucis le jour ou Hadopi/les flics/autre vont s'en mêler, une IP propre a chaque boite.
 
comme ça, chacun est responsable de ses accès

Bonsoir et merci pour ces réponses !  
 
Oui, il y aurait 6 adresses IP donc idéalement 6 sociétés possibles par offre, et il s'agit d'un accès fibre dédiée (FTTO). Pour limiter les coûts, nous pensons prendre un abonnement 100 à 200Mbps et le partager car le tarif est dégressif.
 
Donc, cela donnerait : Box fibre -->ROUTEUR/FIREWALL/VLAN PRINCIPAL------>Switch avec modules fibre----------->fibre desserte interne------------>Routeur secondaire société2 (DHCP/DNS)-->switch société2
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société3 (DHCP/DNS)-->switch société3
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société4 (DHCP/DNS)-->switch société4                                                                
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société5 (DHCP/DNS)-->switch société5
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société6 (DHCP/DNS)-->switch société6
 
Est-ce que cela se tient ? On peut également peut-être supprimer les routeurs dans chaque société avec un DNS/DHCP directement géré depuis le ROUTEUR/FIREWALL/VLAN PRINCIPAL et arriver directement sur un switch dans chaque société ?
 
Savez-vous si on peut définir les 6 adresses IP dans le ROUTEUR/FIREWALL/VLAN PRINCIPAL ou si on doit prévoir un routeur secondaire dans chaque société avec chacun son IP ? Quelle est la configuration la plus cohérente selon vous ?
 
En vous remerciant mille fois encore !!
 

Minute papillon sur les adresse IP !
 
C'est un /29 si tu as 6 IP.
Dans les fait ca veut dire 4 IP adressable car la premier IP du pool est l'adresse réseau et la dernière IP du pool celle du broadcast.
 
Il faut prendre un /28 qui offre 12 IP utilisables. Mais plus onéreux.

Si c'est /29 c'est 6 hosts + network + broadcast.

Hello
pas besoin de X ip wan. Mais chaque société aura une passerelle differente.  
entre ta box et tes X société tu peux mettre un Stormshield
Attention ce n'est pas un réseau internet public, dans le cadre d'une entreprise privé ce n'est pas la même chose.  
Il permet de tout logguer.  
de faire du multi wan (par exemple un adsl pour le secours)
de segmenter les differents reseau.
de faire de l'ips
de la QOS
antivirus  
etc...
 
Tu devras aussi partager le cout de maintenance de ce Firewall/routeur avec les autres partenaire.
Mais il y gagnerons en securité.
 
Zaxe, tu te trompe dans tes calculs de plage
255 . 255 . 255 . 248 = 29 (1111 1111 . 1111 1111 . 1111 1111 . 1111 1000 )
pour le reseau exemple 90.2.2.0
90.2.2.0 = reseau (dernier octet 0000 0000 )
tu as de dispo :
90.2.2.1 (dernier octet 0000 0001 )
90.2.2.2 (dernier octet 0000 0010 )
90.2.2.3 (dernier octet 0000 0011 )
90.2.2.4 (dernier octet 0000 0100 )
90.2.2.5 (dernier octet 0000 0101 )
90.2.2.6 (dernier octet 0000 0110 )
90.2.2.7 = brodcast (dernier octet 0000 0111 )

Bonsoir et merci mille fois pour ces réponses !
 
Je viens de laisser un message au commercial Orange pour confirmation, mais apparemment, il est possible de commander autant d'IP que nous voudrons.  
 
Je n'avais pas pensé au broadcast Zaxe, merci pour cette piqûre de rappel !
 
Donc en considérant ce que tu dis Skoizer, avec ce firewall Stormshield je pourrai le connecter directement sur la box Fibre d'orange (ou bien même peut-il la remplacer ?) et ensuite en existe t'il avec des modules fibre afin de tirer une desserte jusque dans chaque société ? (arrivée sur un switch avec module fibre)

Tu dois avoir moyen de te passer de la box d'Orange en configurant un vlan, mais ce n'est peut être pas forcément une bonne idée.
Pour la fibre cela arrivera plus sur un switch qui sera ensuite connecté au firewall.

il te faudra toujours le modem routeur orange.
 
cela ferait comme cel
INTERNET-->MODEM/ROUTEUR ORANGE--> plage ip avec VLAN --> ROUTEUR UTM (stormshield ou autre) --> vers tes differentes societés
 
tu peux mettre des modules fibre sur le stormshield.
Ou tu peux brancher le stormshield sur un commutateur et tu utilise la fibre des commutateurs. Tu as plusieurs ports sur les stormshiel, tu tagger les ports
 
les modems opérateur, tu n'as pas beaucoup de possibilité de configuration lan. Mieux vaut passer par un équipement que tu maîtrise.
 
essaye de contacter un revendeur.

Très bien, je vais appeler mon fournisseur aujourd'hui pour demander ce qu'il me propose !
 
Je vous remercie beaucoup pour votre temps et votre réactivité, et vous tiens au courant de l'avancement du projet.
 
Bonne journée )

J'ai été trop vite.

Ça arrive, rien de grave.

Bonsoir à tous les amis !
 
Après plusieurs mois sans évolution, je suis désolé de ne pas avoir donné de nouvelles, mais il y a du nouveau et je me permets donc de déterrer ce post
 
Le choix a été fait d'une fibre dédiée 500mbps qui sera répartie sur ma société et 4 autres.
 
Après coup de fil à notre fournisseur, celui-ci m'a parlé des solutions Watchguard, dont le seul firewall coûte près de 5000€...
 
Sachant que nous ne souhaitions pas investir autant d'argent dans ce projet (nous devons également tirer des fibres entre les bâtiments plus pas mal d'à côté), auriez-vous une idée d'architecture permettant de gérer la sécurité et la QOS (pour dédier 100Mbps par société) sans pour autant dépenser autant en infra ?
 
Ma vision aurait été d'arriver à quelque chose comme ça :
 

 
Fibre 500Mbps ->un routeur/firewall principal (genre fortigate 50e? Stormshield ?)-> 5 liens SFP vers 5 routeurs secondaires ayant chacun son IP publique.  
Fais-je fausse route ?
 
Merci encore pour vos lumières...

C'est hors de prix, chez nous, nous sommes sur un Cluster fortinet 90E ça te coute bien moins chers !  
 
Perso je partirai sur un Fortinet 101E (dans les 2000€) tu peux faire ce que tu veux avec après.

Attention, y'a pas que le prix d'acquisition.
Faut regarder le coût des licences pour activer les fonctions voulues sur l'appliance, également le prix des clients VPN, etc.
 

 
Ca marche bien le cluster fortigate ?
Dur à mettre en place ?
Cela double le coût des licences ?

si c'est pour mettre un équipement de securité ou personne ne gére rien...
c'est une trés mauvaise solution.
pas d'argent et pas de compétence. Tes choix sont limités.
 
pour ma part, je mettrai une fibre par société...

Cela dépend du budget, des compétences, de la proximité des sociétés et du dimensionnement de celles-ci.
 
Un "bête" ZyWall USG fait le travail pour 400-500€ si c'est des petites sociétés (0-10 personnes).  
Par contre la gestion du WAN sera sur le même équipement pour toutes les sociétés.

Ca marche bien le cluster fortigate ?  
Dur à mettre en place ?  
Cela double le coût des licences ?  
 
Au total nous avons 24 Fortigate chez nous, du 60E pour les petits sites, et un cluster 100D et un Cluster 101E. Franchement rien à redire ça marche au top. Et à configurer moins de 5min. Les licences sont par équipements (donc même en cluster faut acheter x2).
 
Après pour le projet de Dimitri, selon le nombre de personne tu as chez Fortinet de 600€ à ... no limit. Et pour les licences, il y a pas d'obligation de les prendre

La société principale chez qui arrive la fibre compte 12 employés et même chose pour les autres (entre 5 et 10 personnes max par société), soit au total entre 30 et 60 personnes seront derrière le firewall.
 
En terme de compétence, je suis administrateur système et il m’arrive de configurer des équipements divers  type routeurs VPN, ponts radios et smart switches, mais je n’ai pas d’expérience en terme de sécurité avancée, trafic shaping, load balancing, etc... et surtout concernant cette volumétrie d’utilisateurs...
 
Du coup, la solution Fortinet 50e  semble possible d’apres toi Micko77666 ? les 5 interfaces LAN distribueraient 5 routeurs secondaires via des convertisseurs SFP/ ethernet dans mon idée...
 
Que préconisez-vous comme routeur secondaire derrière le fortinet ? J’utilisais beaucoup les routeurs firewall prosafe de netgear à présent abandonnés, je dois donc également creuser cela.
 
Merci mille fois pour votre temps encore une fois !

Tu peux prendre un 60D ou un 90E (chez nous le 90E gère un lien Giga avec 120 users).
 
Tu as deux entrées WAN (pour du load balancing ou spare), et tu as 12 ports LAN.
 
Donc tu peux très bien imaginer :
 

 
Avec une bande passante allouée par port qui va sur les switchs d'entreprise, et aussi la gestion de IP publiques (avec les VLAN etc..)
 
Pour le prix tu as FirewallShop par exemple : http://www.firewallshop.fr/site/fortigate-90e.htm   (le support est assuré par eux et non par Fortinet directement)

Revendeur non officiel + site web en http    
 
Tiré du site :

J'ai déjà commandé dessus pas eu de soucis (même suite à un soucis sur mon forti)

Je suppose que les demandes de logins ne concernent que des services spécifiques en terme d'authentification proxy ou autre, mais dans mon cas je me chargerai de la configuration...
 
Après demande au service client du site de si je pouvais envisager un Fortigate 80E à la place du 300E, voici leur réponse : "Vous pouvez prendre un Fortigate 80 E mais :
 
Le débit du Fortigate 80 E est de : 250 Mbit/s
Le débit du Fortigate 300 E est de : 3 000 Mbit/s"
 
Après vérification, le débit dont ils parlent est le "Débit Protection IPS + Controle d'applications + Antivirus", pensez-vous qu'il ne s'agisse que d'un argument commercial ?
 
@Micko77666, tu disposes d'un lien fibre Gigabit sur un Fortigate 90e, qui affiche un débit de 210Mbit/sec, peux-tu me confirmer si la vitesse de connexion ne s'en trouve pas affectée ?

Aucun soucis pour nous sur dé débit en tout cas.

Moi j'ai du mal à comprendre comment on peut faire confiance à une boite avec des closes aussi louche; D’où ils doivent mettre les licences eux mêmes???? et le refund à 70% du prix si tu refuse XD
 
 
Bref, pour ce qui est de l'histoire de débit il faut voir deux choses : tu as le débit firewall pure, qui peut monter jusqu'a 4gbps sur ces boites et le débit Threat Protection ou nextgen blabla, qui correspond comme tu l'indique au débit avec les options IPS / AV etc... Pour info, ces fonctionnalités la sont soumise à des licences supplémentaire
 
Si tu ne prends pas ces fonctionnalités, tu pourra monter jusqu'a 4gbps, avec toutes ces fonctionnalités activés, sur l'ensemble de tes flux tu dépassera pas les 250 Mbps.  
 
Si tu t'y connais et que vous avez les moyen, oriente toi vers de l'IPS configuré correctement sur du 80E ca devrait aller. Si tu n'y connais rien, ne prends pas les licences tu t'en servira pas et tu aura un débit "fw" largement suffisant
 
 
 

Salut,
 
Au delà de l'aspect matériel/réseau, il faut également penser aux contraintes légales. En effet, avec cette solution, tu deviens fournisseur d'accès avec les obligations qui vont avec (logs, sécurité, disponibilité, ...).
 
Par ex :  
Qui sera responsable
- si une des sociétés effectue du piratage ?  
- si le lien tombe pendant 24h, empêchant les sociétés de travailler ?
- si une société accède aux données d'une autre société car le réseau n'est pas assez sécurisé/isolé ?
 
Sur le cours terme, quand tout va bien, ça peut être une source d'économie, mais sur le long terme,...
 
@+
 
Fred

@Micko77666, quelles sont les options en terme de licence / sécurité que tu utilises ou préconises ?
 
@logre : Effectivement, je vais très certainement partir sur la solution du 80E avec les options IPS de base, mais sais-tu si cela implique une licence supplémentaire ?
 
@fred34 : Concernant l'enregistrement des lois, j'attends effectivement le devis d'un revendeur qui propose d'implémenter cela. Pour la coupure de lien, on a une GTR à 4h et un routeur 4G prévu en cas de soucis  pour le backup, et concernant la sécurité, nous devrons faire en sorte par un jeu de VLAN de bien isoler les sous-réseaux effectivement ; je te remercie pour ces précisions
 

Pour la partie log, tu peux les envoyer directement chez Fortinet, tu as de base dans les 4 ou 5Go gratuit, que tu peux augmenter via un forfait (je ne me souviens plus des tarifs).  
 
Ca peut permettre déjà de sauvegarder ailleurs tes logs, et donc d'avoir une traçabilité en cas de contrôle.

 
Si tu veux l'IPS, il y a bien une licence supplémentaire à souscrire tu peux la prendre via une licences type FOrtiguard (qui prends IPS AV webfilter ...) ou via une licences IPS seule. Sans licences, pas de MAJ des bases de données.

 
faut voir le contexte, quelle fibre tu avoir, par quel presta, etc..
mais ne serait-il pas plus simple de tirer un cable de 20 fibres plutot que juste 1 que vous vous repartagez ?
 
pour moi ça sent un peu le truc à emmerde ce setup. ça marche pas -> tu te recup les plaintes de tout le monde.