Hello tout le monde,    
 
Est-ce que certains ont réussi à migrer d'une solution VPN MPLS à un VPN "fait maison" ?
 
Je m'explique :
Nous avons actuellement 9 sites reliés entre-eux via un VPN MPLS de chez L'agrume (BVPN). Suivant les possibilités techniques, c'est du SDSL ou de la FTTO.
Tout passe dedans : la data, la téléphonie (BTIP) mais chaque site conserve une sortie Internet.
La téléphonie est de type Aastra 5000 (et une 7450) centralisée au siège avec 3 Gateway : une au siège et 2 autres sur 2 sites de moyenne importance.
Si c'est plutôt fiable et que techniquement ça marche nickel, ça a quelques inconvénients :
- C'est très très cher (30 000 € / an environ de coût BVPN). La plupart de nos sites sont en campagne (sauf celui qui a de la FTTO), donc ça coûte encore plus cher qu'en ville.  
- Nous aurions besoins de monter en débit, mais il faut payer encore plus cher ! Par exemple, le site qui a la FTTO est en 6 Mb/s (enfin 7 Mb/s avec le surdimensionnent dû au BTIP). Nous aurions besoin de beaucoup plus de débit, mais actuellement ce site nous coûte déjà 8000 €/an d'abonnement !
- J'ai un site techniquement limité à 2 Mb/s (avec 8 lignes de téléphone, donc quand tout le monde est au téléphone, il n'y a plus que 1,2 Mb/s dispo pour la data....). Les autres opérateurs peuvent proposer de la FTTO, mais Orange refuse de s'y brancher....
- Enfin, en cas de panne, pas de possibilité de mettre un secours de type Box 4G
 
Pour résumer :
- le site centrale est en 6 Mb/s SDSL, surdimensionné à 8 Mb/s pour la téléphonie
- Le second site est en 6 Mb/S FFTO, surdimensionné à 7 Mb/s
- il y a 6 autres sites en 2 Mb/s SDSL, surdimensionné à 4 Mb/s
- Le dernier site techniquement limité à 2 Mb/s SDSL....
 
Jusqu'à peu, la data était utilisée beaucoup pour du TSE, donc ça allait très bien. Maintenant, avec tous les appareils nomades, les débits ne correspondent plus aux besoins...  
Quand il y a une panne, ça peut parfois durer longtemps car pas secours possible. J'ai eu le cas il y a peu où un site est resté très fortement dégradé pendant plus 3 semaines (bagots sur 1 paire, la box se désynchronisait très souvent). Et chez l'agrume, la GTR 4h00 ne fonctionne que si c'est une coupure totale...  
Avec mon propre VPN, je pourrais prévoir des Box 4G de secours en mode "Load-balancing".
 
Donc j'aimerai remettre tout ce fonctionnement à plat et faire moi-même mon propre VPN.
Ça me permettra de passer mes lignes en FTTH là où c'est possible et les autres en ADSL / VDSL. En sachant que j'ai 4 autres sites qui devrait passer en FTTH sous 2 à 3 ans. Et enfin, le site aujourd'hui techniquement limité à 2 Mb/s, je le passerai alors chez un autre opérateur en FTTO 10 Mb/s (C'est encore un peu cher, mais avec les économies réalisées sur les autres sites, ça passera).
Je dois prochainement rencontrer un représentant de chez Sonicwall pour parler de tout ça.  
 
Ma question est  : Est-ce que vous pensez que cette transition est possible ? Dois-je m’attendre à quelques mauvaises surprises ? Avec la téléphonie en VOIP, est-ce que ça fonctionnera bien ? Je pense notamment à la mise en place de Qos car il est hors de question que le téléphone fonctionne mal parce qu’un gars est en train de télécharger à pleine balle.... !
 
Merci d'avance pour vos réponses    
Et excusez-moi sincèrement du pavé, mais je tenais à être clair  

salut, oui techniquement pas de problème (enfin il y aura les problèmes liés aux accès internet quand ceux-ci tomberont en panne bien sûr).
 
Ensuite il faut être vigilant sur la manière de raccorder tes sites. Si c'est du VPN IPSec classique et que tu veux être un minimum sérieux en faisant un raccordement sur deux site, attention à ce que tes équipements supportent impérativement le route-based VPN.
Si au contraire tu pars sur une techno propriétaire basée sur IPSec (ou autre), bien être sûr d'en comprendre les limites.

Ok merci, je vérifierai ça.
De toute façon, je ne le mettrai pas en place tout seul, je passerai par un prestataire.
Et je pense même commencer par relié 2 sites dans un 1er temps, le temps de tout bien tester, et je ferai la bascule des autres sites ensuite.
Sinon, autre question : Le MPLS possède un avantage indéniable sur les temps d'accès (latence très faible entre 7 ms et 20 ms pour le plus mauvais de mes sites). Je lis que le VPN IPSEC peut faire sensiblement augmenter cette latence. J'espère qu'elle ne sera pas trop importante tout de même, au point de dégrader la téléphonie ?

avec des équipements bien dimensionnés la latence ajoutée par le VPN est négligeable par rapport à la latence intrinsèque des liaisons.

Ok super Et apparemment, la série TZ de chez Sonicwall qu'on me proposera supporte le rote-based VPN.
Et concernant la QOS ? Aujourd'hui avec le MPLS, j'ai la VOIP en priorité absolue (VLAN Voix), Cette réservation est en fonction du nombre de canaux voix souscrit et quand il n'y a pas de conversation téléphonique, cette réservation devient alors libre pour le reste.  
Ensuite, j'avais défini avec Orange les priorités suivantes pour le VLAN Data :
- Port 3389 en priorité D1 jusqu'à 60 % de la bande passante
- Port 139 et 445 en D2 jusqu'à 30 %
- Le reste en D3
En enfin un VLAN Wifi public en priorité basse.
Est-ce que j'arriverai à faire à peu près la même chose avec le VPN IPSec ?

IPsec c'est de l'IP donc tu peux faire tout ce que tu fais avec IP, ie utiliser les tags déjà présents dans les paquets et leur affecter une priorité relative sur cette base, ou gérer tout au niveau de tes firewalls en reprenant les critères dont tu parles (ports, ip source/dest etc).
 
Ca c'est la théorie, en pratique je ne sais pas ce que sonicwall propose, à toi de t'assurer que ça répond bien à ce besoin.

Merci pour tes réponses en tout cas    
Donc a moi de poser toutes ces questions au représentant de chez Sonicwall.
Il y a une dernière question que je me pose, c'est comment passer d'un système BTIP pour le téléphone à un fonctionnement dans un VPN IPSec...
Puisque c'est Orange qui gère les SDA, j'imagine qu'à un moment, il va falloir que je fasse communiquer tout ça entre mon système de téléphone et Orange... Et pour chaque site ! Et puis il y a la notion de localisation aussi (en gros, lorsqu'on appelle les secours, il faut qu'ils se rendent sur le bon site !)
Et là, je connais encore moins ce domaine....

je ne m'y connais pas trop en téléphonie mais comment tu sors vers le PSTN actuellement ? c'est un trunk sip avec un un équipement OBS qui est joignable via le BVPN c'est ça ?

Sauf que j'imagine que derrière sa connexion mpls la qos est gardée dans le réseau orange mais s'il s'amuse à monter des vpn maison sur des connexions standard bah là pas de QoS sur Internet.

dans la mesure où il contrôle chaque bout du tunnel il est libre de prioriser / déprioriser tel ou tel paquet par rapport au reste, et je pense que c'est le plus important pour garantir un fonctionnement satisfaisant de la voix ou autres applis temps réel.
 
après il n'y a pas de SLA (rtt/gigue garantis) comme on peut en avoir sur un mpls c'est sûr, c'est aussi à prendre en compte

Hello,

 
ya que moi qui ai bloqué la dessus ??
 
du loadbalancing de tunnel IPsec sur 2 connexion, ça va pas être facile, et en plus sur une box 4G ou les IP sont nattées, ça va certainement mal se passer !

Le VPN ipsec sur la 4G, à tester.
Après si tes utilisateurs travaillent en RDS, le routeur 4G peut effectivement être là pour permettre aux utilisateurs de se connecter sur une passerelle RDS publiée sur internet en cas de perte du lien VPN.
 

Bonjour et merci à tous pour vos réponses
 
Ivy gu : Oui, c'est bien un trunk sip avec un un équipement OBS qui est joignable via le BVPN.
 
Sinon, on n'ira pas jusqu'à faire du Loadbalancing. Nous sommes une société de service où (pour le moment) une panne de 2 ou 3 heures est "tolérable".
Nous avons 9 sites, et je ne mettrai pas 9 box 4G pour juste du secours. Je pense que j'aurai 2 ou 3 Box 4G, et avec des opérateurs différents.
Et si je sais qu'un site a une panne qui va durer, je me rendrai sur place installer la box 4G de secours (en voiture, je suis à 1h15 max du site le plus loin)
Et sinon, vous avez vraiment de mauvaises expériences à faire un VPN IPSec avec de la 4G ? Car j'aimerai ne pas devoir faire ce que propose Schmosy...  
Merci

les abo 4G sont souvent nattés (une IP publique pour XXXX abonnements) et donc les ports ou protocoles nécessaires a l'IPsec ne sont pas "ouverts" (en fait ils sont pas renvoyés vers ta box)

renseigne toi, tu verra qu'il est souvent impossible de faire du nat (pour mettre un serveur derrière par exemple) sur les BOX 4G, à cause de ça justement

je dis pas impossible, mais A TESTER AVANT !!!

Ok, ça m'a fait peur et en cherchant j'ai trouvé qu'au moins un opérateur (Bouygues) proposait une option "adressage ip publique".
Mais je n'arrive pas à trouver chez les autres....
Il en est question sur ce fil : https://forum.hardware.fr/hfr/syste [...] 6502_1.htm

y'a ça et puis faut aussi être sûr de la couverture et voir quelle latence/stabilité tu as, effectivement ça va être chiant. Surtout si c'est pour un usage ponctuel, y'a toujours un risque que le jour où t'en as besoin ça marche plus aussi bien que la fois d'avant.

Bonjour Dave,
 
tu as essayé de renégocier les tarifs chez OBS ? (en les mettant en concurrence) pour faire baisser les tarifs ou bien augmenter les débit pour les meme tarifs?

Pour le moment, je ne suis pas sûr de la couverture pour tous mes sites. Je dois étudier ça... Je sais que j'ai certains sites très bien couverts en 4G LTE(A) chez Orange, avec des débits de + de 100 Mb/s et une latence inférieure à 50 ms (testé avec mon smartphone), et d'autres sites où ça sera de la 3G uniquement....
Razer69, pour la négociation avec OBS, oui c'est ce que je fais à chaque renégociation de contrat (tous les 3 ans). L'année dernière, nous sommes passés à un contrat cadre via notre central d'achat, ce qui a sensiblement fait baisser les prix (quasiment au niveau de ce que propose SFR pour les même caractéristiques).
Enfin, pour être exact, on conserve souvent les mêmes tarifs, mais on fait augmenter la bande passante sur certains sites (pour le même prix)
Sauf que nous sommes bien d'accord que ça coûte très cher et que ça ne répond pas à tous nos besoins.

Donc en conclusion, est ce que vous pensez que je m'en vais vers une galère si je passe tout en IPsec avec un secours 4G (sous réserve d'obtenir une IP public pour la 4G) ?
Dans ma configuration, feriez vous le saut ?

Hello,
 
De l'IPSec sur de la 4G : personnellement je ne le ferai pas.
C'est trop risqué entre le NAT et la latence de la 4G, surtout si tu envoies de la VoIP derrière.
 
Rancid

Ok Merci,  
Et si finalement, je conservais le MPLS pour VOIP (ou une autre technologie "fiable" ), je ferai donc baisser les prix du MPLS car moins de besoin en bande passante.... Est-ce que l'IPsec pour de la data uniquement ça serait plus tolérable ?
D'autant qu'il "existerait" une solution pour cette histoire de NAT ou au moins un opérateur proposerait une option IP public pour la 4G (et je vais faire la demande chez Orange aussi) -> voir mon lien dans les messages précédents.
Et on est bien d'accord que la 4G, c'est que pour du secours

Tu peux faire passer de la VoIP sur de l'IPSec, c'est ce que j'ai en prod (avec des SDSL en support dessous).
 
Le "problème" ici n'est pas IPSec mais la 4G. IPSec "ajoute" un peu de ping entre les deux points, mais pas autant qu'une liaison 4G (en + du caractère aléatoire de la 4G).

Ok, et tu as quoi en secours, en cas de coupure du SDSL ? Où bien tu te contente juste de la GTR 4h00 ?

Après, Je suis conscient que la 4G n'offrira pas le même confort que du "filaire", mais si ça "dépanne", ça sera très bien.
Notre activité, c'est de la vente de pièces détachées et de la réparation atelier (un peu comme un concessionnaire automobile, sauf que nous sommes dans l'agricole). Notre utilisation de l'informatique s'oriente de plus en plus vers des catalogues "en ligne" mis à disposition par les fournisseurs. Finalement, le VPN nous sert surtout pour l'utilisation de l'ERP (en bureau à distance) et pour le téléphone. Et pour info, j'ai aussi un petit VPN (en PPTP) pour les 20 commerciaux et l'utilisation de leur CRM (en RDP aussi).
Si le RDP est moins réactif lors d'un secours en 4G, mais que ça fonctionne, ça m'ira.
Pour le téléphone, il faut peut-être que j'envisage autre chose... Car finalement, le point le plus sensible reste le téléphone (même si j'ai des secours en Numéris, mais uniquement là où j'ai des Gateway, c'est à dire 3 sites sur les 9....)

Pas de secours, on se contente de la GTR.
 
Oui selon la couverture le backup 4G devrait aller pour le surf, peut-être pour le RDP aussi... à tester dans tous les cas.
Pour la téléphonie tu peux peut-être garder une ligne analogique "toute bête" en plan B ?

Mouais, ça me semble compliqué dans mon cas, j'ai des sites qui n'ont que des DECT, même pas un téléphone filaire, les OMM sont en full ip et ces sites n'ont pas de gateway, car directement relié en BTIP chez OBS...
Aujourd'hui, quand j'ai une panne qui dure sur un de ces sites, je bascule le NDI vers un mobile d'une personne sur place, et ça évite de perdre des appels clients. Si je ne fais rien, l'appel arrive directement au standard du siège (qui eux renvoient vers un mobile d'une personne sur place quand ils sont au courant de la panne).
Ca fonctionne bien grâce au BTIP. Mais demain, si bascule avec de l'IPsec, je ne sais pas si je pourrais garder cette souplesse ?

a moins que j'ai loupé un truc, ça ne changera rien.
ton point de sortie pour la téléphonie reste le siège.
 
toi ce que tu vas changer c'est l'interconnexion (IPSec au lieu de MPLS)
 
pour la téléphonie, le seul truc qui te gène c'est juste si le lien IPSec tombe ? (perte de la connex en dessous)
 
faut voir du coup ce que tu peux avoir comme GTR sur les liens du coup !
(sans que ce soit aussi cher que le MPLS sinon a quoi bon changer)
 
en fonction de cette GTR, est-ce que 4/8/10/24h est "tolérable" de perte de telecom ???
 
autre soluce pas trop cher, prendre un abo ADSL tout bête a coté en backup (sans GTR, le truc de base, mais chez un autre opérateur que la lien principal)
ça va congestionner donc faudra bien configurer la QoS mais tu n'auras pas le coté aléatoire de la 4G

Sauf erreur d'interprétation, il me semble que chaque site à sa propre sortie sur le BTIP. D'ailleurs, si le site principal est down, les autres sites continuent de fonctionner normalement (sauf qu'il n'ont plus l'accès à certains services comme l'annuaire...)

Oui, c'est ça... Plus d'IPsec, donc plus de téléphone...

ADSL et FTTH chez Orange Pro, pas de GTR, mais une GTI 8h00. Mais même une GTR 4h00 ce n'est pas le top... La GTR, ils vont chercher à la respecter lorsque c'est une coupure totale, pour le reste, c'est en fonction de la dispo des équipes techniques (regarde mon 1er poste où je donne un exemple d'un délai de 3 semaines pour une paire qui "bagotait". Dans leur définition, ce n'est pas une coupure totale, mais une dégradation donc pas de GTR, mais dans les faits, les services étaient quasi inutilisables - plusieurs coupures d'une minute par heure... )

J'y ai pensé aussi, mais mon expérience sur les 10 dernières année, c'est que lorsqu'il y a coupure, c'est souvent physique (un arrachement de câble par ex). Dans nos campagnes, les NRA ou NRO sont alimentés que via un seul câble ou une seule fibre où passent tous les opérateurs. Donc la panne est globale pour tous les opérateurs.
Dernière expérience au siège social (heureusement en fin de journée) - Celui-ci est branché sur un NRA-med, lui même fibré jusqu'au NRA principal. Un coup de pelle dans la fibre :
- SDSL Orange : down
- ADSL Orange : down
- Le voisin en adsl chez SFR : down
- 3G et 4G de l'antenne Orange à proximité (fibré) : Down (Seul la voix et la 2G fonctionnait)
- Il y a une autre antenne Bouygues à 50 mètres : elle fonctionnait car elle communique avec d'autres antennes en Faisceaux Hertziens
Ils ont mis quasiment 10h00 à rétablir le service. GTR pas respectée, mais pas d'indemnité possible car ce n'est pas de leur fait (c'est comme ça que j'ai su que c'était un coup de pelle !)
Ca va car c'est arrivé le soir, mais la même chose en journée, j'aurais été content d'avoir une box 4G chez Bouygues et pouvoir vite fait la monter dans le VPN IPsec de l'entreprise !
 
 

c'est vrai qu'en campagne, c'est soit fibre noire donc tous les opérateurs dessus soit chacun la sienne mais même fourreau.
donc le coup de pelleteuse est fatale a tous....
 
du coup, la soluce pour la VOIP, c'est pt 'être que ça continue de sortir par internet (par contre byebye la QoS après ton routeur) et que seuls les services "annexe" soient coupés quand le lien ipsec tombe ?
du coup ça passera par la 4G en mode dégradé (avec du lag dans les conversations), même si tu n'arrive pas a monter de tunnel ipsec sur la 4g
je sais pas si c'est possible, je connais pas BTIP (enfin si, mais que la solution centrex, ce qui n'est apparemment pas ce que tu as)

Hello,
 
Je ne sais pas où tu en es de ton projet
 
Je me permets de t'apporter un cas concret puisque j'ai aidé un client qui était dans le même cas que toi (même offre chez Orange et même constat financier), mais avec un nombre de site un peu moindre (5 sites).
 
Ce client a utilisé des UTM Stormshield pour faire son propre VPN, mais il a galéré au début. Il connaissait bien le concept d'un VPN mais il a été surpris de la mise en place technique.
 
Tu dis avoir 9 sites, est-ce que ces 9 sites communiquent entre eux indifféremment  ou les 8 sites ne communiquent qu'avec le site central ?
 
Question important car la complexité de ta politique VPN va dépendre de çà.
 
Pour mon cas de figure, les 5 sites devaient communiquer entre eux, donc cela voulait dire qu'il fallait faire autant de politique VPN sur les pare-feu que de sites.  
 
Certains constructeurs ont des 'wizards' pour mettre en place ce genre de réseau en étoile (limité généralement), mais après côté SAV  c'est là généralement que c'est le plus compliqué.  
 
Je revois ce client de temps en temps, il me dit qu'il fait des économies financières, mais que côté technique c'est galère.
 
Autre point à voir si tu pars dans ce genre d'aventure, le support technique constructeur des boitiers pare-feu/vpn.
 
J'espère t'avoir aidé, si tu as des questions, n'hésite pas.
 

Bonjour,
 
Je suis en congé, donc c'est en pause    
 
Intéressant ton témoignage    
 
Je suis un peu dans ce cas, je connais bien le concept du VPN, mais je n'en ai jamais mis en place à cette échelle. C'est bien pour ça que je me ferai accompagner pour la mise en place par celui qui me vendra la solution.
 
A priori, je ne vois pas l'utilité de faire communiquer les 9 sites entre-eux (sauf éventuellement pour la téléphonie, mais c'est un grand floue pour moi ce fonctionnement).
Si on se concentre sur la Data (hors VOIP donc), les 8 sites devront communiquer vers le site central, mais en sachant que je prévoie aussi une redondance vers un (gros) site secondaire, en cas de gros dégâts sur le site principal (incendie par exemple)
 
Dans le cas de ton client, il fait passer la téléphonie IP sur son VPN aussi ?
 
Merci,

Hello,
 

 
Dans ce cas la politique VPN devrait être "simple". Un tunnel par site, soit 8 tunnels sur le site central.
 
 
Pour la VoIP, le client a gardé le BTIP pour deux gros sites, les autres sont passés en BTIC (centrex btip). Par contrez le nombre de canaux a été revue à la baisse.

Et donc ton client a tout de même conservé un lien VPN MPLS sur tout ses sites ? Ou bien a t'il fait un mix ?