Bonjour tout le monde.

Actuellement nous avons 2 sites reliés en IPSec.
Accès fibre 20Mbits symétrique du site principal

Nous comptons avoir un 3éme site plus important, et je ne sais pas lequel choisir ipsec ou mpls.
Le nouveau site auras besoin principalement d'un accès vers le NAS du site principale, 3 Client-serveur sur le serveur principale.

Donc que choisir (ratio Service/prix)?

- malgré que l'IPSEC actuelle fonctionne, je trouve que l'accès au NAS principale est lent (ping min/avg/max = 56.204/64.207/76.309 ms).
- Je me demande si on choisis Le MPLS, si on peut garder le fournisseur internet actuel, ou ils doivent être gérés absolument par le même fournisseur ?

Merci d'avance.

le principe du mpls c'est que c'est un réseau privé géré par un opérateur, il va donc t'en falloir un accès sur chaque site.

Le ratio service/prix ne sera jamais en faveur du MPLS, en plus du délai de livraison qui peut être de plusieurs mois selon la localisation... Si tu n'utilises pas d'application exigeant (Voip, VDI...), c'est peut-être même too much.
 
Tu as déja regardé du côté des solutions SD-Wan?

Merci pour vos réponses.
 

 
Les logiciels sont 2 Progiciel de Gestion pour l'événementiel, salles...etc. Et peut être dans le futur un logiciel de billetterie.
La voip est envisageable, on a un abonnement sdsl sur le site principale.
 
Pour le SD-wan je ne connais pas, vais faire des recherches.
 

Ça m'intéresse cette réflexion.  
 
Est ce que certain font de la VoIP sur IPSEC ? Actuellement nous sommes en MPLS, mais la solution coute chère, et certains site ne sont raccordables en fibre que via des DSP locales...

Moi aussi je me pose la question. De notre côté, juste des liens FTTO et du VPN dessus.
Je me suis toujours demandé l'intérêt de passer à MPLS (ou SD-WAN) sachant que seul RDP transite dessus (et des sorties peu nombreuses vers internet).

Hello
 
My 2 cents...
Depuis 10 ans+ je suis en full IPSec en étoile (27 sites reliés au site central) avec en gros 2 typologies d'utilisation
 - la moitié sur des équipements industriels (réception de données d'automate et supervision)
 - l'autre sur des sites administratifs (Outlook, progiciels, RDS, VoIP pour certains sites)
Le site central est en SDSL, les sites distants en SDSL/ADSL/câble selon les possibilités.
 
La VoIP peut passer mais c'est assez touchy en configuration. Comme tu encapsules, ton FAI ne "voit rien" et donc ne peut pas appliquer de vraie QOS (il fera du best effort). Tu peux mettre de la QOS dans tes firewalls/routeurs mais son efficacité sera relative puisque tu restes dépendant du lien opérateur.
En fait ce qui va compter pour la VoIP c'est la "latence globale" ; j'entends par là le ping mais aussi le "temps" d'encapsuler/décapsuler tes paquets IPSec qui se rajoute.
Il faut aussi faire attention si d'autres choses passent par le tunnel (WSUS, les fichiers des GPO, les pièces jointes de mail...). De mémoire le fait d'encapsuler "réduit la bande passante" de 10-15%.
Bref c'est assez situationnel...
 
Pour la question de base @melkhatt, dans le débat MPLS/IPSec je dirais que... ça dépend.
D'un point de vue strictement financier IPSec gagne je pense, par contre ça demande les compétences qui vont avec. Faire du diag sur un tunnel qui ne remonte pas peut prendre pas mal de temps parfois.
 
Pour l'accès au NAS, c'est sûrement que tes postes clients y accèdent en direct (lecteur réseau) non ? SMB est un protocole qui n'aime pas vraiment les liaisons "lentes" du coup c'est un comportement "normal".
De mon côté c'est une des raisons de la présence de RDS (ça et les applicatifs lourds).
 
Rancid

 
 
Merci pour tes explication détaillés.
 
Notre réseau n'est pas aussi grand:
- une 30aine d'utilisateurs dont une 10aine qui vont déménager sur le nouveau site.
- une liaison fibre 20mb + une liaison sdsl pour la voip
- le NAS est effectivement en réseau en smb (les utilisateurs des 2 sites auront besoin de travailler sur les mêmes fichiers office en même temps).
- Pour ce qui est de "Faire du diag sur un tunnel qui ne remonte pas", je ne sais pas si ça sera dans mes compétences, je suis juste un technicien, j'ai réussi à faire une connexion IPSec avec le deuxième site (qui fonctionne pour le moment, pas beaucoup de besoins contrairement au prochain site). Mais ça s'arrête là.
 
Merci encore.

On peut aussi utiliser un peu tout ça ensemble.
 
Souvent les réseaux MPLS des opérateurs ont une présence dans des datacenters. C'est à dire que l'opérateur peut livrer un accès MPLS sur un serveur/routeur situé dans le datacenter.
 
On peut donc louer quelques U pour un routeur dans un datacenter, relier ce routeur au reste de ton réseau MPLS et s'en servir ensuite comme passerelle avec un ou plusieurs tunnels IPSEC.
 
Ceci dit, pour relier un seul site, ce ne sera pas très bon marché non plus.