Projet de VPN multisites - ligne dédiée au VPN?

Projet de VPN multisites - ligne dédiée au VPN? - Sécurité - Windows & Software

Marsh Posté le 18-02-2005 à 08:19:09    

:hello:  
 
J'ai un réseau principal auquel sont reliés plusieurs réseaux distants via des ligne dédiées, très chères.
 
Je dois monter un VPN entre tout ce petit monde, j'en suis au début de la démarche. J'aimerais juste être aiguillé pour ne pas faire d'erreur fatale ( :o )
 
Les ressources utilisées par les réseaux distants sont principalement des scripts et des émulations AS400: rien de très lourd.
 
Le site principal dispose d'une ligne SDSL 2MB, les  5 sites distants vont être équipés de connexions adsl standard. Toutes les IP sont fixes.
 
Pour l'instant je m'oriente vers
 
-site principal:
 
Une machine tournant sous linux et hébergeant routeur/firewall (c'est déjà le cas pour cette partie) et serveur VPN (openswan serait une bonne solution apparement). La distrib sera sans doute une fedora (pour homogénéiser).
 
-sites distants:  
Je comptais mettre des routeurs/firewall supportant le vpn: chaque site comportant une dizaine de machine ça devrait aller?
(ça par exemple : 3Com OfficeConnect VPN Firewall)
 
L'autre solution serait de déployer un ipcop par site distant sur une machine dédiée: je pensait tester le premier site par cette méthode pour avoir une idée des performances....
 
Je suis en train d'hésiter entre de l'ipsec et openVPN (SSL) voir autre chose...
 
Voilà si vous avez des conseils/idées pour m'orienter ce serait sympa!
 
merci  
 
(PS: ce post est d'origine OSA mais déplacé ici, à cause de son succès )


Message édité par elpoulpo le 02-03-2005 à 13:24:15
Reply

Marsh Posté le 18-02-2005 à 08:19:09   

Reply

Marsh Posté le 21-02-2005 à 08:07:56    

un avis siouplait :o  
 
et des boitiers cicso ou autres à chaque extrémité vous en pensez quoi? :??:


Message édité par elpoulpo le 21-02-2005 à 08:08:07
Reply

Marsh Posté le 23-02-2005 à 11:20:44    

Salut
Moi j'ai connecté des utilisateurs en vpn. C'est mon firewall qui sert de serveur VPN. C'est un watchguard.
Je sais que pour du multisite, il suffit d'en mettre un a chaque site. Pas forcement le meme model, cela depend du nbre d'utilisateurs.
Mais tu dois pouvoir faire la meme chose avec du cisco par exemple.
comme je sais pas ce que tu as vraiment besoin, je peux pas trop te guider.
Logiquement tu peux mettre plusieurs niveaux de cryptage mais plus c'est élevé, plus les tps de reponse seront mauvais.
Tu utilises les protocoles pptp et l2tp
Sinon, pour faire ton serveur vpn, tu peux passer par Windows serveur 2000 et +. Mais pour la secu, je sais pas trop ce que ca vaut. Mieux vaut etre derriere un firewall quand meme.

Reply

Marsh Posté le 23-02-2005 à 13:16:42    

:hello:  
 
merci pour ta réponse :jap:  
mais j'ai omis de préciser mon problème d'architecture sur le site principal et nous n'avons pas de serveurs windows, :ange:  
 
Je vais essayer de préciser mon cas.
 
pour le moment j'ai:
 

Code :
  1. - sur le site principal
  2. ---LAN -------- firewall logiciel (iptables)------routeur (FAI)----modem
  3. 192.1.1.0/24------- 192.1.1.9/192.2.1.2--------192.2.1.249/IP publique--
  4. ligne SDSL 2Mb
  5. routeur speedstream qui forward tout vers le firewall (administré par oléane)
  6. - site distant (exemple):
  7. connexion adsl standard


 
 
Différentes solutions sont envisagées: je privilégie celles qui me permettraient de laisser l'architecture du site principal telle qu'elle!
 
---- Les solutions:
 
- sur le site principal:
 
 
-VPN sous linux (openswan IPsec):
derrière le routeur speedstream ou en frontal directement
 
-achat d'un routeur firewall/VPN type cisco ou autres...:  
idem : derrière le speedstream ou en frontal
 
le passage du serveur VPN en frontal sous-entend pas mal de boulot...
(routes complexes....)
 
- sur les sites distants:
 
connexion adsl classique : appliance ("boitier" ) ou ipcop en frontal .
 
pas de souçis de ce côté en principe puisque rien n'est en place.
 
Toutes les combinaisons de ces solutions sont envisagées.  
 
Les données transitant entre les sites ne sont pas gourmandes (qq scripts +  TN5250)
 
si vous avez des idées /suggestions , merci :jap:  
 
PS: Avec des moyens financier, on ne se serait pas embêtés, des routeurs  en frontal avec les licences / utilisateur qui vont bien et basta, mais vive la facture pour 5 sites....
 
PS2: des VPN non ipsec pour ce type de données? openVPN /SSL?
 
PS3: besoin d'un titre plus accrocheur aussi :ange:


Message édité par elpoulpo le 23-02-2005 à 13:20:50
Reply

Marsh Posté le 01-03-2005 à 15:59:49    

qui n'en veut du VPN? :o

Reply

Marsh Posté le 01-03-2005 à 16:49:20    

Concentrateur VPN 3000 cisco pour le site principale + cisco 837 sur les sites distants
 
ou
 
CheckPoint VPN-1 sur le site principal et des boitiers VPN-1 Edge (administration centralisée, firewall,...) pour les sites distants...
 
Je préfère la seconde option qui offre l'avantage de disposer d'une solution de filtrage avancée....
 
 
Cdlt

Reply

Marsh Posté le 01-03-2005 à 23:01:50    

Merci pour ta réponse, c'est une solution quasi identique que j'avais déployée dans une autre boîte: 837 + 1710 sur le site principal....(ISA server pour le filtrage)
 
mais là ça va faire un poil cher....
 
 
autre question: pensez vous que ce serait une bonne idée de dédier une nouvelle ligne pour le VPN (depuis le site principal?).
 
(lignes pour VPN et internet sur les sites secondaires)

Reply

Marsh Posté le 02-03-2005 à 13:24:48    

:ange:  
 
ligne dédiée ou non?

Reply

Marsh Posté le 02-03-2005 à 18:37:19    

elpoulpo a écrit :

:ange:  
 
ligne dédiée ou non?


 
aucun interet...
 
si t'as les sous pour prendre une autre ligne, alors fais du load balancing à base de produit comme LinkProof de chez Radware.
Du disposera d'une disponibilité permanente de tes tunnels (sauf si le site distant est down of course)...mais j'ai plus l'impression que tu veux dédié une ligne pour des questions de perfs
 
Si t'as préoccupation c'est plus d'assurer une bande passante, alors je te conseille de faire grossir ta bande passante actuelle est de mettre de la qualité de service sur ta liaison (PacketShaper de chez Packeteer ou Ipanema mais là c'est la rolls)
 
 
Schusss
 

Reply

Marsh Posté le 02-03-2005 à 21:05:02    

exact notre seule préoccupation est la continuité de service, le débit est déjà largement suffisant.
 
on a une qualité de service top sur les lignes dédiées qu'on aimerait conserver en fait(jamais de down).
 
En comparaison des 10 lignes louées , la même offre en adsl débit garanti coûtera 10 fois moins cher. La ligne du site principal permet déjà un accès web à tous les sites et de la téléphonie avec Qos.
 
2 routeurs sont configurés pour ça par 2 opérateurs (lien web +global intranet)
 
Le fait de mettre une ligne dédiée serait:
- un peu plus cher mais négligeable
- permettrait de ne pas chambouler tout de suite le point de jonction principal(continuité de services)
- et permet de séparer les flux( accès web / vpn) en cas de panne de l'un u l'autre des routeurs..
 
 
c'est vachement schématisé, mais ça pourrait être une bonne idée? :)
 
edit: je jetterai un coup d'oeil demain à tes produits, merci pour tes réponses en tout cas :jap:


Message édité par elpoulpo le 02-03-2005 à 21:08:09
Reply

Marsh Posté le 02-03-2005 à 21:05:02   

Reply

Marsh Posté le 03-03-2005 à 17:56:40    

elpoulpo a écrit :

exact notre seule préoccupation est la continuité de service, le débit est déjà largement suffisant.
 
on a une qualité de service top sur les lignes dédiées qu'on aimerait conserver en fait(jamais de down).
 
En comparaison des 10 lignes louées , la même offre en adsl débit garanti coûtera 10 fois moins cher. La ligne du site principal permet déjà un accès web à tous les sites et de la téléphonie avec Qos.
 
2 routeurs sont configurés pour ça par 2 opérateurs (lien web +global intranet)
 
Le fait de mettre une ligne dédiée serait:
- un peu plus cher mais négligeable
- permettrait de ne pas chambouler tout de suite le point de jonction principal(continuité de services)
- et permet de séparer les flux( accès web / vpn) en cas de panne de l'un u l'autre des routeurs..
 
 
c'est vachement schématisé, mais ça pourrait être une bonne idée? :)
 
edit: je jetterai un coup d'oeil demain à tes produits, merci pour tes réponses en tout cas :jap:


 
 :sol:  
 
Si c'est la continuité du service, alors une solution de multihoming me parait etre l'idéal.  
--------------
Mon avis (avec le peu d'ionfos en terme de visibilité que j'ai sur ton archi: contraintes de prod, adressage, contrat en cours...:
 
Ce que tu proposes (Load-Sharing) ne peu être pour moi qu'une phase transitoire vers une solution où les flux passeraient par l'un ou l'autre des opérateurs (Load-Balancing).  
Tt çà dans l'objectif:  
1- d'avoir une disponibilité de tous les services même en cas de perte de l'un des opérateurs.
2- d'avoir une répartition des flux afin d'optimiser l'utilisation de la bande passante globale disponible?
 
Si tu veux plus d'infos ou en discuter envoie moi un MP.
 
Cdlt.  :hello:


Message édité par Tiramissu75 le 03-03-2005 à 17:57:05
Reply

Marsh Posté le 03-03-2005 à 18:29:15    

moi je te propose deux solutions :  
 
- liaison VPN oléane : tout est FT de bout en bout : fiable et sécurisé mais tu n'as pas la main sur les équipements.
 
- VPN-1 de checkpoint sur le central puis routeurs linksys BEFVP41 sur les annexes avec un VPN ipsec : fiable, plus cher à l'investissement mais tu as la main sur tout.

Reply

Marsh Posté le 04-03-2005 à 00:19:00    

Ok  
merci pour les infos, je vais tâcher de faire un schéma rapidement..
 
Les contraintes sont assez nombreuses en effet, ce n'est pas évident de résumer ça en quelques lignes.
 
On a déjà une ligne Oléane, ils nous ont proposé:
- une augmentation de débit.
- l'achat d'un pool d'ip publiques (avec suppression de leur routeur, ce qui implique une gestion directe en interne)
- la mise en place d'une seconde ligne.
 
Niveau tarif la nouvelle ligne couteraît autant que l'augmentation de débit mais nous permettrait de faire les aménagements du lien Web par la suite (et pas tout en même temps ). La priorité étant la suppression des lignes louées 64k, hors de prix.
 
Autre aspect non negligeable: tous les sites utilisent les services du site principal (web, intranets, AS400, mails) mais les sites distants ne communiquent jamais entre eux: les objectifs sont justement la centralisation et l'internalisation des solutions (suppression des liens gérés uniquement par les opérateurs, de plus tout évolue relativement souvent).
 
Je vais me renseigner sur le matériel (j'étais axé sur des pcs de bout en bout , une dizaine de machines convenables en stock)
 
merci de votre aide :jap:
 
edit: c'est effectivement une solution vraiment transitoire: la première liaison servant de test (comparaisons, etc).


Message édité par elpoulpo le 04-03-2005 à 00:20:20
Reply

Marsh Posté le 02-05-2005 à 21:35:32    

up
meme problématique
 
supprimé des liaisons à 64 k loué
 
et remplacé par des liaisons VPN
 
mais je sais pas sur quoi partir
 
jamais fait ça

Reply

Marsh Posté le 03-05-2005 à 10:03:04    

up please help

Reply

Marsh Posté le 03-05-2005 à 10:39:45    

killlkenny a écrit :

up
meme problématique
 
supprimé des liaisons à 64 k loué
 
et remplacé par des liaisons VPN
 
mais je sais pas sur quoi partir
 
jamais fait ça


 
 
tu as une base de travail j'espère ou la seule chose que tu ais c'est des lignes 64k louées?

Reply

Marsh Posté le 03-05-2005 à 10:56:25    

Question:
Pourquoi ne pas avoire choisi une appliance complète pour VPN, Routage, Firewall.
Style des boitiers: Sonicwall.
En plus à partir du TZ170 tu peux upgradé en version Enhanced(dual WAN) par ex le site principale, ce qui te permettrai d'avoire de l'équilibrage de charge et/ou une connexion de secours .
Et pour les autres sites des TZ170 normal ou 150.
Avec le pack Gateway Sécurité suite tu as tout le filtrage firewall et l'av en réseau.
Après on peut même prendre l'option serveur anti virus client - serveur.

Reply

Marsh Posté le 07-05-2005 à 15:21:11    

tu entends quoi par base de travail ?
 
j'ai une etude qui avait été faites il y quelques années pour faire du oleane ip vpn
 
mais là personne de chez francetelecom n'a chercher a me rappeller aprés mes nombreux appels

Reply

Marsh Posté le 14-05-2005 à 08:14:26    

up

Reply

Marsh Posté le 14-05-2005 à 10:51:41    

Et pour la disponibilité, pourquoi pas un backup RNIS ? mais là, avec des cisco 837 ou des linksys ça va pas le faire.

Reply

Marsh Posté le 14-05-2005 à 10:59:47    

:hello:  
 
y'a eu du neuf entre temps:
 
pour le moment nouvelle ligne SDSL, et TDSL sur les sites distants.
 
Un ipcop de chaque côté et des ips publiques/fixes. le VPN  tourne depuis 3 jours, avec pas mal de tests, tout se passe bien  :ange:  
 
Je pense rajouter un adsl standard sur les sites distants pour assurer une route de secours et envisager du load balancing.
 
 
 
au passage, un truc qui m'étonne  c'est la disponibilité "facile" d'IPs publiques (v4): la migration IPV6 est bien avancée ou quoi?
 

Reply

Marsh Posté le 14-05-2005 à 16:03:12    

mais sinon en liaison spécialisé y'a quoi comme débit maintenant ?
 
j'aimerais bien avoir des informations mais bon

Reply

Marsh Posté le 14-05-2005 à 21:34:31    

Ben toujours pareil : 64K, 128, 256 ... -> 2M. Mais comme le prix est fonction de la distance, si tu veux une 2M Paris-Nice ...

Reply

Marsh Posté le 16-05-2005 à 16:07:17    

j'arrive pas à comparer un réseau RJ45 10/100 Mo avec une liaison 2 Mb
 
il faut quoi comme liaison pour pouvoir faire comme si on était sur le même réseau
 
je m'expliques :
 
admettons que je mettes un serveur de fichier et un serveur de messagerie sur un site A
 
je veux pouvoir consulter le site A depuis le site B
 
que faut-il au minimum ?
 
sachant que la distance entre les 2 sites est de 90 km environ

Reply

Marsh Posté le 16-05-2005 à 16:10:38    

:o  bah, un réseau 10 Mbits/s c'est 5 fois plus rapide qu'une ligne 2 Mbits/s (symétrique)
 
edit: en gros
 
D'un autre côté, le prix d'un 2Mb n'a rien a voir avec un 64k
 
Après ça dépend des besoins rééls...


Message édité par elpoulpo le 16-05-2005 à 16:12:34
Reply

Marsh Posté le 16-05-2005 à 20:15:24    

"il faut quoi comme liaison pour pouvoir faire comme si on était sur le même réseau"
En théorie, il faut que toutes les liaisons soient au même débit, pour ne pas créer un goulot d'étranglement qque part. En pratique, on utilise rarement les 10/100 du réseau local, à moins de faire des transferts de fichiers volumineux. Pour des applications type client/serveur, 64K sont souvent suffisants, en liaison point à point, et en fonction du nombre de postes distants. 2 Mb, si tu as 10 postes, c'est du grand luxe !
A part les transferts de fichiers, les plus gros flux sont les impressions (genre en compta un grand livre de 800 pages). En dehors de ça ...

Reply

Marsh Posté le 17-05-2005 à 19:02:25    

il y a 50 personnes sur le site
 
relié à un AS/400 sous BPCS
 
projet de mettre le server de fichiers et la messagerie sur le meme site
 
donc tout ça dans le meme tuyaux

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed