Bonjour,
 
Voilà, je dois remplacer une architecture existante : 1 siège, 17 sites distants. A l'heure actuelle cette structure fonctionne mais elle a été mise en place par un prestataire dont nous allons nous séparer prochainement et qui rembarque ses Firewalls (des pcs sous Freebsd). Tous les sites distants sont en VPN site to site vers le siege pour attaquer un serveur TSE, rien d'hallucinant donc. Chaque site a une ligne SDSL, au niveau des performances il n'y a pas de soucis.
 
Je cherche donc des solutions pour remplacer cette architecture enfin en réalité surtout sur quel matériel me baser pour cela. Il n'y a pas vraiment de contraintes, si ce n'est qu'il y a une dead line (on a encore 3 bons mois donc pas d'affolement) que la coupure doit etre la plus courte possible, une solution fiable (genre il ne faut pas rebooter les matos toutes les semaines!) et qui doit pouvoir supporter au minimum le double de sites en vue d'une croissance rapide, et bien sûr le prix le plus bas possible.
 
J'ai d'abord pensé à Cisco,  mais j'en suis vite revenu : d'abord pour le prix du matos prohibitif, deuxièmement parceque chez Cisco pour monter un truc aussi bête qu'un VPN c'est pas intuitif etc... ok c'est du super matos, mais là ça ne le fait pas.
 
Ensuite, j'ai pensé a SonicWall : j'aime beaucoup leurs produits, tout est clair, le support est plutot bon, les prix abordable. Je pensais a un NSA 3500 (qui fait du loadbalancing en + ) pour le siege et des TZ150 pour les sites distants.
 
Qu'en pensez vous? Que vallent les solutions Arkoon, Netasq et consors, que ce soit au niveau de la qualité du matos et de configuration, du prix d'achat, du support et de la disponibilité? A part monter sois même des bécanes sous Linux, en applicance toute prête quelle serait la solutions la plus économique?
 
Merci à tous
 

question: pourquoi veux tu t'éloigner des solutions Pfsense / Ipcop?

tu prends un accès MPLS entre ton site central et tes sites distants et t'as plus rien à gérer

Oui effectivement un L3VPN en MPLS c'est le plus simple mais c'est pas le moins cher

après quand tu dis "Chaque site a une ligne SDSL", d'accord mais pour livrer quoi comme service ? Internet? Interconnexion Ethernet? autre?

J'ai 10 sites distants reliés au Siège aussi (Association)
On a des firewall sur chaque site et des VPN via les firewall.
Bon après faut aussi calculer le coût global, de maintenance, de temps à gérer les pannes, la prestation d'installation, etc ... une solution MPLS peut être aussi envisagée, surtout si tu veux faire ensuite de la téléphonie sur IP. (mais c'est quand même bien cher !)

 
 
Parceque ça bouffe du temps de configurer les bécanes, et qu'au final ça va couter + chere qu'un firewall all in a box : acheter un pc (même un veau) + acheter une deuxieme voir 3eme carte réseau + l'installation + la configuration, trop long et du coup trop chere... et j'ai pas 20 machines un peu vieille genre P3 sous la main
MPLS c'est genre le "global intranet" made in Oleane a l'époque? C'est facturé combien?
 
Sur la majorité des SDSL ya uniquement du traffic data (internet) et sur certains (dont le siege) il y a voix + data (d'ou l'augmentation du débit pour supporter les 20 sites distants avec 2/3 machines qui attaquent le serveur TSE.
 
Si vous avez besoin de précisions, posez les questions je tâcherai d'y répondre
 
merci pour les réponses

 
 
Et tu as quoi comme Firewalls? (c'étais un peu le but de ma question a la base )

Des checkpoint Safe@office (mais ca m'a l'air pas vraiment tip top)

j'ai compris que tu veuilles te baser sur des solutions propriétaires et tu n'as pas tord mais ce que tu avances : long à configurer... c'est faux. Mettre en place un vpn lan2lan c'est extrêmement rapide et ça marche extrêmement bien aussi.

A mon avis, quand on sait faire, ca va vite, quand on sait pas, c'est bcp plus long

oui c'est sûr.

 
 
Nan mais c'est pas le problème, j'ai déja configuré de l'IPcop en Lan to Lan vers du cisco ou du sonicwall, et en effet ça fonctionne bien.
 
Je vois juste pas l'intérêt! Genre même si je prends un dell a 250€ ttc, ça coute plus chere qu'un Sonicwall tz150... et tu peux dire ce que tu veux, ça prendra plus de temps a configurer, ne serais ce que parcequ'il faut ajouter une carte réseau a la main, installer la distrib (quelle qu'elle soit) et pour l'installer il faut avoir un clavier une souris et un écran... certes je pourrais me trouver 20 machines d'occaz pour le faire, et 20 cartes réseau d'occaz mais bon, c'est simplement galère! En + faut prévoir du spare si une machine crame (et un pc ça crame quand même plus facilement qu'un firewall...)
 
Bref, c'est gentil de pousser de ce coté là, mais en terme de matos "tout fait" je veux bien vos conseils ou vos impressions sur les matos que vous avez mis en place (et je suppose qu'il y a pas que du linux!!)
 
 

je parlais de la config pour le lan2lan...
Je pense comme toi, si on a le budget mieux vaut se tourner vers des solutions propriétaires, plus sûr et plus robuste.

Netasq c'est pas mal et relativement facile a conf.
 
1 F200 sur ton siege et des F25 ou F50, suivant la taille, sur tes sites distants.

merci je vais voir de ce coté la tête que ça a!

Chez nous on a 2sites centraux équipés de Bewan LX200H et 23 sites distants avec des Secure 50 (ou Secure 10). Tous les sites sont "VPNisés" et les sites distants font du TSE. Ca marche plutôt bien, mais il arrive que les VPN tombent sans raison et il faut les remonter à la main (assez fastidieux). Sinon le support Bewan est pas terrible du tout (pas de réponse des demandes de ticket, hotline injoignable) et les manuels sont loin d'être explicites (surtout pour la partie interface graphique). Si c'était à refaire, je prendrai des Sonicwall T170 pour mes sites distants, c'est un poil plus cher mais ça marche mieux

Merci machinehead02 pour ton expérience. En effet, j'ai eu de très mauvaises expériences avec Bewan, donc je boycott direct! J'hésite aussi entre le TZ150 ou le TZ170, sachant que mes site distant sont vraiment petits et peu dépensiers en terme de bande passante.
 
J'ai eu un peu de retour sur du Netasq, les produits ont l'air correct bien que peut être un peu jeunes (c'est l'impression que ça m'a fait, je ne sais pas ce qu'il en est vraiment). Et surtout, j'ai l'impression qu'ils sont beaucoup plus chere que Sonicwall par exemple... bon c'est vrai que la majorité des options sont incluses de base (filtrage url, antivirus) mais ces options ne sont vraiment pas ma priorité, même si ça peux rajouter un "+" ça peut etre sympa... j'attends d'avoir les prix réel pour voir si j'écarte ou pas Netasq!
 
D'autres idées, d'autres marques?  
 
merci a tous

Au fait si vous avez un comparo tout fait entre les différents acteurs du marché sur certains modèles, je suis preneur (genre une review sur un site de hardware...) Merci!

Je crois pas qu'on puisse considérer qu'un F200 est un produit jeune.
Puis ils sont régulièrement mis a jour. Actuellement ils sont en version 7.
 
Je pense effectivement que Netasq c'est plus cher que Sonicwall.
 
Moi mes préférences pour ce genre de produits (grosses PME on va dire) c'est plutot Netasq ou Netscreen.
 
je pense que tu devrais donner ton budget en fait, au moins pour l'appliance de ton site central.

Un prestataire m'avait montré qu'on avait un Netgear ProSafe je ne sais plus quoi, qui fait office de firewall + switch.
A priori, les utilisateurs ne se plaignent que très rarement, et la série ProSafe est garantie à vie (c'est pas mal) et en général c'est pas hyper cher non plus.

Dans ce genre là
http://www.grosbill.com/4-netgear_ [...] ux-routeur
Après, tu dois avoir des routeurs non ?
Penses tu pouvoir faire du VPN avec ceux ci ?

Je vais regarder ça
 
pour le budget, c'est "le moins chere possible"
 
en gros, pour le tout en SonicWall (appliance + sites distants) j'ai eu une cotation à env. 8500€ ttc. Je cherche donc en priorité sous ce tarif, la seule chose qui pourrait augmenter le budget serai des fonctionnalitées avancées mais je vois pas bien quoi... même du VPN-SSL, c'est chouette, sauf que j'ai aucune idée comment ça se comporte en TSE en particulier pour les impressions.

Bon je viens de regarder la gamme Netgear... niveau prix, y'a pas photo!!
 
http://www.netgear.fr/produits/pro [...] d=FVX538v2
 
-> 270€ quoi... comparé aux 2000€ d'un NSA2400  
 
Ouch!
 
Apres les débits VPN sont pas au top.. voir peut etre même faible... 60MBPS vous en pensez quoi pour env 50 clients TSE?

ben si tu as =<20 sites avec =<3Mbits/s d'interconnexion SDSL, 60Mbits/s ça suffit amplement
 
par contre Netgear... humm certes c'est moins cher mais tu n'auras pas forcement la même stabilité qu'avec du matériel plus évolué

Ceci dit, dans tes 8500 €, tu as quoi ?
Car 20 sites avec chacun une solution, ca fait 425 € par site    
Si tu veux de la stabilité et un seul fournisseur = MPLS.
D'un coté, aucun achat de matériel, que de la location.
Si ton réseau tombe en rad, tu as de bon délais de rétablissement.
En terme de besoin matériel, ce n'est qu'un routeur -fourni- par le prestataire.
Puis si tu veux évoluer vers de la téléphonie sur IP, c'est même possible.
(surtout si tu as déjà des SDSL partout - d'ailleurs pourquoi des SDSL partout ?)

 
 
Oui, j'ai lu quelques commentaires qui ne m'ont pas rassurés au niveau de la stabilité... je vais tout faire pour écarter cette solution!
Si je suis ton raisonnement 20x3 = 60 = pas dévolution possible! (cf plus haut, quand je dis que le nombre de site est amené à doubler et par là meme occaz le nombre d'users!) Faudrais que je fasse le calcul de ce que bouffe une session TSE, et la conversion byte / bits
 

 
 
8500€ : env. 2500€ pour le site central avec un gros firewall de chez sonicwall (NSA3500) , un peu moins avec un NSA2400
et 20x le prix d'un TZ150 = grosso merdo 5000€, d'ou les 8500
 
C'est approximatif, ya des garanties à l'année qui sont payante également (remplacement du matos en J+1)
 
les SDSL c'est principalement pour avoir quelque chose de stable, et surtout pour le rétablissement sous 4heure d'une ligne qui serait tombée ; ça c'est déja en place, je ne pense pas y toucher car c'est plutôt fiable et les mecs de chez orange business sont plutôt réactifs.
 
Le MPLS si c'est bien ce à quoi je pense (ancien global intranet chez oleane?) c'est sans doute pas mal, mais ça a un cout mensuel, donc au bout de X mois ça reviendra plus chere qu'avoir notre propre matos. Coté VOIP, certains sites et le siege sont déja équipés.

 
Effectivement, ça a l'air + chère j'ai eu une cotation aujourd'hui mais pas regardé en détail. Le problème chez Netasq c'est que leur plus petit modèle le F25 est déja ultra surdimensionné pour un site distant avec 3 / 4 postes! Juniper c'est pas la peine, trop chère et en toute sincérité je pense trop complexe pour l'utilisation basique qui va en être faite, un peu à l'instar de Cisco.

Tiens, suite à un post sur ce même forum, j'ai vu du Fortinet, et me suis souvenu que j'en avais entendu beaucoup de bien.. en cherchant un peu, ça à l'air asser intéréssant coté prix et coté perfs... qu'en est il de la configuration/support?

j'ai bossé avec cyber networks qui installait des fortinet sur mon réseau en cisco, voilà l'image que je retiens de fortinet : bugs, bugs, bugs...
 
ils ont dû upgrader 3 fois pour faire fonctionner la haute dispo

ok c'est pas rassurant.  
Merci pour ton avis!  
si quelqu'un veux défendre Fortinet... go!

 
Je te déconseille très fortement de t'orienter vers ce genre de solution.
Pas pour les performances, mais en terme de stabilité et de qualité de connexion, c'est très médiocre.
Je me suis battu pendant près d'un an avec des FVX538 et des FVS124, sans comprendre pourquoi on avait des pertes de connexions et des pertes de paquets (netgear nous répondait que ça devait venir de l'opérateur) sur le VPN. En essayant diverses configurations, des modems différents, rien à faire !
Ca fonctionnait, mais ce n'était pas stable.
Ensuite après différents essais on a tout remplacé sur nos sites distants par des Cisco 877, et comme par miracle,  les problèmes ont disparus ...
Pour info le modèle de cisco 877 que nous utilisons nous coûte environ 280€ HT.

merci Nicool pour ces informations, ça confirme mes craintes! Ca fait faire une économie a la base mais si c'est pas stable c'est de l'argent jeté par les fenêtres! Autant y mettre le prix et avoir quelque chose de rockstable!
 

up! Que pensez vous de FunkWerk?

http://www.ldlc.com/fiche/PB00067534.html

http://www.ldlc.com/fiche/PB00067533.html

Je te conseillerai comme d'autres de t'orienter vers l'offre entrée de gamme de gros constructeurs : tout le monde cite Cisco mais il y a aussi Juniper (les SSG5 sont vraiment d'excellents produits à mon goût, pour le prix à toi de voir). Au niveau stabilité et hardware, c'est très recommandable.
 
Tu y gagneras aussi une doc vraiment très complète (point crucial à mon goût), des possibilités d'aide multiples (support, forums officiels et non-officiels dédiés, blogs divers, etc.), des mises à jour de firmware régulières.
 

 
Trop cher ? Mmh... Tu peux citer des chiffres ?  
 
Trop complexe ? L'interface graphique web est très bien faite (ce qui n'est pas le cas chez Cisco je crois). Avec la doc (excellente) tu configureras très rapidement tes équipements.

Chez mon fournisseur habituel c'est bien moins cher, je suis d'ailleurs surpris par la différence:
 
http://www.pc21.fr/pro/cisco_877_s [...] ec-k9.html
 
 
Et si la version simple K9 suffit (ça devrait être le cas pour faire une point de terminaison VPN) ça reviendra encore moins cher :
 
http://www.pc21.fr/pro/cisco_877_i [...] 77-k9.html

 
 
Pour l'interface graphique chez Cisco, il y a SDM qui est tout à fait honorable.
Mais que ce soit chez Cisco ou chez les autres je ne suis favorable à l'interface graphique que pour débuter, avec un peu d'entrainement la ligne de commande permet à mon avis de beaucoup mieux maitriser ce qu'on fait et d'arriver à une configuration qui ne fait que ce dont on a besoin et pas autre chose.
 
Mais sinon effectivement je ne cite que Cisco car c'est ce que je connais, je ne doute qu'il y a d'autres solutions de très bonnes qualité. J'avais d'ailleurs implémenté des VPN avec des firewalls sous linux qui étaient très satisfaisants ça peut aussi être une bonne solution si on a les compétences qu'il faut en interne.

l'ASDM de Cisco est plutot pas mal dans sa dernière version.
 
De toute manière les firewall ne sont gérables qu'en interface graphique quelque soit le constructeur. En cli, avec les groupes d'objets, les zones et toutes les règles, cela devient vite un enfer.

Ca semble être des "soldes" aussi vu qu'il y a-45% dessus ....
Si je pige bien, ca fait switch 4 ports, 1 port WAN, 1 port DMZ, Firewall, VPN.
Faut-il avoir à l'autre bout forcément un Cisco ou pas ?
 
Mais bon SUR COMMANDE  Délai indicatif de 8 Jours environ ( non garanti )