Bonjour,
 
Ma boite est en train de se lancer dans un projet de partitionnement de ses services.
On voudrait grosso modo aboutir à :
- front-office : une ligne dédiée
- back-office : une ligne dédiée
- serveurs FTP : une ligne dédiée
 
Avant même de rentrer dans les détails, est-il possible de mettre en place plusieurs lignes internet pour des serveurs situés sur le même sous-réseau ?
Genre :  
- fontoffice : serveur 192.168.10.1 et 192.168.10.125
- backoffice : serveur 192.168.10.4 et 192.168.10.250
- serveurs FTP : serveur 192.168.10.52 et 192.168.10.97
 
J'imagine qu'en jouant sur les passerelles par défaut ça devrait le faire non ?
 
Merci !
 
(la suite au prochaine épisode )

Il te suffit de faire du nat en fonction des ip sur ton routeur
Pour faire simple un exemple:
 
nat on $ext_if inet proto tcp from any to $IP_pub port xx -> $srv_ftp  
 
Comme cela tt flux arrivant a destination de l'ip pub_ftp port xx sera rediriger sur les server ftp.
Cette regle ne sera pas valable pour votre équipement (synthaxiquement), c'est pour l'explication que je l'ai mis.
Pour le lan par exemple il faudra binat une ip pub sur l'equipement "frontal" du lan (suivant votre archi)
Idem  pour le reste
 
(la passerelle ne change pas c'est en amont que ca se passe)
 
ip0---------|        |----ip0-----| LAN
Ip1---------routeur------ip1----|FTP
Ip2---------|        |------ip2---|Other

Oui mais j'ai plusieurs serveurs FTP / HTTP / etc...
Je recommence, l'exemple du réseau privé est incorrect puisque en l'occurrence les serveurs sont dans la DMZ avec des IP publiques. Je voudrais  
 
ligne1 == modem1 == firewall1 == 200.200.200.1 et 200.200.200.150 (serveurs HTTP)
ligne2 == modem2 == firewall2 == 200.200.200.5 et 200.200.200.58 (serveurs FTP)
ligne3 == modem3 == firewall3 == 200.200.200.3 et 200.200.200.70 (serveurs backoffice)
 
Sachant que pour l'instant, tous ces serveurs sont bien évidemment sur le même switch.

c'est le bordel ca je trouve
(c'est pour ca que j'ai parler de binat aussi)
*
ligne0 == modem0 ==|  |=====etc...
ligne1 == modem1 ==FW ====200.200.200.1 et 200.200.200.150  
ligne2 == modem2 ==|   |====200.200.200.1 et 200.200.200.150
 
je vois pas le probleme ??
plusieurs server ==> load balancing ? ou plusieurs services ?

Ton explication me va bien... ça m'évite de changer toute l'archi.
Par contre j'imagine que je vais devoir changer de firewall... t'en as un en tête qui sait gérer plusieurs lignes (j'ai un ASA 5510) ?
 
EDIT : rien à voir mais c'est techniquement réalisable d'avoir une machine qui recevrait sur une liaison et émettrait sur une autre ?  

oui via les des route from / route to
Pour ma part je monte des FW sous BSD avec PF c'est vraiment bien foutu,
probleme ceci etant dis par rapport a l'integration en Prod car personne ne le gere vraiment derriere. Et il ne souhaite pas integrer un mec dans les equipes qui serait la pour rajouter une regles pâr mois..
Je connais pas trop trop les Cisco, juniper et nokia font du bon matos je sais aprés faudrais voir ca plus précisement.
Vous chercher pas un presta ou un employé ?? ^^
 
J'ai retrouvé ma doc sur les load entrant / sortant ==>http://www.openbsd.org/faq/pf/fr/pools.html

dsl erreur de post

Merci de ton aide.
Pour l'instant on cherche rien, on veut juste savoir si c'est faisable, et comment faire
 

je t'ai repondu  
J'ai retrouvé ma doc sur les load entrant / sortant ==>http://www.openbsd.org/faq/pf/fr/pools.html
via les route to et un algo en entrant (ex round robin)

Ah scuze
Merci je regarde.

no pb ^^

Alors rapidement.
En bricolant, tu peux utiliser les routeurs de chaque ligne, et jouer avec les routes par défaut des serveurs, effectivement, ca fonctionnera.
Sinon, la solution c'est du policy-based routing. Mais je suis pas convaincu que l'ASA supporte ça (il faut que je vérifie, mais j'ai pas d'ASA sous le coude). Tu fais arriver toutes les lignes sur l'ASA, et en fonction de certaines policy (des access-list, donc des ip source, c'est des policy), il fait le routage ...

Sinon, la solution c'est du policy-based routing.
 
du routage quoi : j'aime ces joli nom, mais ca c pr les DSI ^^
Et tu n'as pas a jouer avec les routes des server.
Il garde la meme GW, Coeur ou frontal. c'est lui qui fera le taf.
 
/HS, j'ai regardé un peu l'asa, et ben 2500€ pour ca...

euh, tu m'expliquera comment tu fais du routage en fonction de la source.
Ca n'est pas 'standard'. Une route, c'est une ip/lan de destination, et une gateway. Un point c'est tout.
si tu fais autre chose, tu l'appelles comme tu veux, mais c'est pas du routage ...

Sinon, pour le prix, oui, c'est pas cadeau (pas 2500€, faut pas dire de conneries non plus) mais une fois en place, c'est faible, et t'y touches plus.
Effectivement, si t'es un brave geek, tu peux faire ca en openBSD, mais bonjour la maintenance, et le transfert de compétences ... (ne te méprend pas, je dis pas ca par méconnaissance).
En entreprise, tu peux pas jouer a ca (monter ta petite box linux/*BSD pour faire FW, routeur, vpn) a moins d'avoir une vraie equipe d'admin derrière, et quand on voit ce qu'il veut faire, ca a pas l'air d'etre son cas ...

oO t sur ?
j'appel ca du routage, tu appel ca par un autres termes.
C'est vrai que l'on apprend des beaux termes en école, mais sur le fond tu m'a compris, ca reste du routage.
 

je suis entierement d'accord ==< c'est faible, lapsus revelateur, lol
 

ne t'inquite pas je suis d'accord avec toi.
Nous avons une solution avec 2BSD en frontal chez un client en HA, (y juste quelques 300 agences qui passent par la)
Problème étant, c'est vrai qu'il est preferable d'avoir quelqu'un en place pour la gestion. et je ne parle pas nonplus du transfert de competence... assez désastreux a transferer..
C'est bien de la prod, mais comme tu as dis ce n'est a faire qu'avec un mec pr ca derriere.
Edit quoique et encore : ca depend de l'infra, j'ai encore jamais crasher un OBSD (je bosse que sous open (pour les FW etc..) j'ai fais du free avant, PAS de linux, c'est pas le meme monde.
Obsd joue dans la meme cours que cisco ou juniper, meme si le pourcentage de part de marché se compte sur les doigts d'une main.
Un Obsd comme je disais est aussi super stable, si ta 5min va faire un tour la => http://www.openbsd.org/fr/users.html
je sais qu'avec cisco ont pourra me donner 1000ex de Grand compte qui utilise pour X ou X chose mais la ont voit quand meme que cert gouvernement utilise "un truc gratos pour securiser sont infra de prod" jpense qu'il y a rien a ajouter.
 

 
ne tkt je bosse et je sais de quoi tu parles ^^
 
2500€ ttc, prix misco. dsl j'ai pas appelé mon comm a 1h pour savoir..xD
 
Pour terminer je sais bien ce que tu veux dire et c'est vrai que c'est svt du beaucoup pour du si peu (si tu voit ce que je veu dire)
 
dsl pour les termes et l'ortho, je suis juste feignant.(également pour ca que je fais jamais de doc lol)

Bonjour !
 
Alors effectivement, je suis "une" à m'occuper de l'administration, donc plus les manips à effectuer seront simples, mieux je me porterai
trictrac > t'as moyen d'avoir l'info pour le policy-based routing et l'ASA, je trouve rien sur le site de Cisco.
Selon vous, le plus "propre", c'est de tout faire passer par le même routeur (via policy-based routing) ou justement d'utiliser un routeur indépendant par ligne ?
 
Merci !
 

Hum...
http://www.cisco.com/en/US/product [...] .shtml#pbr