Réseau d'entreprise et VPN

Réseau d'entreprise et VPN - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 30-08-2006 à 15:13:01    

Bonjour à tous,
Dans le cadre d'un stage je dois mettre en place le réseau d'une PME.  
Celle ci possède 2 agences qui doivent être reliées par un tunnel VPN, et des vendeurs itinérants devant se connecter en sans fil au VPN (via un client VPN fournit par NetGear). Le centre du réseau est un routeur-firewall VPN NetGear avec 2 ports WAN et 4 ports LAN, il gère le NAT, le DHCP et fait Proxy DNS.
Derrière ce routeur se trouvent un serveur sous windows pour la gestion du stock et un standard téléphonique sous Astérix (Linux), et bien sur le LAN de l'entreprise. J'ai un serveur que je peux éventuellement rajouter en rab (4 ports LAN sur le NetGear).  
J'ai fait le plan suivant:
http://www.casimages.com/img/06083002452693863.jpg
 
Je suis débutant en réseaux (il y a 3 semaines je ne savais pas ce qu'était un NAT  :D ) et je voulais savoir avant de commencer à tout mettre en place si l'architecture que j'ai pensé était bonne.
Notamment j'ai quelques questions:
- dois-je laisser le routeur faire DHCP, NAT et Proxy DNS ou y dédier un Windows Serveur 2003 derrière le routeur ?
- d'après ce que j'ai compris, pour faire mon VPN, je dois avoir un serveur Active Directory pour les droits d'acces, pour l'instant je pensais le mettre sur mon serveur de gestion commerciale (Windows Server 2003)
-  faut il que je mette mes 2 lignes WAN en "roll over" (quand l'une est down l'autre prend le relais) ou en "load balancing" (les 2 fonctionnent simultanément) dans ce dernier cas vais-je gagner en débit en additionnant une ligne Free et une ligne CI ou serais-je limité par la ligne FT (je dois être à 9db d'atténuation)?
 
Et si vous avez une autre architecture ou des idées qui vous viennent n'hésitez pas à me le dire!
 
Voilà, merci de votre aide !  
 

Reply

Marsh Posté le 30-08-2006 à 15:13:01   

Reply

Marsh Posté le 30-08-2006 à 16:43:44    

Joli sujet de stage ! Très intéressant.
 
Alors pour tes questions, tout dépend de ton budget. J'ai déjà travaillé sur du VPN sans réseau Active Directory : les tunnels étaient gérés par des firewalls (d'une autre marque que Netgear).
Je vais t'expliquer comment j'avais fait pour te montrer une solution qui marche (enfin j'espère qu'elle marche toujours :)).
Je devais faire un réseau commun avec 3 sites distants. Chacun devait communiquer avec le site central pour avoir accès à une base de données clientèle. Là où la configuration a été simple c'est que chaque site distant avait une connection internet pro avec IP fixe. Comme on était en IP fixe, il suffissait de déclarer que :
IP_site_distant_1 client VPN de IP_site_central
IP_site_distant_2 client VPN de IP_site_central
De même pour le 3.
Après tu n'as plus qu'à gérer l'ouverture des bons ports pour l'établissement du tunnel VPN et ca marche.
 
Donc pas besoin d'avoir du Active Directory sur ton réseau : ca évite d'acheter une licence Windows 2003 server. Tes routeurs peuvent faire du DHCP mais tu peux alors segmenter ton réseau en plusieurs sous-réseaux (un par site) : plus simple à manager. Tu as juste à mettre un masque de sous-réseau adéquat pour permettre le dialogue entre les PCs de l'ensemble du réseau (ex : ip site distant en 192.168.x.x et masque réseau 255.255.0.0).
Pas besoin d'avoir un serveur derrière le routeur : les tunnels VPN sont gérés par tes firewalls (vérifie bien qu'ils peuvent faire client / serveur VPN : je ne vérifie pas cette info).  
 
Pour tes 2 lignes WAN, aucune idée. D'instinct je les mettrai en load balancing parce que je pense que si l'une tombe en panne, l'autre prend alors tout pour elle puisque les 2 lignes équilibrent les charges. Donc si l'une est HS, l'autre prend 100% de la charge et puis voilà. A vérifier mais je pense que ca devrait marcher. Lors de mon dernier stage (moi aussi je suis étudiant), la société avait mis un accès internet 100Mbps (je travaillais dans l'administration publique donc ils ont des moyens !) géré par deux serveurs en load balancing : c'était pour gérer le débit important et les nombreuses requêtes. Et aussi, ca leur permettait d'offrir un accès internet même si l'un tombait. Comme c'est la même technologie dans ton cas (load balancing), si une connection tombe, l'autre prend donc toute la charge.
 
Sinon dans ton schéma, montre bien que tes connexions VPN passent par Internet donc les éclairs doivent etre reliés aux modem qui sont reliés au routeur.

Reply

Marsh Posté le 30-08-2006 à 18:44:27    

Merci de ta réponse,
 
Quand tu dis que tu n'as pas besoin d'Active Directory, comment fais tu pour faire la différence entre un admin qui se connecte au VPN et un utilisateur lambda?
 
Pour les 2 lignes WAN le truc c'est que en load balancing, le client doit indiquer l'IP Free ou l'IP CI pour se connecter alors qu'en roll over, on a une IP dynamique (par ex chez dyndns.com) qui renvoie automatiquement l'IP du fournisseur actif. Apparement le routeur ne répartit la charge qu'en sortie et pas en entrée. Donc il y des inconvénients. Par contre si quelqu'un me dit que je double mon débit avec le load balancing là je dis oui  :D .
 


Message édité par kika93 le 30-08-2006 à 18:45:31
Reply

Marsh Posté le 30-08-2006 à 21:12:42    

kika93 a écrit :

Quand tu dis que tu n'as pas besoin d'Active Directory, comment fais tu pour faire la différence entre un admin qui se connecte au VPN et un utilisateur lambda?


soit tu es en domaine et tu as une gestion centralisée des droits, des comptes... etc ...soit tu es en workgroups et tu te paluches les comptes utilisateurs, les droits, machine par machine.
 
vu que tu n'as pas de serveurs DNS ( à moins de passer sur Active directory), faudra penser à rentrer les noms/IPs des serveurs, machines, dans le fichier host de chaque PC.


Message édité par i'm philou le 30-08-2006 à 21:12:59
Reply

Marsh Posté le 31-08-2006 à 08:54:31    

En gros, sans Active Directory c'est un peu plus chiant (n'ayons pas peur des mots) mais beaucoup moins cher. A toi de voir selon ton budget : tout tourne autour de ca !

Reply

Marsh Posté le 31-08-2006 à 10:10:39    

Apparement mon patron a pas mal de licence Windows 2003 Server donc de ce côté pas de souci. Je ne veux pas passer par les fichiers host par ce que une fois mon stage fini il faut que mon boss puisse ajouter des ordis facilement (il s'y connais un peu mais pas trop). Donc vendu pour Active Directory à priori.  
Maintenant j'ai 2 questions: à quoi sert un serveur DNS dans un réseau comme celui ci exactement (mon routeur avec l'option Proxy DNS ne suffit-il pas?)? et est ce que je peux installer Active Directory sur mon serveur de BDD sans perte de perf (c'est un bon PC, et je pense pas qu'Active Directory bouffe beaucoup de resources).  
Merci de vos réponses!

Reply

Marsh Posté le 31-08-2006 à 11:28:16    

le soucis avec ad et vpn est le flux qui transite tu risque d avoir des  lenteurs
il faut dc bien etudier le type de flux (data , profil....) ainsi que l architecture AD
 
idalement,  
decharge un peu ton routeur
met ton dns ailleur ( par ex un vieux pc sous linux avec bind ) ce regle ton pb de fichier hosts qui st ingerables
AD est gourmand donc un serveur à part
 
il faut aussi bien definir quoi est stocke ou (profil, doc..) que se soit pour paris ou calais, pour les nomades c'est un cas à part
 
il existe des solutions de svg par appliance que tu px mettre à calais et qui sert de zone de stockage
 
 
une autre piste vraiment pas chere : SAMBA qui emule parfaitement un domaine ad pas besoin de lic , il te faut juste un serv unix qui st plus fiable que les serv windows

Reply

Marsh Posté le 31-08-2006 à 11:57:08    

Je n'y connais rien en Linux donc je préfaire rester en Windows (j'ai déjà assez de mal comme ca avec Asterix...), mais à quoi sert le DNS (un exemple concret serait le bienvenu : ) ?
 
Sinon "svg par appliance" quezaco?
 
Au niveau du flux qui va transiter c'est vraiment pas énorme, essentiellement des (petites) requêtes dans Oracle, à 5 utilisateurs simultanés grand max, et ce 2 à 3 fois par jour par utilisteur. Ca vaut quand même le coup de mettre Active Directory à part?  
Quand tu dis "qui stocke ou" que veux tu stocker? pour moi il y a juste les groupes d'utilisateurs à enregistrer dans AD pour gérer les droits d'acces au VPN et puis c'est tout (pas ou très peu de docs à stocker et/ou partager). Quoi d'autre auquel je n'aurais pas pensé?
 
Merci!


Message édité par kika93 le 31-08-2006 à 11:58:54
Reply

Marsh Posté le 31-08-2006 à 12:01:22    

dns  
ex :  
sans dns  
ping mamachine
reponse hote inconnu
 
avec dns (mamachine ---> 192.168.45.21)
ping mamachine
reponse de 192.168.45.21
etc
 
le dns resoue la relation nom netbios et adresse ip dans les 2 sens (dns et reverse dns qui sont lies

Reply

Marsh Posté le 31-08-2006 à 12:04:40    

la suite
appliance un boitier qui contient un os , lecteur graveur
enfin ca depend du modele et qui te sert de zone de sauvegarde avec possiblilite d export vers dvd cd bande...
 
je ne me souviens plus d un nom mais je me renseigne si ca px t interesser

Reply

Marsh Posté le 31-08-2006 à 12:04:40   

Reply

Marsh Posté le 31-08-2006 à 12:05:09    

Arrêtez moi si je me trompe, mais il n'y a aucun rapport entre le VPN et ton AD. En gros le VPN va permettre de relier les 2 réseaux, faisant en sorte que ton petit site distant soit "comme si il était a coté" de ton gros site. Ce sont les routeurs qui vont normalement gérer le VPN (routeur à routeur, sauf pour les clients itinérants qui utiliseront un soft pour se connecter au routeur principal et établir le tunel VPN) donc n'importe qui qui sera sur le petit site distant pourra taper sur n'importe quel bécane du site principal.
 
A partir de là, l'intégration du site distant à l'active directory semble tout à fait possible, comme cela a été dis plus haut la seule limitation sera la bande passante, c'est pourquoi en général (enfin les cas que j'ai vu) les sites distant ont leur propre serveur et leur domaine propre.
 
Mais je peux me tromper :)


Message édité par meulator le 31-08-2006 à 12:07:59
Reply

Marsh Posté le 31-08-2006 à 12:11:44    

bien vu meulator
il vaut mieux dissocier les pb
 
et kika ne te complique pas la vie
contacte une socite specialisée, il te feront une etude et un devis gratos
cela te donnera des idees et ne te couteras pas un rond
 
j ai deja fais le cout plusieurs fois , pas d inquietude les devis st tj hors de prix car il sveulent te refourguer du matos....

Reply

Marsh Posté le 31-08-2006 à 12:13:41    

Ah ca m'intéresse. Donc on peut se faire un domaine et gérer les droits utilisateurs sans Active Directory. Quel sont les inconvénients à ne pas utiliser AD?
Pour mon site distant il ne se compose en réalité que d'un unique poste utilisateur (pour l'instant, mais même dans le futur ca ne va pas dépasser les 2 postes lol), est-ce vraiment nécessaire que je lui adjoigne un serveur : /

Reply

Marsh Posté le 31-08-2006 à 12:14:45    

mdr bien joué pour le coup du devis, je vais y penser ; )
Edit: Si tu as des sociétés à me filer ca m'interesse (en MP pour pas faire de pub comme tu veux  ;) )


Message édité par kika93 le 31-08-2006 à 12:16:35
Reply

Marsh Posté le 31-08-2006 à 12:28:27    

kika93 a écrit :

Ah ca m'intéresse. Donc on peut se faire un domaine et gérer les droits utilisateurs sans Active Directory. Quel sont les inconvénients à ne pas utiliser AD?
Pour mon site distant il ne se compose en réalité que d'un unique poste utilisateur (pour l'instant, mais même dans le futur ca ne va pas dépasser les 2 postes lol), est-ce vraiment nécessaire que je lui adjoigne un serveur : /


 
 
1) pour gérer plusieurs utilisateurs, des droits d'accès a des répertoires et des fichiers par utilisateur, oui tu as besoin d'un active directory.
2) Si ton site distant n'a que 2 postes, effectivement il n'y a pas besoin de serveur... tout dépend de ce que font ces 2 postes, et de pourquoi ils ont besoin d'être reliés au site principal : si c'est pour récuperer des fichiers qui sont sur le serveur principal, autant faire un serveur FTP, exit le VPN, tu aura sans doute même de meilleurs performances. Par contre si c'est pour utiliser un applicatif qui est installé sur le serveur, le Vpn te sera utile.
Il faut d'abord définir des besoins précis, et après voir ce qu'on peux faire avec ce qu'on a :)

Reply

Marsh Posté le 31-08-2006 à 12:29:39    

Citation :


 
et kika ne te complique pas la vie
contacte une socite specialisée, il te feront une etude et un devis gratos


 
 
Dans ma boite ils font payer les devis  :ange:


Message édité par meulator le 31-08-2006 à 12:29:57
Reply

Marsh Posté le 31-08-2006 à 12:33:24    

Non ce n'est pas pour echanger des fichiers mais pour acceder au serveur Oracle via le logiciel de gestion (applicatif client à l'agence et applicatif serveur sur le serveur Oracle).

Reply

Marsh Posté le 31-08-2006 à 13:10:08    

kika, je t ai laisse des info en mp


---------------
pes
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed