VPN pour entreprise, choix du matériel [MAJ] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 02-08-2005 à 14:55:07
Ya plusieurs cas possibles suivants les besoins :
VPN site à site : si c'est pour faire une liaison permanente entre le site siege et des sites satellites via internet, il te faut une @IP publique par site et un équipement VPN par site. Cela permet à l'ensemble des équipements réseaux derrières les équipements VPN d'accèder aux ressources distantes (suivant le routage et le filtrage evidemment).
VPN Client à site : Un seul équipement VPN sur le site central. Le client qui a une connection internet monte son tunnel VPN sur internet (il doit evidemment etre connecté et donc avoir une @IP publique) grace à un logiciel client.
Marsh Posté le 02-08-2005 à 15:08:33
merci, très instructif
Le but de cette mise en RPV est de partager une application située sur un serveur sur le site central par le biais de clients citrix.
Il est fortement envisagé (mais optionnel pour le moment) un partage de documents (situés sur le cite central) car actuellement, c'est mail sur mail ( oui je sais ).
Une configuration "VPN client à site" suffit à ces fonctionnalités si j'ai bien compris ?
Marsh Posté le 02-08-2005 à 15:49:18
un petit up pour attirer une réponse à la question ci dessus
Marsh Posté le 02-08-2005 à 17:54:23
Selon les produits vpn utilisés, les deux sont possibles dans ton cas.
Si tu fais du "VPN client à site" cela veut dire qu'il faut installer le client vpn sur tous les postes utilisateurs, ça peut être assez lourd à gérer.
Si tu fais tu vpn site à site, c'est transparent pour les postes utilisateurs, mais cela suppose serveur qui s'occupe du vpn.
Cela dépend si tu as beaucoup de postes utilisateurs par site.
Marsh Posté le 02-08-2005 à 18:12:50
Interessant l'aspect "transparant" pour l'utilisateur.
Il y aura environ 10 utilisateurs par site qui vont utiliser le même logiciel (un ERP) situé sur le site central.
D'apres ce que tu me dis, je suis obligé d'avoir une machine serveur par site s'occupant du VPN pour avoir un VPN site à site ?
Un routeur VPN par site ne convient pas pour faire du VPN site à site ?
Marsh Posté le 02-08-2005 à 18:52:39
Quand je dis serveur, cela peut être une appliance ou un routeur VPN.
Marsh Posté le 03-08-2005 à 08:34:55
cpdump a écrit : Quand je dis serveur, cela peut être une appliance ou un routeur VPN. |
Tu en pense quoi alors ?
Le partage d'une application (ERP) sur un serveur central (ainsi que de quelques documents, toujours sur le site central) peut se faire avec un VPN client a site ?
Marsh Posté le 03-08-2005 à 11:06:53
C'est possible, mais ce n'est pas neutre, cela demande l'install du vpn client sur le poste et une config particulière et ce n'est peut être pas possible avec toutes les techno VPN. Personnellement je prendrais plutôt du vpn site à site dans ton cas. Les sites sont reliés comment au site central ?
Généralement le VPN client à site est plutôt pour des postes nomades.
Marsh Posté le 03-08-2005 à 11:16:57
Autre chose si tu fais du VPN client à site tu auras autant de VPN monté sur ton site central que tu as de clients VPN... ca alourdi un peu le traffic pour pas grand chose.
Moi dans ton cas je ferai du site à site. Si c'est une question de budget tu peux trouver des solutions pas chère (voir même gratuites: Opensource) pour faire du VPN.
Mais de toute facon il te faudra un accès Internet sur chaque site donc un minimum de protection... donc un firewall... et souvent ils offre des fonctions VPN donc...
Marsh Posté le 03-08-2005 à 11:59:27
Pour l'instant, adsl sur chaque site avec un pauvre routeur, et il n'y a aucune connexion entre le cite principal et les sites distants, les échanges d'information et de documents se font par mail (oui, oui, par mail, zavé pas révé).
Je suis assez convaincu par vos arguments sur le VPN site à site, axons nous sur cette solution
Il me semble judicieux de mettre du SDSL à débit garanti sur le site principal, et je pensais laisser de l'adsl sur les sites distant, mais sur cette question vos avis m'interessent également.
Si j'ai bien compris, il n'y a qu'une connexion VPN entre chaque site déporté et le site principal(comparé à la solution client->site ou il y avait un canal par client), c'est bien ca ?
Si je suggère cet équipement, qu'en pensez vous ?
http://www.ldlc.com/fiche/PB00028891.html
1 par site principal et distant (donc 5 en tout) ?
merci d'avance de vos avis
Marsh Posté le 03-08-2005 à 12:46:16
Pour ce qui est des accès Internet des sites, il faut déjà avoir une idée du traffic dans les deux sens site <-> central pour dimensionner l'accès. Prendre en compte aussi les trafics supplémentaires à venir (partage fichiers,...). Un routeur qui permet la priorisation des flux peut être utile.
Après se pose le problème de la qualité de service et de temps de rétablissement qui n'est pas la même selon que c'est un abonnement pro ou non. Il faut voir quelles sont tes impératifs en terme disponibilité de l'appli.
Il peut être interessant de passer par le même opérateur pour les sites et le central pour des questions de coût et de débit (le traffic passe par le backbone opérateur donc généralement moins de surprise).
Je ne connais pas trop le matériel, à priori cela a l'air bon, demande une confirmation chez eux au sujet des vpns simultanés
Marsh Posté le 03-08-2005 à 14:18:23
Pour ce qui est du traffic, j'en ai déjà une idée précise.
La priorité des priorités est le partage de l'application. J'envisage effectivement un routage à priorité de flux.
Les ERP (comme toutes les application partagées ?) demande aux utilisateurs distants une capacité importante en téléchargement, car il envoyer toutes les données à l'utilisateur, mais ne réclame que peu d'upload, car ( pour shématiser ), il n'y a que des clics de souris à envoyer.
Symétriquement, le site principal doit fournir en upload (ce que les sites distants téléchargent...).
D'ou un choix logique pour du SDSL sur le cite principal, à hauteur de 1Mb/s
Nous allons utiliser Citrix Metaframe pour partager cette application, qui réclame 24 kbits/s par utilisateurs.
Mon interrogation se porte sur le choix du débit des sites distants : adsl a débit garantit ou sdsl.
Cette interrogation se pose car il est envisagé un partage de fichiers sur un serveur du site principal.
Savez vous si lorsqu'on ouvre un fichier partagé et qu'on sauvegarde des modifs, cette sauvegarde est-elle gourmande en upload (du genre expédition de tout le contenu du fichier) ou alors peu gourmande (juste un envoi des modifications ?).
Une autre question, mais je crois déjà en avoir la réponse : Pour le routeur de mon site principal, on peut se contenter d'un routeur d'une capacité de 4 canaux VPN (car 4 sites distants), il n'est pas utile d'avoir un capacite d'autant d'utilisateurs distants (genre 30 dans mon cas) ?
Marsh Posté le 04-08-2005 à 12:20:19
tuxbleu a écrit : Mon interrogation se porte sur le choix du débit des sites distants : adsl a débit garantit ou sdsl. |
Cela doit dépendre fortement des applications, mais avec du word je pense qu'il y un upload complet du fichier à chaque sauvegarde (à vérifier)
tuxbleu a écrit : Une autre question, mais je crois déjà en avoir la réponse : Pour le routeur de mon site principal, on peut se contenter d'un routeur d'une capacité de 4 canaux VPN (car 4 sites distants), il n'est pas utile d'avoir un capacite d'autant d'utilisateurs distants (genre 30 dans mon cas) ? |
Puisque que c'est du vpn site le nombre de vpn nécéssaire est indépendant du nombre de postes.
Marsh Posté le 04-08-2005 à 13:53:47
tuxbleu a écrit : |
En ce qui concerne le matos, je te conseille des produits plus pro et ce pour la simple et bonne raison que tu auras des docs disponibles, du support et de la fiabilité etc...
J'ai pas mal d'experience sur les VPN.
Je te conseille du cisco, ou du watchguard ou du arkoon. En plus de faire firewall et VPN, tu pourras grace à ces boitiers faire de la qos, du filtrage antivirus, antispam, de l'authentification, etc. Ces fonctionnalités te permettront d'avoir une sécurité optimales sur tes accès internet et de gerer ta bande passante au mieux.
En ce qui concerne le site to site et les nomades (site to client), réserve les accès nomades aux site avec 1 poste et aux personnes qui se déplacent beaucoup.
Ceux que tu peux faire à la place d'un réseau VPN, c'est de consolider ta plateforme Citrix et d'y ajouter une plateforme secure gateway, qui permet un accès à citrix depuis n'importe ou dans le monde et de façon sécurisée à travers du web SSL.
Marsh Posté le 04-08-2005 à 13:56:29
cpdump a écrit :
|
Marsh Posté le 04-08-2005 à 14:24:04
jolebarjo a écrit : En ce qui concerne le matos, je te conseille des produits plus pro et ce pour la simple et bonne raison que tu auras des docs disponibles, du support et de la fiabilité etc... |
Tu as de l'expérience sur les VPN, alors forcement tes commentaires m'interessent
Arkoon, j'ai vu une présentation du produit, j'ai été assez impressioné, les couts sont tout de même élevés. Le coté filtre antivirus, antispam, etc est très interessant, mais faut voir le cout des mises à jours touts les ans , alors que pour un produit dit "classic" (sans antivirus,antispam, toussa), on a pas les mises à jours à régler (puisqu'il y en a pas...)
En sisco, tu aurais un model à me conseiller vu ma problématique ?
Je n'ai qu'un seul imperatif : que ca fonctionne !
Le fait de pourvoir gérer une priorité de flux m'interesse, étant donné l'extreme importance de l'ERP dans la futur organisation de la société.
Sinon, j'ai regardé le catalogue netgear, ya des prosuits qui m'interssent, mais j'ai l'impression de jouer "petit bras" avec ces routeurs à 375. Tu penses quoi des produits netgear ?
Marsh Posté le 04-08-2005 à 15:06:08
cpdump, tu es bien sur le bien-venu dans cette discution matérielle
Marsh Posté le 04-08-2005 à 17:49:08
tuxbleu a écrit : Tu as de l'expérience sur les VPN, alors forcement tes commentaires m'interessent |
En ce qui concerne l'investissement, faut le calculer autrement que par le simple cout d'achat.
A savoir, combien cela va couter à ton entreprise s'il y'a rupture de l'activité . Et cela à cause d'un boitier avec une maintenance en J+10 minimun ou d'une attaque antivirus impromptue?
Note aussi qu'en passant sur une solution Citrix, qui est en elle même couteuse au point de vue des licences et des serveurs nécessaire, tu vas économiser un max sur la maitenance de ton parc de bécanne et en temps d'administration.
En ce qui concerne cisco, tu as la gamme pix. Le modèle 501 convient bien pour des agences distantes. Prefère un 506 ou un 515 (dépend du nombre de tunnels) pour le site central.
Le pix peut être mis en failover actif-actif. Il permet aussi le failover sur les liens WAN.
Tu peut aussi choisir du watchguard, qui propose autant de fonctionnalités et même plus(antivirus, antispam, etc) et une interface plus conviviale.
En terme de prix, cisco et watchguard se valent. En gros compte de 1500 à 5000 pour le site central, et 500 par agences.
Il faut aussi compter les maintenances pour chacun des produits
PS : Tu peut choisir aussi la solution secureGateway, et la tu n'as plus a te prendre la tête avec les VPN et tutti quanti.
Marsh Posté le 04-08-2005 à 22:19:17
Citation : A savoir, combien cela va couter à ton entreprise s'il y'a rupture de l'activité |
Oui, c'est ma hantise
Citation : Note aussi qu'en passant sur une solution Citrix, qui est en elle même couteuse au point de vue des licences et des serveurs nécessaire, tu vas économiser un max sur la maitenance de ton parc de bécanne et en temps d'administration. |
Utiliser Citrix nous est imposé vu le nombre d'utilisateurs distants (35 prévus).
Mais je t'avoue que je vois pas bien en quoi ca va me faire gagner du temps en maintenance de parc et temps d'administration, si tu pouvais approfondir
Citation : En ce qui concerne cisco, tu as la gamme pix. Le modèle 501 convient bien pour des agences distantes. Prefère un 506 ou un 515 (dépend du nombre de tunnels) pour le site central. |
merci de ces renseignements
PS : Tu peut choisir aussi la solution secureGateway, et la tu n'as plus a te prendre la tête avec les VPN et tutti quanti. |
Tu peux approfondir le concept ? Je vais faire des recherches la dessus, mais je suis pas contre une explication de texte.
Marsh Posté le 05-08-2005 à 10:57:39
tuxbleu a écrit :
|
Marsh Posté le 05-08-2005 à 11:09:24
Nous envisageons fortement de prendre toute nos connexions DSL chez le même FAI, (en l'occurence wanadoo, mais ca chage rien au problème).
Si ya "rupture" de connexion ( à cause du FAI ) sur un site, ca sera le cas sur tout les sites non ? (en gros ma question c'est : si wanadoo crache sur un site A, est-il craché sur un site B ? )
Marsh Posté le 05-08-2005 à 12:45:39
Ca dépend où se situe le problème chez Wanadoo, mais en général les problèmes sont très localisés, donc il y a de fortes chances que cela ne touche qu'un site.
Marsh Posté le 05-08-2005 à 13:58:04
cpdump a écrit : Ca dépend où se situe le problème chez Wanadoo, mais en général les problèmes sont très localisés, donc il y a de fortes chances que cela ne touche qu'un site. |
Marsh Posté le 06-08-2005 à 14:56:19
tuxbleu a écrit :
|
Tu as de plus de nombreuses options de prise en main et de gestion, l'utilisateur n'est pas attaché à son poste ou terminal.
tuxbleu a écrit : |
Il est rare que tout le réseau soit en carafe en même, je me demande si cela est déja arrivé (1 fois lors du vers réseau blaster ou autre) et ce pendant quelques heures seulement.
De plus, tu peut prendre une option GTR 4H chez les FAI.
En ce qui concerne secure Gateway, il s'agit d'un passerelle web d'accès à ta ferme citrix que tu met dans une DMZ.
Les clients se connectent sur ce serveur depuis n'importe ou et s'authentifient sur leurs session citrix.
Plus besoin de VPN, cependant cette solution ne resout pas tes problèmes de tranferts de fichiers entre les sites (peut etre en passant par des lecteurs réseaux) a moins que tout ton infra soit consolidé sous citrix.
Marsh Posté le 02-08-2005 à 10:14:33
Bonjour,
La problématique à avancée.
Je l'expose :
On en est au choix du matériel pour un VPN site à site entre 1 site principal et 4 sites distants. (un shéma en étoile, les sites distants n'ont pas besoins d'être directements reliés entre eux.)
Le but est de trouvér un matériel fiable, qui permette :
- à un logiciel basé sur le site central s'exécutant sur les sites distant par l'intermédiaire de Citrix Métaframe de fonctionner convenablement,
- éventuellement, un partage de quelques fichiers, hébergés sur le site principal.
- pas de personnel "nomade" pour le moment,
Une fonctionnalité de priorité de flux par port ou application serait un net avantage.
J'ai pensé modestement à ce produit pour le site central :
http://www.ldlc.com/fiche/PB00028177.html
et à ce produit pour chacun des sites distants :
http://www.ldlc.com/fiche/PB00017909.html
Ce sont des produits à couts modeste, et certaines personnes me conseil un matériel plus "pro", style cisco.
Je suis ouvert à toute suggestion sur lechoix du matériel, et votre expérience est le meilleur gage de pas me planter
Pour ne pas faire "exploser le budget", je préfère éviter une solution style arkoon.
Toutefois, si un matériel à coût exorbitant est obligatoirement nécéssaire, et bien il faudra que j'y passe, mais bon, c'est comme toujours, quand on peut éviter...
Merci de votre participation
sujet de départ du topic
Ma société compte mettre en place un VPN entre son siège social et ses filliales.
Un de nos partenaires nous propose une solution qui consiste à mettre une boite (routeur/parefeu/antispam/antivurus/
fais le café) sur chaque site.Je me sens presque bête de poser cette question, mais je préfère avoir confirmation de votre part (mieux vaut passer pour un c*n ici et avoir une bonne solution que de vouloir être trop sur de moi et de me planter) :
Pour mettre en place un VPN, un routeur VPN(Cisco, bewan...) sur le site principal suffit ? Il n'y a pas besoin de matériel "spécial VPN" sur les sites distants ?
De même, une seule IP fixe suffit (site principal) ?
Je vous remercie par avance de vos réponses, qui sont très importantes pour moi.
Message édité par tuxbleu le 04-08-2005 à 17:32:51