Comment placer mon routeur et ma machine NAT?

Comment placer mon routeur et ma machine NAT? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 05-06-2010 à 18:47:38    

Salut à tous!
 
Je signale déjà que je depuis un certains temps je ne reçois plus de réponses à mes sujets postés. Pourtant notre forum regorge d'expert dans le domaine où je suis coincé.
Je vous prie vraiment de m'aider cette fois comme par le passé.
 
 
En fait , j'ai  Endian firewall comme pare feu interne sur mon réseau, qui gère en même temps les connexions VPN (OpenVPN).
 
Alors ma problématique est la suivante:
 
Nous avons aujourd'hui deux FAIs, donc deux liaisons internet, avec une principale et une de secours. Seulement mon but est que les deux liaisons soient utilisées en temps réel, au lieu d'attendre qu'une se coupe avant qu'on active l'autre.
 
J'ai ainsi envisagé mettre sur pied une infrastructure de haute disponibilité et d'équilibrage des charges sur les liaisons internet qui n'ont pas en fait la même bande passante.
 
J'ai donc installé une Debian toute fraîche et j'y ai configuré le routage séparé, les routes par défaut et le loadbalancing; avec un script pour le failover, qui balance automatiquement tout le trafic sur une seule liaison en cas de rupture de la première. J'ai testé le fonctionnement de mon routeur et tout marche bien, maintenant je dois le mettre en production en tenant compte de l'existant.
 
Alors:
 
-J'ai mon serveur Endian déjà configuré comme proxy, qui gère la sécurité des utilisateurs internes sur un réseau 192.168.100.0/24 et fait aussi office de serveur VPN pour mes utilisateurs externes.
 
-La carte externe du serveur Endian est pour le moment sur un adresse publique car c'est lui qui gère également les connexion des utilisateurs vers internet (Le routeur Debian n'étant pas encore en production, juste en test)
 
-Je dispose également d'une plage d'adresses publiques qui m'a été donné par le 1er FAI pour mes serveurs internes derrière mon Endian accessibles depuis l'extérieur, et donc pour chaque serveur local possédant une adresse privée, j'ai fait un DNAT sur une adresse publique que mes utilisateurs utilisent depuis l'extérieur pour accéder au serveur.  
 
-Aujourd'hui j'ai un deuxième fournisseur d'accès internet avec une nouvelle et deuxième plage d'adresses publiques.
 
-J'aimerais ainsi mettre mon routeur Debian à l'entrée de mon réseau qui fera du lodbalancing sur mes deux liaisons internet. Il aura ainsi deux interfaces externes
 
-Je n'ai pas de réel problème pour configurer le NAT, ou le loadbalancing/failover(j'ai déjà un script à cet effet qui fonctionne bien), mais mon problème c'est comment placer mon routeur et mon firewall Endian sur mon réseau pour que, tout comme les utilisateurs internes utiliseront les deux liaisons pour aller sur le net, que mes clients externes accèdent à mes serveurs internes en passant par l'une ou l'autre des interfaces externes de mon routeur.
 
 
Je veux en fait que les règles d'accès au serveurs internes derrière le pare-feu Endian soient régies par celui-ci(Endian), et que le routeur se charge simplement de véhiculer le trafic entrant et sortant, bien entendu il devra être sécurisé car sera en permanence attaqué. Mais il doit pouvoir faire passer les requêtes des clients externes, jusqu'au pare-feu qui les achemine ensuite vers les serveurs sollicités, que la requête vienne d'un client http, ftp ou vpn.
 
Alors voici mes question chers membres?
 
-Pourrai-je avec cette nouvelle configuration, toujours assigner mes adresses publiques à mes serveurs locaux par DNAT?
 
-Où et comment dois-je faire mes redirections? Qu'est ce que je fais sur le routeur, et qu'est ce que je fait sur le firewall Endian?
 
-Comment je les dispose? Dois-je mettre une ou des adresses publiques sur le firewall Endian?(Puisqu'il fait aussi NAT et si le routeur est entrée comme je prévois il aura deux adresses publiques pour les deux FAIs)
 
-Si avec votre approbation je peux utiliser le routeur Debian et le firewall Endian, comment je permet la connexion de mes clients VPN au serveur VPN qu'est Endian?  
(Avec Endian seul, le client a l'adresse privée de la machine locale et l'adresse publique du serveur Endian comme serveur VPN, mais là j'aurai non seulement deux connexion internet mais un routeur devant le serveur vpn)
 
-Si vous trouvez mieux de tout faire sur une seule machine (routage, NAT, proxy), et donc de maintenir uniquement Endian où je ferai mon loadbalcing, il aura désormais deux interfaces externes vers les FAIs. Comment je gère dans ce cas les connexions entrantes via les deux interfaces externes, les vpn etc....
Je dois mentionner que mon casse-tête est aussi et surtout c'est comment utiliser les deux adresses réseaux publiques pour les connexions depuis l'extérieur; pour le trafic sortant ce n'est pas un souci.
 
Je vous prie de m'édifier sur la question, je suis un peu confus devant la complexité du problème et quant l'option à adopter, mais je sais qu'en principe ça devrait marcher, j'ai toutefois besoin de ton coup d'éclair.
 
Je ne demande pas forcément les commandes à exécuter, je veux simplement une explication théorique et technique, me donnant la meilleur option pour utiliser mes ressources internet (les deux liaisons), et permettre un accès sécurisé à mes postes depuis l'extérieur.
 
Je m'excuse pour la longueur de mon message précédent. J'espère que tu pourras m'apporter à ton niveau ton aide.
 
J'ai joint un schéma pour vous présenter l'architecture réseau que j'envisage en mettant mon routeur Debian à l'entrée. je ne sais pas si elle cadre avec la situation que j'ai exposée ici, et je vous prie de me donner vos avis et de me faire vos propositions.
 
http://img404.imageshack.us/img404/8311/topologiecible.png
 
Uploaded with ImageShack.us
 
Merci infiniment de me dire quelque chose chers membres.

Reply

Marsh Posté le 05-06-2010 à 18:47:38   

Reply

Marsh Posté le 05-06-2010 à 19:03:07    

Je précise que j'utilise les versions open soure et gratuites des outils que j'ai implémentés, donc je peux ajouter autant de machines qu'il en faut.
 
Si vous jugez plus judicieux, je peux par exemple mettre sur pied plutôt deux firewall Endian, et gérer plutôt la haute disponiblité des deux firewall.
 
Toujours est il j'aurai besoin de vos indications avec l'expérience que vous avez dans le domaine.
 
Merci encore pour votre attention.

Reply

Marsh Posté le 07-06-2010 à 22:59:26    

je ne comprends pas trop le problème. Tu fais porter les IP publiques par les interfaces externes de ton routeur debian et tu translates ensuite ces IPs publiques vers les adresses privées qui vont biens.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 08-06-2010 à 21:31:58    

Bonsoir dreamer!
 
En fait mon problème comme tu vois, c'est le firewall qui est derrière mon routeur, donc s'il faut faire de la redirection, je le ferai sur mon routeur, et ensuite sur mon firewall.
 
Maintenant je ne sais pas comment implémenter cela pour que tout marche bien et mes gars puissent accéder à mes serveurs internes derrière le firewall comme indiqué sur le schéma, depuis l'extérieur.
 
Je veux pouvoir associer une ip publique de chacun de mes forunisseurs à chacun de mes serveurs internes (Je ne parle pas des ip publiques affectées aux interfaces externes de mon routeur, mais de celles restantes sur chacune des plages d'hôtes utilisables); et ce sont ces adresses là que mes utilisateurs externes auront.
 
Voilà un peu là où je bloque, j'ai pu voir en cherchant, que la meilleure option pour moi serait du round robin DNS; mais je n'y comprends encore rien. Quelque peut me dire si c'est vraiment recommander pour ce cas? Et comment ça fonctionne concrètement?
 
Merci pour votre aide.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed