Passerelle résidence étudiante

Passerelle résidence étudiante - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 19-01-2006 à 19:21:36    

Bonjour,
 
nous recherchons une solution d'administration pour le réseau de notre résidence étudiante. Il s'agit de fournir le net à environ 400 personnes au travers de 4 freebox. Nous disposons pour cela de plusieurs serveurs si nécessaire.
 
Nous voudrions réduire au minimum les opérations à effectuer sur les ordinateurs clients, et pouvoir configurer le firewall différemment suivant les groupes d'utilisateurs.
 
Nous avons regardé du côté d'Ipcop, mais il nous a semblé être incapable de supporter plus d'un lien WAN.
 
Des idées ?
Merci d'avance

Reply

Marsh Posté le 19-01-2006 à 19:21:36   

Reply

Marsh Posté le 19-01-2006 à 20:11:57    

DHCP pour les IP
Load balancer sur les 4 liens (comme ça sans faire de recherche je sais pas trop) pour répartir la charge.
 
c'est quoi :

Citation :


pouvoir configurer le firewall différemment suivant les groupes d'utilisateurs


 
parce que si tu veux des règles spéciales c'est à mon avis par ip ou sous réseau que vous allez jouer (donc aussi au niveau du DNS avec les @mac)
 
my 0.2€


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 19-01-2006 à 20:16:06    

Je vote pour un *BSD. PF est un amour :)


---------------
Quand il neige des pâtes, fartez vos skis avec du fromage râpé.
Reply

Marsh Posté le 19-01-2006 à 20:28:46    

Salut
 
en cherchant sur google "load balancing ipcop"
 
j'ai trouve
http://forums.fr.ixus.net/viewtopi [...] g&start=30
 
conclusion : en bidouillant ipcop il est possible de faire du load balancing
 
la suite depend de ce que vous voulez faire, dans ipcop il est possible de parametrer le firewall manuellement en ajoutant des regles dans le fichier idoine.
 
les freebox seraient branchees sur un routeur
il faut rajouter des alias pour que associer plusieurs freebox sur le meme lien wan
puis recompiler le kernel d' ipcop pour supporter le load balancing
 
sur cette page on trouve plein d' infos
http://forums.fr.ixus.net/viewtopi [...] g&start=30
notamment apparemment certains ont deja recompile le kernel et il est possible de le telecharger
 
si vous voulez utiliser bsd le conseil d' utiliser pf est a 100% dans le mille  :)  
 
par contre il faut esperer que les mises a jour d' ipcop ne rentrent pas en conflit avec cette config perso.
 
a+
 
foiro


Message édité par enfoiro le 19-01-2006 à 20:30:16
Reply

Marsh Posté le 20-01-2006 à 13:00:05    

la solution serait par exemple de remplir au fur et a mesure les 4 freebox par exemple, equilibrer la charge, mais attribuer des le depart une freebox serait aussi envisageable
 
c vrai que pouvoir adapter ipcop serait assez sympa, concernant pf quels sont les avantages et les inconvénient pour notre utilisation ?

Reply

Marsh Posté le 20-01-2006 à 15:11:16    

mmmm
100personnes/freebox :??:

Reply

Marsh Posté le 20-01-2006 à 15:21:04    

sur une ligne 20M c'est bon :) tu leur fous un shapper et tu brides les protocoles à la con, ça calmerai les pompeurZ.

Reply

Marsh Posté le 20-01-2006 à 15:57:41    

C'est clair, il va falloir une bonne série de règles QOS. Moi je serait parti d'une distrib linux paramétrée à la mano.

Reply

Marsh Posté le 21-01-2006 à 18:53:50    

Nous avons fait des recherches et trouvé tout plein de sujets sur le fait d'avoir plusieurs interfaces pour la zone RED, mais toutes étaient basées sur un principe de load balancing, ce nest pas trop ce que nous cherchons.
 
Dans notre 4 nous voulons juste tenter de repartir le traffic sur 4 freebox, pour cela nous voudrions nous baser sur les adresses ip. Par exemple : tous les utilisateurs avec une adresse IP du type 192.168.1.x sur une freebox, 192.168.2.x sur une autre. Le pc a 5 cartes reseau ( 4 pour chaque box et 1 pour le reseau local )
 
Je sais pas trop comment faire ca, pas forcement avec IPCOP mais il est deja installé sur le serveur, peut etre est-ce possible.
 
Merci

Reply

Marsh Posté le 21-01-2006 à 20:10:52    

vire l'ipcop, c'est bien pour une liaison ADSL simple mais là ça va être QoS obligatoire sinon tes users vont pleurer


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 21-01-2006 à 20:10:52   

Reply

Marsh Posté le 21-01-2006 à 20:13:21    

+1 :o

Reply

Marsh Posté le 21-01-2006 à 20:15:59    

dureiken a écrit :

Nous avons fait des recherches et trouvé tout plein de sujets sur le fait d'avoir plusieurs interfaces pour la zone RED, mais toutes étaient basées sur un principe de load balancing, ce nest pas trop ce que nous cherchons.
 
Dans notre 4 nous voulons juste tenter de repartir le traffic sur 4 freebox, pour cela nous voudrions nous baser sur les adresses ip. Par exemple : tous les utilisateurs avec une adresse IP du type 192.168.1.x sur une freebox, 192.168.2.x sur une autre. Le pc a 5 cartes reseau ( 4 pour chaque box et 1 pour le reseau local )
 
Je sais pas trop comment faire ca, pas forcement avec IPCOP mais il est deja installé sur le serveur, peut etre est-ce possible.
 
Merci


bah....   ip_masq de base .. pas plus
 
dans ta residance etudiante ya pas 1  personne qui connait un "minimum" linux ou dérivé ???

Reply

Marsh Posté le 21-01-2006 à 20:26:11    

on a deja la methode bourrain en lignes de commande mais le but est d'essayer d'avoir une interface graphique et pouvoir gerer ca, les lignes de commande c'est pas dit que quand on partira de la residence on sache encore s'en servir... d'ou le but de passer a une autre solution

Reply

Marsh Posté le 21-01-2006 à 21:03:56    

un PC linux, les 4 freebox au cul et voilà. si ça se trouve, 4 routes par défaut ça suffira pour faire de l'équilibrage de charge.

Reply

Marsh Posté le 21-01-2006 à 21:12:00    

black_lord a écrit :

vire l'ipcop, c'est bien pour une liaison ADSL simple mais là ça va être QoS obligatoire sinon tes users vont pleurer


+ 1
 
Amha, il faut partir d'une distro GNU/Linux qui a le support QoS et iptables d'intégré et paramétrer le réseau à la mano avec tout ça. C'est long et chiant à faire, mais ça permet d'avoir un réseau qui tient la route avec un nombre élevé d'utilisateurs, sans quoi tout sera à genoux avec quelques centaines de requêtes déjà...
 
Un autre conseil, c'est peut-être d'éviter pour l'instant d'intégrer le support ipv6 avec tout ça... j'ai pas fait de test à grande échelle avec, mais j'ai déjà vu des problèmes de perfs sur des LAN utilisant le load balancing ; à voir/tester avant une mise en production donc.


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 21-01-2006 à 21:23:50    

va aussi te falloir un DNS dédié sur le coup :)

Reply

Marsh Posté le 21-01-2006 à 21:32:58    

http://www.linux-france.org/prj/in [...] #id2522272
 
pas la peine d'aller chercher loin, j'avais ça, ça marcher très bien
 
 
edit: sinon y a sans doute une solution encore plus de faire du tourniquet au niveau du NAT, ça doit vraiment se faire tout seul ça.


Message édité par Taz le 21-01-2006 à 21:36:05
Reply

Marsh Posté le 21-01-2006 à 21:38:39    

dureiken a écrit :

on a deja la methode bourrain en lignes de commande mais le but est d'essayer d'avoir une interface graphique et pouvoir gerer ca, les lignes de commande c'est pas dit que quand on partira de la residence on sache encore s'en servir... d'ou le but de passer a une autre solution


le prends pas mal... mais tu crois vraiment que dans les 400 etudiants de ta residence , tu es tout seul a savoir utiliser linux ?? que les prochains seront incapable de config un routeur ?
 
ps : si les etages sont a peu pres equitables, peut-etre pas besoin de balancing ? qui serait plus un handicap qu'autre chose.


Message édité par notornis le 21-01-2006 à 21:40:27
Reply

Marsh Posté le 21-01-2006 à 21:50:56    

bah c'est clair qu'à ce moment, là, 1 m0n0wall + freebox par étage avec magic shaper par défaut, ça peut le faire très bien.

Reply

Marsh Posté le 21-01-2006 à 23:14:54    

Bah non, toute interface graphique est absolument inutile : si c'est bien mis en place dès le départ, plus personne n'aura jamais plus besoin d'y toucher, et puis surtout ça dissuadera tous les petits bricoleurs en informatique qui seraient tenté de reprendre l'affaire  :o  :whistle:


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 23-01-2006 à 09:28:51    

qu'est-ce que ça change que l'interface d'admin soit graphique ou pas ? en plus avec m0n0wall, tu fais un truc diskless avec juste un CD

Reply

Marsh Posté le 23-01-2006 à 09:33:44    

Taz a écrit :

va aussi te falloir un DNS dédié sur le coup :)


+1, un truc style dnsmasq ou un bind si besoin de plus costaud.

Reply

Marsh Posté le 23-01-2006 à 09:37:03    

dureiken a écrit :

on a deja la methode bourrain en lignes de commande mais le but est d'essayer d'avoir une interface graphique et pouvoir gerer ca, les lignes de commande c'est pas dit que quand on partira de la residence on sache encore s'en servir... d'ou le but de passer a une autre solution


C'est pour ca qu'il faut toujours documenter son travail [:itm]
Ne serait que pour soit même...

Reply

Marsh Posté le 23-01-2006 à 14:35:32    

Ipcop a un module QoS...
 
Par contre le load balancing c quand meme mieux que de mettre x étudiants sur la n-ième freebox, ca evitera les embouteillages si certains sont plus friands de téléchargements. De plus tu peux gerer mieux les regles de firewall avec un alias unique, sauf si ton but c'est de gérer les regles de filtrages freebox par freebox mais ca me paraitrai un peu zarb.
Maintenant de toute facon quelque soit la solution retenue yapuka mettre les mains dans le camboui et documenter les fichiers de conf. Tu peux commencer avec la doc de qos et les arno's tables (par exemple...)
De plus une config personnalisée te permettra eventuellement dans le futur de gérer des imprimantes réseau, un serveur quelquonque, un domaine WINS pour le DHCP par exemple avec les machines merdoze et plein d'autres possibilités.
IPCop des que tu veux le détourner de son utilisation principale ca devient compliqué car il n'est pas fait a base d'une distrib modulaire comme debian.
 
my 0.000002 €
 
foiro

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed