Fiabilisation d'un accès VPN - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 12-09-2009 à 19:32:28
Tu montes un AS, tu demandes des IP et tu les annonces à tes 2 FAI mais c'est bcp plus compliqué que ça.
Marsh Posté le 12-09-2009 à 19:51:15
oui ça c'est la méthode "propre" mais fort chère sinon y a des produits de load balancing de lien internet (radware, F5...) mais j'ai jamais joué avec.
Marsh Posté le 12-09-2009 à 21:29:59
Je@nb a écrit : Tu montes un AS, tu demandes des IP et tu les annonces à tes 2 FAI mais c'est bcp plus compliqué que ça. |
Bonsoir,
Merci pour ta réponse.
qu'entends tu par "tu demandes des IP" ? des IP publiques ?
Quelle est la procédure ? (du moins, où est-ce que je peux trouver ca ?)
Y.
Marsh Posté le 12-09-2009 à 22:13:38
Quid du round robin DNS ? Bon ok c'est dégueu mais là tu aurais de la répartition de charge pour pas un kopek... A voir non ?
Marsh Posté le 12-09-2009 à 22:28:25
dreamer18 a écrit : oui ça c'est la méthode "propre" mais fort chère sinon y a des produits de load balancing de lien internet (radware, F5...) mais j'ai jamais joué avec. |
Bonsoir,
J'ai de mémoires, deux F5, mais ce n'est pas moi qui les gère, je vais voir en quelle mesure on peut en utiliser un pour répondre à mon souci, en revanche, je ne vois pas comment je vais contourner le problème du DNS qui pointe vers l'adresse IP publique du concentrateur VPN (CISCO ASA) dans le cas où l'opérateur rouge tombe.
En tout cas merci pour l'information sur le F5, je n'y avais pas pensé, je vais me renseigner de ce pas.
Si tu as encore des idées lumineuses de ce genre je suis preneur
Y.
Marsh Posté le 15-09-2009 à 16:31:53
2 lien internet par site, donc 2 ip publiques, de chaque coté un firewall qui gère 2 WAN... ça doit le faire non? Sur ton Vpn tu configure 2 ip de chaque coté, et roule... il teste la 1ere ip, si ça passe pas il essaye la 2ème..
Marsh Posté le 20-09-2009 à 23:28:43
Non, le client VPN ne peut pas avoir une telle configuration ; c'était en effet ma première réflexion, mais la configuration du client dont on dispose ne présente pas beaucoup de souplesses...
Par ailleurs, on est rattaché à une PKI donc dans la configuration la nom de domaine est entré en dur donc il faudrait avoir deux configurations dans chaque client... avec les deux sous domaines qui pointeraient chacun vers l'adresse publique de chacun des deux opérateurs .... :-/
Qu'il s'agisse de l'adresse IP ou du domaine, le problème est le même, il faut trouver un moyen de pouvoir basculer (en cas de défaillance de l'un) ou utiliser (si on peut trouver une façon d'avoir les deux opérateurs en même temps) l'autre opérateur en cas de défaillance du rouge. Il est clair que pouvoir utiliser les deux opérateurs en même temps est la meilleure configuration (cf paragraphe suivant).
Nouveaux éléments :
On avance ....
Il va y avoir un deuxième concentrateur VPN (pour augmenter la capacité en terme de nombre de connexions simultanées). L'avantage, c'est que l'on peut configurer plusieurs adresses sur un même équipement, c'est à dire que l'on peut associer une adresse principale et une adresse de backup dans un autre plan d'adressage, ce qui permet de les atteindre aussi bien par un opérateur que par l'autre.
Ce qui résout une infime partie du problème et le déplace : il suffirait de pouvoir fiabiliser la résolution de nom. Je m'explique.
1. on configure a coup de round robin DNS 2 adresses IP (la rouge et la jaune)
2. on sauve donc 50 % de ma population : si un opérateur tombe, la population qui a récupéré l'adresse correspondant à l'opérateur qui est tombé, va perdre sa connexion,
3. les clients déco vont se connecter, et 50% d'entre eux vont tomber sur le bon, etc ...
4. le problème, c'est qu'il y a toujours 50 % de la population qui réalise une résolution de nom qui va récupérer l'adresse de l'opérateur défaillant...
=> ma problématique est donc maintenant de mettre à jour dynamiquement le DNS sachant que les clients se trouveront forcément en France, je ne me souviens plus trop mais mes vagues souvenirs de cours sur le DNS me suggèrent qu'il y a des notions de plaques pour les serveurs DNS non ?
Je ne m'y connais pas du tout en DNS, et ce que je suppose juste au dessus à propos de round robin DNS est pure supposition en fonction de ce que j'ai compris de par mes quelques lectures sur le net. Si les personnes qui ont une expérience d'utilisation de round robin DNS pouvaient me confirmer les points 1 à 4 ci-dessus, ça serait très sympa de leur part.
Si tout ce que j'ai supposé est correct, il ne me reste plus qu'à trouver une façon de mettre à jour dynamiquement le DNS (je n'ai pas encore eu le temps de creuser...) mais est-ce que le fait d'installer un serveur DNS dans ma DMZ pourrait m'être d'une aide quelconque ?
Edit : est-ce que round robin DNS pourrait par exemple mettre à jour le DNS en testant que les deux opérateurs sont bien joignables via un script ?
Merci beaucoup pour vos remarques, désolé si je ne réponds pas toujours en live mais c'est le rush et je n'ai malheureusement pas que cette problématique à gérer, m'enfin ça, ça me regarde
Enfin, ca parait évident, mais je publierai la solution que l'on aura adoptée si ca peut aider d'autres personnes...
Marsh Posté le 21-09-2009 à 01:54:26
Oh non, le round robin DNS c'est tout pourri : tu mets 2 A pour un même nom, ça permet juste de pseudo load balancer quand tout marche bien. Si un concentrateur/lien tombe, t'es dans le caca
Modifier le dns à la volée why not, mais ce que tu es en train d'essayer de reproduire c'est... du GSLB (GTM chez F5). Sauf que là tu l'utiliserais pour load balancer sur le même site, mais deux liens différents.
T'aurais pas plus vite fait de t'acheter une licence ? J'avoue qu'ils se gavent bien chez F5 mais ils font de bons produits donc on pardonne
Sinon si tu veux vraiment faire un truc à la mano je verrais ça comme ça :
- round robin DNS + des A avec un TTL faible
- un script qui fait du monitoring sur tes liens et IP, si une est down => on met à jour la zone et on fait un IXFR sur les slaves (= mise à jour des zones). Encore mieux, si tu as bind il y a nsupdate qui peut faire le job assez/très facilement
Les clients foireront leurs requêtes pendant un petit bout de temps mais ça remontera. Si tes DNS sont hébergés chez toi, pense bien à installer un slave atteignable par l'autre lien
Problème : tu vas multiplier ton traffic DNS sur ce nom d'hôte, j'espère qu'il est propre au VPN
Marsh Posté le 12-09-2009 à 18:34:15
Bonjour,
J'ai une problématique pour laquelle je sèche complètement, et mes 3h de recherches sur le forum n'ont rien donné...
Je souhaiterais savoir s'il est possible de raccorder la DMZ de mon entreprise via 2 accès internet (que je préfèrerais simultanément mais ça n'est pas la priorité) ET en rendant cette DMZ accessible depuis l'internet via ces deux accès, sachant que l'adresse IP publique du serveur d'authentification est précisément fournie par un des deux opérateurs (du coup que se passe-t-il quand son accès tombe ?)
J'ai fait un schéma pour illustrer grossièrement l'architecture :
Question subsidiaire qui me paraît intuitivement complètement absurde mais bon on ne sait jamais : peut-on faire l'acquisition d'une adresse IP publique ? les opérateurs peuvent-ils céder une adresse ou un subnet d'adresses ? (ce qui m'arrangerait mais j'en doute, mon entreprise n'est pas un opérateur)
Merci pour toutes vos réactions.
Y.
---------------
L'urgent est fait, l'impossible est en cours. Pour les miracles, prévoir un délai ...