Votre avis sur une architecture.
-
Ok, je ne n'avais pas compris.
Donc oui je le ferais directement sur le Wan, SDSL pour le réseau à réseau et les clients nomades, SDSL et ADSL pour moi.
Je m'explique, le réseau à réseau et les nomades passerons par la SDSL car elle est là pour ça et si il y a une panne il attendrons.
Le Fail-Over sera la que pour ceux qui sont à "l'intérieure" du site principal et moi quand je suis à l'extérieure, je ne travaille peut être pas 24/24, mais je suis belle et bien accessible 24/24, je suis le seul informaticien sur place.
Par contre si j'ai bien compris je fais bien mes VPN directement sur Pfsense mais avec les IP public et non avec les IP virtuel.
Cdt,
Titofe -
Je viens de poser mon projet sur papier ce qui ma permis de me rendre compte qu'il me faudra en tous 6 port RJ45 par Pfsense.
Voici mon schéma fait à la main:
http://www.imagup.com/pics/1256863571.html
Donc en tous 6 Interface par Pfsense:
Sur le Wan:
DMZ (1) pour le routeur SDSL relier par un Switch 192.168.0.x
DMZ (2) pour le routeur ADSL relier par un Switch 192.168.1.xSur Le Lan:
Réseau Interne relier par un Switch 192.168.3.x
DMZ (3) Interne relier par un Switch 192.168.4.x
DMZ (4) Externe relier par un Switch 192.168.5.xInterface de liaison:
Interface dédiée pfsync relier par câble croisé 192.168.2.1 pour Pfsense (1) et 192.168.21.2.2 pour Pfsense (2)Les IP Virtuels:
IPv SDSL 192.168.0.253
IPv ADSL 192.168.1.253IPv Réseau Interne 192.168.3.250
IPv DMZ (3) Interne 192.168.4.250
IPv DMZ (4) Interne 192.168.5.250Pouvez-vous me dire si je suis en bonne voie?
Cdt,
Titofe -
Bonjour,
Ma config est la même que la votre à l'exception que j'ai q'un LAN et 1 DMZ ET surtout cela fonctionne parfaitement …
Bon courage pour l'installe
-
Ca marchera du tonerre :-)
J'en ai plein des setup de ce genre.
Pour économiser un peu de ports physique n'hésitez par à utiliser du Vlan tagging sur des cartes Gig (quoi qu'il arrive toujours préférer des cartes à base de chip Intel avec pfsense).Joli schéma, à la règle en plus ! ;D ;D
-
Ca marchera du tonerre :-)
J'en ai plein des setup de ce genre.C'est encouragent, par contre pour moi ça serra une première :)
Pour économiser un peu de ports physique n'hésitez par à utiliser du Vlan tagging sur des cartes Gig (quoi qu'il arrive toujours préférer des cartes à base de chip Intel avec pfsense).
J'ai ça en tête mais je n'oser pas le dire.
Voila l'idée:
Routeur SDSL et ADSL relier ensemble sur un Switch "D-Link DES-3028"
Relier à son tour à Pfsense(1) sur le 1er port physique du Dell PowerEdge 860, même chose pour Pfsense(2)
Le 2eme port physique de chaque Pfsense sera attribué à "l'interface dédiée pfsync"
et rajout d'une carte réseau dans chaque Pfsense pour l'attribuer à un Switch "D-Link DES-3052" pour le Lan Interne, la DMZ Interne et la DMZ Externe.
Je mais tous ça sur papier et je vous le poste.
Cdt,
Titofe -
Donc comme promis voila ma nouvelle structure (schéma):
http://www.imagup.com/pics/1256933061.html
Il est claire que maintenant elle fait moins usine à gaz au niveau visuel ;) et un gain important en ressource matériel.
Donc avant de me lancer je voudrais avoir votre avis sur cette dernière, aussi bien sur l'infrastructure que sur sa sécurité.
Tout avis est bon apprendre, donc n'hésiter pas.Cdt,
Titofe -
Bonjour,
Très jolie la topologie ! ;)
Par contre j'ai une question concernant la synchronisation pour du Fail-Over :
Une troisième interface physique est bien sur l'idéal.J'ai vu qu'il était déconseillé de mettre la synchro sur l'interface LAN (je comprend ^^). D'ou ma question :
Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).
Merci d'avance pour cette petite parenthèse.
Cdt,
Sig -
Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).
Par ce que on peux en rajouter !
http://www-03.ibm.com/systems/fr/bladecenter/hardware/servers/hs20/features.html
Tu trouvera ta réponse dans "Interconnexions de serveurs lame" dans le lien que je t'indique.
Cdt,
Titofe -
Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.
Pour ce qui est des setup cluster j'utilise généralement ces matériels:
HP DL 120
HP DL 160
HP DL 320
HP DL 360
HP DL 380IBM X3250
IBM X3550
IBM X3650Cartes additionnelles Intel Gig Quad, en option IBM ou HP.
Switchs :
gamme procurve (1800,2500,2800,4200)
gamme cisco catalyst (28x, 37x)Concernant le lien de synchro, 90% du temps il ne génère que peu de trafic. Maintenant, lorsque vous êtes sur des infra critiques qui sont souvent l'objet de flood ou d'attaques par saturation les liens de synchro "prennent cher". J'ai des setup qui prennent jusqu'à 100Mbits de trafic pfsync lors d'attaques. Dans le cas ou vous seriez full Gig sauf sur le lien de synchro (le drame), si l'accès WAN dépasse le débit du lien de synchro et se prend un flood supérieur au lien de synchro, cela va générer un IRQ Storm sur la carte de synchro et cela va paraliser un CPU de votre firewall. J'utilise systèmatiquement des CPU double ou quadruple coeurs en fonction de l'infra.
-
Merci titofe pour ta réponse. Je vais chercher plus en détail pour voir ce qui est possible au niveau hardware.
Par contre je pense que ce que tu voulais m'indiquer était que l'ajout d'une carte Ethernet 3 voir 4 ports était possible; mais comme je pense que le prix d'une telle carte doit "creuver" le plafond (Bladecenter quand tu nous tiens ^^).Donc au niveau logique y a t'il un moyen quelconque, magique ou même complexe à mettre en place ?
Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.
Juve merci pour la précision sur la gestion et les risques du lien synchro. Donc tu n'utilises pas de lien synchro sur des lames HS ?
Merci d'avance.
Cdt,
Sig -
Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.
-
Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.
oO si peu cher pour une pièce de Blade ! J'y cours de suite ! ;o)
Merci ccnet ,je me renseigne.
Cdt,
Sig -
Attention c'est une carte pci std Intel. Je ne sais pas si ca colle dans une HS20.
-
Ça avance, j'ai effectué quelque petit test qui mon l'aire très concluant.
Cela ma aussi permis de voir mes oublies.
Le VPN, pas les nomades, mais les Réseaux à Réseaux.
Actuellement il est en IPsec, effectué par les IPCop de chaque site, avec bien sur aucun routeur devants.
Mais demain (Bientôt) il y aura des routeurs et sauf erreur de ma par IPsec n'aime pas le NAT.La seul solution que je connais est que je ferais si j'en trouve pas d'autre et de tout faire par OpenVPN.
D'apres vos esperiance, quel en sont les risques d'utiliser OpenVPN en mode Réseau à Réseau et qui en plus passe du NAT.
Cdt,
-
Trois réponses ;D
- un routeur ne fait pas forcément du NAT, son rôle premier est de router ;D donc à vous de voir la ocnfiguration pour éviter du NAT (si possible)
- effectivement IPSEC n'aime pas le NAT par sa conception même (IPSEC NAT-T a d'ailleurs été retiré des dernières build à cause de régressions techniques).
- openVPN en site-to-site fonctionne très bien.
-
Merci,
Oui j'ai utiliser le mot NAT, mais en réalité je redirige les ports (Port Forwarding) et cela marche très bien pour OpenVPN, donc je ne vais plus utiliser IPSec pour le Net to Net mais OpenVPN comme pour les Nomades.