2 monitor Ip par WAN

titofe

Bonjour,

Et avec un schéma ça donne quoi ?

ccnet

En premier lieu merci de faire un effort sur l'orthographe. Vous n'êtes vraiment pas facile à lire donc à comprendre.

J'ai les contraintes suivantes:
  - support VoIP compatible avec une activité commercial,
  - pas de coupure Internet,
  - load balancing du trafique pour limité les pertes de packet pour la VoIP.

Des contraintes assez courantes aujourd'hui que je traiterai pas de la même façon. Le support VoIP nécessite à mon sens une connectivité dédiée auprès d'un opérateur professionnel avec qui l'on négociera une GTR appropriée sur un lien SDSL. Isoler la voix de la data sur le réseau est une sage précaution. L'utilisation de Vlan est appropriée.
La permanence de l'accès à internet nécessite éventuellement que l'on réfléchisse aux trafics prioritaires et à ceux qui le sont moins. Utiliser par exemple une liaison Free pour les trafics non prioritaires, comme souvent le surf, fourni à la fois de bonnes performances et un bon confort aux utilisateurs tout en préservant une liaison SDSL dédiée au trafic important. Elle aussi avec dans le contrat une GTR adaptée.
L'utilisation d'un cluster Pfsense est bien sûr une bonne solution. Est-ce bien ce que vous avez mis en œuvre ? Compte tenu de vos questions je n'en suis pas certain. C'est pourquoi je ne comprend pas "2GW pour un Wan".

2 Problèmes ce pose à moi:
  PFsense ne veut pas plusieurs GW avec la m^me IP.
  PFsense ne veut pas tester la même IP pour différente GW.

J'ai du mal à comprendre. Tout cela devrait être pris en charge via le cluster Pfsense.
Le monitoring de tout cela avec Nagios ou Zabbix devrait ne pas poser de difficultés particulières.
Soit il manque des éléments dans l'énoncé soit il y a un problème d'architecture.

Juve

Il faut deux WAN dans deux subnet différents.
Il faut comme IP de monitoring pour chaque WAN utiliser l'IP de laplaque xDSL à laquelle vous vous connectez (pour chaque WAN bien entendu).

Torx

Bonjours.

Je vous remercie de vos réponses.
Je suis désolé d'avoir laissé des fautes, j'avais passé le texte au correcteur d'orthographe et l'avais fais relire.

Je en suis pas maître(financier) de l'architecture informatique, juste l'exécutant.(Les décideurs ont trouvé trop cher les connections SDSL)

Je suis venu vous voir car j'ai eu hier des problème entre l'un de mes FAI et mon fournisseur de VoIP ce problème à mis à mal la qualité de la téléphonie.

@ccnet:

Le monitoring de tout cela avec Nagios ou Zabbix devrait ne pas poser de difficultés particulières.

On peut demandé à PFsense de ce servir de Nagios pour surveiller les routes?
Si oui, comment faire?

Actuellement, nous n'avons qu'un PFsense(VM).
La mise en place d'un 2ème serveur PFsense ne devrait pas posé de problème ni prendre plus de 5min(Snapshots du serveur actuel) sauf si l'un de mes supérieurs ne le veut pas.

Mon niveau de compétence dans les domaines:

• des réseaux et de la sécurité: CCNA,
• en anglais: google trand…

jdh

Niveau de compétence ?
=> On ne fait pas tourner en production un firewall virtualisé (quel qu'il soit). Et ça c'est une grave erreur !
=> SDSL est trop cher ? et une interruption de téléphone ne coute rien ? Et ça c'est un défaut d'appréciation.

On peut être exécutant et dire des choses !

Les flux VoIP imposent une qualité de service irréprochable. Il est clair que la recommandation de ccnet est la bonne : une SDSL dédiée s'impose.
Il me semble tout aussi clair que, sur le réseau interne, il faut un VLAN dédié téléphonie associé avec la sortie SDSL.
D'ailleurs certains téléphones savent très bien gérer le VLAN séparant le flux VoIP et le flux du micro connecté dessus !

Certains flux ont des caractéristiques propres : http, ftp, pop sont adapté à l'ADSL, mais pas smtp et la VoIP s'accomode plutôt d'une SDSL.

La finance c'est bien mais la compréhension des flux, de la sécurité, de schémas sains est plus qu'essentiel !
Et il suffit de lire ce qu'écrivent ccnet ou juve, ils ont de l'expérience !

NB : J'ai tendance à dire qu'un T2 ou un T0 est planté 1 fois tout les 7 ou 10 ans, alors qu'un lien Internet est coupé 1 fois par an !

Torx

@jdh:

Niveau de compétence ?
=> On ne fait pas tourner en production un firewall virtualisé (quel qu'il soit). Et ça c'est une grave erreur !
=> SDSL est trop cher ? et une interruption de téléphone ne coute rien ? Et ça c'est un défaut d'appréciation.

On peut être exécutant et dire des choses !

Elles ont été dites.

Je ne suis pas venu ici pour refaire le monde. J'AI proposé il à mes supérieurs l'architecture donc vous parlez après une semaines sans qu'il change de position, j'ai laissé tombé et les connaissant. Ça ne me retombera pas dessus quand ça plantera, ils assument leur choix. (ça fait 50€ d'écart entre 1 SDSL+ 1 adsl et 3ADSL, je le sais et ils le savent aussi.)

ccnet

Actuellement, nous n'avons qu'un PFsense(VM).

Pfsense (ou tout autre firewall) en vm à mon sens ce n'est pas admissible.

Plutôt avec Zabbix. Il y a un agent Zabbix pour Pfsense dans les packages.

Torx

Merci.

Pour le firewall en VM, je fais remonté l'info.
(Aurais-tu un lien qui explique pourquoi c'est mal? Je suis admin serveur à la base et là, j'ai du mal à comprendre où ce situe le problème. En faisant une recherche, j'ai trouvé plein d'exemple de gros/très gros réseau étant raccordé par FW virtualisé. Ok, certainement pour des raison de cout.)

ccnet

Vous trouverez des premiers éléments de réponses en regardant sur le site de HSC ( hsc.fr ) une présentation vous éclairera :
http://www.hsc.fr/ressources/presentations/ossir_vmware_2008/OSSIR_VMware_20080807.html

Comme on le comprend vite, l'ajout de composant , comme dans tout système, augmente mécaniquement les risques. Le niveau de risque est directement proportionnel aux nombres de lignes de codes. Et encore je ne considère que l'hyperviseur, je ne parle même pas des solutions Vmware "hostées".

Il est aussi intéressant de s'interroger sur les flux TCP/UDP qui sont nécessaires au bon fonctionnement de Vmware. Ils compliquent très sérieusement les choses.

Je me suis toujours systématiquement, et avec succès, opposé à la virtualisation du firewall. En dehors de cela Vmware ESX est un produit remarquable. Certains, qui ne veulent pas comprendre, déduisent de mes propos que la virtualisation est à jeter. Ce n'est absolument pas mon propos. J'utilise la virtualisation en production, sur des infrastructures parfois très sollicitées (des dizaines de sites web qui peuvent produire pendant plusieurs jours des flux réseaux soutenus supérieur à 100 mbits/sec). La virtualisation rend de grand service, mais pas n'importe comment, ni partout.

Juve

Je suis sur le principe d'accord avec CCNET. Je ne virtualise aucun firewall de concentration ou de publication, entendez par là sur infrastructures de taille et d'importance notable avec une exposition directe au domaine publique.Concernant VMWare, il faut également noter que leur hyperviseur obtient de très bons résulats depuis un certain nombre d'années dans les tests des laboratoires de recherche de vulnérabilité, il est également certifié EAL4+ (http://www.vmware.com/company/news/releases/common_criteria.html)

Cependant dans certains cas, la balance risques,criticité, impact économique permet de déroger à la règle. Il m'arrive de mettre en oeuvre des "bundle" formés d'un ESXi avec 3 ou 4 cartes ethernet avec une VM PF et une VM proxy sur des sites de type "agence ou filliale" ou la connnexion Internet se trouve être une ADSL. Architectures peu complexes où la surface d'attaque extérieure est très limitée car dans la plupart des cas je laisse le routeur opérateur effectuer le NAT et aucun flux entrant n'existe, dès lors le bundle a comme principal rôle de limiter les flux en sortie tout en évitant d'avoir un proxy sur un firewall.

Torx

@Juve:

Cependant dans certains cas, la balance risques,criticité, impact économique permet de déroger à la règle. Il m'arrive de mettre en oeuvre des "bundle" formés d'un ESXi avec 3 ou 4 cartes ethernet avec une VM PF et une VM proxy sur des sites de type "agence ou filliale" ou la connnexion Internet se trouve être une ADSL. Architectures peu complexes où la surface d'attaque extérieure est très limitée car dans la plupart des cas je laisse le routeur opérateur effectuer le NAT et aucun flux entrant n'existe, dès lors le bundle a comme principal rôle de limiter les flux en sortie tout en évitant d'avoir un proxy sur un firewall.

C'est en gros mon cas. (avec une connexion ADSL "redondé").
En gros 20 personnes avec téléphonie IP (50% du trafique).

Vous parlez tout les 2 de VMware, et Zen, donne quoi niveau sécurité? (la virtualisation, c'est quelque part de ma faute, parce que j'en avais parlé pour autre chose, mais c'est  XEN qui a été retenu plus facile à utiliser au 1er abord)

jdh

Pour un tout petit site, genre 2 utilisateurs derrière une ADSL, on peut imaginer

• la box adsl,
• un pc avec 2 cartes réseaux,
• sur ce pc, on installe un système de virtualisation, 1 VM firewall (pfSense) et éventuellement 1 VM proxy ou 1 VM petit serveur de partage fichier,
• un switch,
• les 2 PC des utilisateurs et éventuellement une imprimante (réseau).

Au niveau sécurité, on fera attention à configurer dans la box les renvois vers la VM firewall port par port.
On veillera à attribuer une fausse adresse à la carte réseau connectée à la box au niveau de l'hyperviseur : seule la VM firewall disposera d'une ip la connectant à la box.

Cela est approximativement sûr s'il n'y a pas 50 ports d'ouverts et de préférence avec un vpn vers le site central …
Parce que la box effectue déjà un filtrage basic en entrée et utilise une ip dynamique, cela offre déjà un petite sécurité.

Dans un cas comme celui là, j'utiliserai Proxmox (KVM + OpenVZ).

ccnet

C'est en gros mon cas. (avec une connexion ADSL "redondé").
En gros 20 personnes avec téléphonie IP (50% du trafique).

20 personnes, redondance ADSL, ce qui n'est déjà plus un petit site.