QoS dans VPN Lan2Lan



  • Hello,

    En entreprise, je suis en train de découvrir, tester, configurer puis prochainement mettre en prod du pfSense (v2.0.1).

    L'entreprise a :

    • Le siège (2 x aDSL + 1 sDSL)
    • 2 sites (1 aDSL + 1 sDSL chacun)
      Chaque aDSL est dédiée à la route par défaut (surf, serveur mail, etc.) excepté au siège où il est nécessaire d'en avoir 2.
      Chaque sDSL est dédiée au VPN qui sera prochainement créé entre plusieurs pfSense (accès aux ressources du siège, prochainement VoIP pour l'interconnexion de 2-3 PABX, dans le futur flux Active Directory et autres outils de gestion du parc).
      Quand pfSense sera en prod, VPN pour les machines nomades (roadWarrior)

    Au siège, la machine à toutes ces interfaces :

    pfSense
    |

    • LAN
    • WAN1 (adsl Orange)
    • WAN2 (adsl Free)
    • WAN3 (sDSL)
    • DMZ
    • WiFi public

    Je viens de configurer les 3 WANs en failover ( http://doc.pfsense.org/index.php/Multi-WAN_2.0 ).
    La sDSL étant dédiée au VPN et à la VoIP, elle est en "Tier 3".

    J'ai voulu m'attaquer à la QoS ( http://doc.pfsense.org/index.php/Traffic_Shaping_Guide ) mais pour l'instant je bloque (choix de "l'upload scheduler" déjà…).

    Avant de continuer mes lectures, et voyant seulement 5 interfaces dans le Wizard (Single Lan multi Wan, donc les 5 interfaces autres que le LAN), j'ai une question :

    • Devant mettre en place de la QoS dans les VPN (pour prioriser la VoIP), faut-il commencer par créer les VPN puis ensuite me mettre à la gestion de la QoS ? (pour les 3 WANs + les VPN)
      Ou puis-je me mettre à configurer la QoS pour les 3 WANs et me sera t'il possible de configurer après coup la QoS ? (pour les flux internes des VPN)

    Après lectures, je vais me tourner vers IPsec pour les VPN Lan2Lan. Est-ce que tous les types de VPN permettent de la QoS ?

    J'espère ne pas oublier d'info.

    Merci !

    J'ai aussi trouvé ces 3 liens sur le forum, liens que je lirai demain matin, une fois reposé :
       http://skear.hubpages.com/hub/How-to-Configure-Deep-Packet-Inspection-Using-pfSense
       http://www.osnet.eu/fr/content/introduction-au-traffic-shapping-avec-pfsense-20
       http://doc.pfsense.org/index.php/VoIP_Configuration



  • Je viens de monter un VPN site2site en IPsec.

    Dans le Wizard du traffic shaper je ne vois rien pour IPsec. Il n'est pas possible de prioriser les flux passant dans un VPN ?!  :-\



  • Après de nombreux mois, je reprends enfin la config des routeurs.

    Le VPN IpSec site2site fonctionne toujours.

    Mon besoin de prioriser dans le VPN est toujours d'actualité, la ToIP va prochainement être mise en place. Si quelqu'un connait/est dans mon cas…

    D'avance, merci !



  • Le seul conseil que je puisse vous donner pour m'en être toujours bien porté est de ne pas utiliser le même lien (ici le même tunnel ipsec) pour acheminer de la data et de la voix. En pratique si les deux sont chez le même FAI, je privilégie systématiquement des abonnements différents.
    Même un FAI professionnel qui a signé un contrat pour une SDSL avec une GTR de 4h est "capable" de résilier l'abonnement sous-jacent chez France Telecom à la suite d'une erreur administrative. Résultat : 10 jours sans liaison SDSL. je vous laisse imaginer les problèmes si il n'y avait pas une liaison de secours et un abonnement sur une liaison différente pour la voix.
    La MOE c'est vous. A vous de voir si vous êtes joueur et jusqu'à quel point.



  • Merci pour ta rapide réponse.

    J'ai 3 connexions, dont 2 sDSL, chez 3 providers différents au siège.
    2 connexions dont une sDSL dédiée au VPN sur les 2 sites distants.

    Les flux sont déjà répartis sur ces 3 liens.

    Le VPN sera sur une 8Mbits, et doit accueillir ls flux décrits plus haut). Je ne peux commander une sDSL de plus dédiée à la ToIP.
    Nous testerons la ToIP pour les appels internes, et si ça marche, nous l'utiliserons.

    Ma question est toujours valable, est-il possible prioriser des flux dans un VPN IPsec site2site ?


Log in to reply