Problème de Double WAN

ccnet

Donc vous préconisez le "double-nat", afin que cela soit possible.

Pas obligatoirement

Mais juste d'avoir 2 "identités" différentes sur le net.

Vous voulez dire des résolutions de nom pointant sur des domaines différents selon l'ip publique ? Avec le reverse ?

P.S. : Si vous pouviez me conseiller un éditeur de schématique open source car avec Word, je souffre vraiment.

J'utilise Visio de Microsoft pour les schéma réseau. Voir :
http://www.commentcamarche.net/faq/8977-equivalent-de-visio-gratuit

BenGonGon

Donc vous préconisez le "double-nat", afin que cela soit possible.
Pas obligatoirement

Ce que je disais par "double NAT", c'est le nom que j'avais vu sur le net pour la technique de mettre un routeur devant.
Pour qu'il recrée un sous réseau afin d'avoir un gateway différents. Evidemment ce routeur doit natté tout ses ports sur le PFsense.
Est-ce juste?

Vous voulez dire des résolutions de nom pointant sur des domaines différents selon l'ip publique ? Avec le reverse ?

Oui et oui. J'utilise dyndns.

Suite à votre demande justifiée, voici les schémas.
J'ai volontairement omis : caméra IP, imprimante, nas, hyperviseur, ordinateur portable, borne WiFi.
-Le schémas actuel détermine la topologie actuel.
-Le schémas souhaité est ce que j'aimerais obtenir avec PFSense 2.0.1.
-Le schémas labo est la manière dont je test PFSense 2.0.1 afin de voir si il peut répondre à mon besoin. VMNIC0 est sur le VLAN2 du schéma actuel. Le DHCP du Routeur du schéma actuel lui fournit les IP par DHCP.

Je pourrais écrire encore beaucoup de chose mais je suis sur que ce sera plus dur à retrouver les informations dont vous avez besoins.
Je propose de répondre prestement à toutes questions afin de se concentrer sur ce qui est vraiment important pour le cas présent.
Encore une fois, un grand merci pour votre aide.

ccnet

Vous indiquez plusieurs ip publiques sur le schéma, puis vous parlez de dynDNS. En général DynDNS = ip dynamique, non fixe, et une seule ip chez un isp grand public. Ip publiques multiples, un /30 par exemple, = ip statique donc Dyndns inutile.

Je ne comprend pas bien. Les ip mentionnées sont bien à vous ?

Avant d'éclaircir le point qui précède je remarque que vous raisonnez toujours en terme de solution technique mais que nulle part figure une expression de besoins fonctionnels ou métiers ou encore une expression de besoin de sécurité. La sécurité est un sujet important de ce forum qui traite notamment de firewall.

Le schéma "PFSsouhaité" est quasi suicidaire en terme de sécurité par manque de séparation physique des flux.

Le double Wan.
Il n'est nul besoin de ce montage compliqué. la solution est en général l'usage d'ips virtuelles sur pfsense et du nat outbound selon besoin pour les flux sortant d'une machine donnée. le trafic sortant de cette machine est donc naté, non plus abec l'ip wan mais avec une ip virtuelle utilisée dans le nat outbound.

Enfin un routeur n'est pas, le plus souvent, associé à du nat. un routeur … route sans translater les adresses sources et destination.

Si vous avez besoin d'une résolution dns sur internet il est fort probable que vous ayez des flux entrants à traiter or il n'est jamais question de dmz. Sujet crucial dans une architecture connectée à internet.

Vous mentionnez l’existence d'un ESX 5. Avez vous intégré le fait qu'il faut, au strict minimum (sans réseau de stockage, sans Vmotion, sans cluster, sans HA), deux interfaces réseau physiques sur un ESX, connectée chacune à un switch virtuel différent ?  Une pour les vm (mais parfois plus) et une pour le trafic de management de l'ESX (vmKernel) ? De plus ce flux devrait être séparé des autres dans un réseau (au sens ip) spécifique.

Dans un des schémas le lien trunk ne sert à rien : il n'y a que le vlan 2 sur le commutateur de droite.

Voilà pour mes premières réflexions.

BenGonGon

Vous indiquez plusieurs ip publiques sur le schéma, puis vous parlez de dynDNS. En général DynDNS = ip dynamique, non fixe, et une seule ip chez un isp grand public. Ip publiques multiples, un /30 par exemple, = ip statique donc Dyndns inutile.

Mon FAI me fournit 2 IP dynamique. Je mets à jour mes DNS à jour avec dynupdater pour le PC routeur. Sinon le routeur a la fonction de mise à jour pour DYNdns.

Avant d'éclaircir le point qui précède je remarque que vous raisonnez toujours en terme de solution technique mais que nulle part figure une expression de besoins fonctionnels ou métiers ou encore une expression de besoin de sécurité. La sécurité est un sujet important de ce forum qui traite notamment de firewall.

J'aimerais tout simplement rationalisé mon réseau. Ne pas être obligé de passer par 36 interfaces différents pour faire des modifications. Je pense qu'en voyant mon schéma actuel, le souhait est normal.

Le schéma "PFSsouhaité" est quasi suicidaire en terme de sécurité par manque de séparation physique des flux.

Je pensais que des VLAN en dure sur un switch managed était correcte côté sécurtié. Les miens sont des CISCO SG 300-10. La gestion des switchs managed se fait uniquement sur le VLAN du lan. Si c'est vraiment si catastrophique que ça, on peut voir différement.

Le double Wan.
Il n'est nul besoin de ce montage compliqué. la solution est en général l'usage d'ips virtuelles sur pfsense et du nat outbound selon besoin pour les flux sortant d'une machine donnée. le trafic sortant de cette machine est donc naté, non plus abec l'ip wan mais avec une ip virtuelle utilisée dans le nat outbound.

Je vais lire la documentation sur les IPs virtuelles, il me manque des connaissances dans ce domaine. Ceci est une lacune que je promet de combler au plus vite.

Enfin un routeur n'est pas, le plus souvent, associé à du nat. un routeur … route sans translater les adresses sources et destination.

ça veut dire en mode "bridge"? Si oui, mon NBG 460N devrait y pourvoir.

Si vous avez besoin d'une résolution dns sur internet il est fort probable que vous ayez des flux entrants à traiter or il n'est jamais question de dmz. Sujet crucial dans une architecture connectée à internet.

Les serveurs et les workstation traine sur le même LAN pour le moment. Oui, il faudrait que je fasse une DMZ mais c'est se sera pour un peu plus tard.

Vous mentionnez l’existence d'un ESX 5. Avez vous intégré le fait qu'il faut, au strict minimum (sans réseau de stockage, sans Vmotion, sans cluster, sans HA), deux interfaces réseau physiques sur un ESX, connectée chacune à un switch virtuel différent ?  Une pour les vm (mais parfois plus) et une pour le trafic de management de l'ESX (vmKernel) ? De plus ce flux devrait être séparé des autres dans un réseau (au sens ip) spécifique.

Mille excuse de vous contredire mais ce que vous avez édicter n'est pas obligatoire. Certe c'est plus élégant et recommandé pour les fortes charge mais pas obligatoire. Avec le gigabit et leur charge de travail actuel, ça va très bien, pour preuve les printscreen.

Dans un des schémas le lien trunk ne sert à rien : il n'y a que le vlan 2 sur le commutateur de droite.

C'est pour me réserver la possibilité de faire passer un port du switch d'un vlan à l'autre sans avoir à passer par tout les switchs pour reconfiguer.

ccnet

Deux ip dynamiques disjointes donc. La solution proposée utilisant des ip virtuelles sur Pfsense n'est donc pas utilisable, il faut des ip fixes pour cela. Si l'on utilise un routeur entre Pfsense et le modem de FAI ce sera du double nat.

j'en reviens à la base de votre problème : quel réel besoin de ce que vous appelez deux identités sur internet ? Des enregistrements Cname (alias) dans les dns pourraient résoudre votre problème.

Pour le reste.

J'aimerais tout simplement rationalisé mon réseau. Ne pas être obligé de passer par 36 interfaces différents pour faire des modifications.

Rationaliser je comprend. Cela passe par une architecture simple et saine. La mise en oeuvre d'une dmz me semble prioritaire de ce point de vue. Interfaces différentes pour les modifications là je ne comprend pas. On ne modifie pas son architecture tous les matins. Quelles interfaces ?

Les vlans, à l'intérieur de l'infrastructure (ou d'une partie), oui pour un certain niveau de sécurité plutôt modéré. Entre le Wan et le réseau interne non, c'est trop risqué. Les switchs ne sont pas infaillibles en matière d'étanchéité des vlans.. Entre wan et le reste la séparation physique me semble incontournable.

La gestion des Vlans sur des switch multiples, chez Cisco, il y a cdp si je me souviens bien.

Pour Vmware vous pouvez bricoler. Si ma mémoire est bonne votre configuration n'est pas supportée par Vmware. En cas de problème pas de support. Il se trouve que cela semble fonctionner mais c'est sans garantie. Gros facteur de risque, qui, rapporté au coût d'une carte réseau, me semble exorbitant. En général on cherche à diminuer les risques pas à les augmenter.

Le "mode bridge" est un fonctionnement au niveau liaison de données (couche 2 dans le modèle OSI), le routage est une fonctionnalité de la couche réseau (niveau 3). Lorsque vos paquets vont de votre modem adsl jusqu'à www.google.com par exemple, ils ne sont jamais natés mais ils traversent facilement une quinzaine de routeur. Le serveur Google voit votre ip pblique dans l'entête du paquet. Un pont (bridge) est utilisé le plus souvent pour une interconnexion entre des réseaux utilisant des protocoles de liaison de données différents. Un grand classique fût, il y a quelques années déjà, l'interconnexion de réseau Ethernet avec des réseau Token ring. Plus près de nous, le "modem" adsl de nos fai réalise la même opération entre Ethernet et ADSL ou autre.

Dans la hiérarchie des priorités, il me semble que l'établissement d'une ou plusieurs dmz est de toute première urgence pour rationaliser et sécuriser votre réseau. Autre sujet, votre ESX, dont je vois qu'il y est question de dmz. Tout cela sur une seule et même carte, avec du iscsi, rien n'est protégé, pas même votre stockage. dans ces conditions la bonne isolation et la sécurité de vos vm sont très aléatoires.

Pour simplifier et rationaliser, commencez par définir les zones réseaux nécessaires selon les critères de sécurité classiques (dict). Puis simplement : une zone = un sous réseau ip = une interface sur Pfsense. Utilisez les vlans pour mutualiser vos commutateurs. Sauf pour wan.

BenGonGon

@M.:

Deux ip dynamiques disjointes donc. La solution proposée utilisant des ip virtuelles sur Pfsense n'est donc pas utilisable, il faut des ip fixes pour cela. Si l'on utilise un routeur entre Pfsense et le modem de FAI ce sera du double nat.

Pas de problème, j'ai le routeur du schéma que je pourrai réutiliser.

@M.:

j'en reviens à la base de votre problème : quel réel besoin de ce que vous appelez deux identités sur internet ? Des enregistrements Cname (alias) dans les dns pourraient résoudre votre problème.

Je vais donner un exemple simple. Sur un site, j'ai le droit de regarder 45 minutes de video par jour. Hors ce que je veux voir dure 1h30. Je regarde 45 minutes en étant sur un gateways. Et ensuite je me mets sur l'autre gateways pour regarder les 45 minutes restantes.

@M.:

@BenGonGon:

J'aimerais tout simplement rationalisé mon réseau. Ne pas être obligé de passer par 36 interfaces différents pour faire des modifications.

Rationaliser je comprend. Cela passe par une architecture simple et saine. La mise en œuvre d'une dmz me semble prioritaire de ce point de vue. Interfaces différentes pour les modifications là je ne comprend pas. On ne modifie pas son architecture tous les matins. Quelles interfaces ?

Des modifications tous les soirs, je suis plutôt du soir. Mon réseau, je m'amuse à bricoler dessus. Quand aux interfaces, je me suis mal exprimé, je parlais d'interface (portail) web ou autre de gestion.

@M.:

Les vlans, à l'intérieur de l'infrastructure (ou d'une partie), oui pour un certain niveau de sécurité plutôt modéré. Entre le Wan et le réseau interne non, c'est trop risqué. Les switchs ne sont pas infaillibles en matière d'étanchéité des vlans.. Entre wan et le reste la séparation physique me semble incontournable.

J'ai aussi un switch non managed que je pourrais mettre pour le WAN. j'aimerais bien savoir d'où viens la porosité des VLAN.

@M.:

La gestion des Vlans sur des switch multiples, chez Cisco, il y a cdp si je me souviens bien.

Oui et je viens de m'apercevoir qu'il était activé par défaut. Il y a aussi le GVRP que je ne n'aime guère car si le master tombe, les autres sont dans la panade. Si je me rappel bien.

@M.:

Pour Vmware vous pouvez bricoler. Si ma mémoire est bonne votre configuration n'est pas supportée par Vmware. En cas de problème pas de support. Il se trouve que cela semble fonctionner mais c'est sans garantie. Gros facteur de risque, qui, rapporté au coût d'une carte réseau, me semble exorbitant. En général on cherche à diminuer les risques pas à les augmenter.

Oui, je bricole ça me passe le temps. Non, je n'attend rien de la part du support de VMWare. Je puis vous rassurer, ça tourne très bien pour la charge de travail.

@M.:

Le "mode bridge" est un fonctionnement au niveau liaison de données (couche 2 dans le modèle OSI), le routage est une fonctionnalité de la couche réseau (niveau 3). Lorsque vos paquets vont de votre modem adsl jusqu'à www.google.com par exemple, ils ne sont jamais natés mais ils traversent facilement une quinzaine de routeur. Le serveur Google voit votre ip pblique dans l'entête du paquet. Un pont (bridge) est utilisé le plus souvent pour une interconnexion entre des réseaux utilisant des protocoles de liaison de données différents. Un grand classique fût, il y a quelques années déjà, l'interconnexion de réseau Ethernet avec des réseau Token ring. Plus près de nous, le "modem" adsl de nos fai réalise la même opération entre Ethernet et ADSL ou autre.

Merci, j'ai hardament tendance à m'y perdre et ai cruellement besoin que l'on me rafraichisse les idées, ce doit être l'âge.

@M.:

Dans la hiérarchie des priorités, il me semble que l'établissement d'une ou plusieurs dmz est de toute première urgence pour rationaliser et sécuriser votre réseau. Autre sujet, votre ESX, dont je vois qu'il y est question de dmz. Tout cela sur une seule et même carte, avec du iscsi, rien n'est protégé, pas même votre stockage. dans ces conditions la bonne isolation et la sécurité de vos vm sont très aléatoires.

J'en prend bonne note pour la révision de mes priorités. Quand vous avez mis en doute la sécurité de mon stockage, j’eus envie de me défendre. Ensuite je me suis ravisé car ce ne serait pas très intelligent de ma part que d'expliquer ici comment j'ai sécurisé la chose.

@M.:

Pour simplifier et rationaliser, commencez par définir les zones réseaux nécessaires selon les critères de sécurité classiques (dict). Puis simplement : une zone = un sous réseau ip = une interface sur Pfsense. Utilisez les vlans pour mutualiser vos commutateurs. Sauf pour wan.

Ce qu'il me manque, c'est VLAN pour la DMZ et un VLAN pour les ISCSI. C'est dans le pipeline des projets.
Bon, pas de LACP dans notre cas de figure et le VLAN uniquement sur la partie interne du réseau.

Je suis conscient de tout ses bons conseils que vous me prodiguez et suis aussi conscient de tous se temps que vous me consacrez.
Je vous en suis grandement reconnaissant et vous en remercie chaleureusement.
Néanmoins, je pense que nous ne somme pas à la bonne place pour parler d'hyperviseur autrement que sous l'angle de son réseau virtuel pour connaître les répercussions sur le réseau réel.
J'aimerais procéder par étape et ne pas tout faire d'un coup. Le VLAN DMZ et le VLAN viendront par la suite. Une fois qu'un double WAN sera opérationnel ailleurs que dans le l’environnent de test.

Nous avons vu ensemble que la même gateway ne peut-être utilisé pour le double WAN.
Donc je me suis permis de tester autre chose.
Le WAN1, je l'ai en mis IP statique et son gateway sur "PC routeur" du schéma actuel.
Et WAN2, je l'ai aussi mis en IP statique et son gateway sur "routeur" du schéma actuel.
Je fais des test avec et j'ai quelque pépin.
mais là, il est tard et vous promets de vous l'écrire demain.

BenGonGon

Bonjour,
Comme dit précédemment, je suis arrivé sur un pépin.
Quand le PC (IP_Prog) est sur sortie1 dans les alias, tout fonctionne.
Lorsque je déplace le PC (IP_Prog) sur la sortie2, là plus rien ne marche.
J'ai fait quelque capture d'écran afin de donner plus détail sur la configuration de PFSense 2.0.1.
Quelqu'un peut me dire où est-ce que j'ai péché?

ccnet

Je vais donner un exemple simple. Sur un site, j'ai le droit de regarder 45 minutes de video par jour. Hors ce que je veux voir dure 1h30. Je regarde 45 minutes en étant sur un gateways. Et ensuite je me mets sur l'autre gateways pour regarder les 45 minutes restantes.

Un proxy anonymisant pourrait vous tirer d'affaire ?
Très honnêtement nous sommes dans la contorsion juste pour ne pas payer un service qui l'est probablement au delà des 45 mn. Il n'y a donc pour moi pas de réelle justification à cette demande compte tenu de l'objectif "fonctionnel". Pour le reste je vous donnerai quelques informations plus tard, j'ai peu de temps aujourd'hui.

BenGonGon

Bonjour,
j'ai dit :

Je vais donner un exemple simple. Sur un site, j'ai le droit de regarder 45 minutes de video par jour. Hors ce que je veux voir dure 1h30. Je regarde 45 minutes en étant sur un gateways. Et ensuite je me mets sur l'autre gateways pour regarder les 45 minutes restantes.

Comme j'aurais pu dire, utilisé une gateway pour les workstations et utilisé l'autre gateway pour les serveurs.
Ou dire, en utilisant deux gateways j'ai 2 fois le range de ports.

M. ccnet je suis vraiment désolé que ce soit à vous qu'incombe, encore, la tâche de me répondre.
Vous avez déjà consacré tant de temps à étudier mon cas que cela me gène un peu de vous en redemander.

Je suis parfaitement conscient que je ne suis pas le seul sur ce forum à avoir des questions.
Et je trouve très fair-play et légitime, de votre part, que de m'annoncer que vous n'y pourrez y répondre de suite.
Sachez que même si vous arrêtiez de répondre à mes questions maintenant, je vous serais quand même très reconnaissant pour tout le temps que vous m'avez consacrez.

Quand aux contorsions, aux vus des fonctionnalités PFSense, je ne pensais pas que ce cas de figure le poussait dans ses derniers retranchement. J'ai, peut-être, mal analysé mes besoins vis-à-vis du soft. Si c'est le cas, je vous présente toutes mes excuses. Veuillez croire en ma bonne foi que je n'ai l'habitude d'utiliser une presse de 10 tonnes pour planter un clou au mur.

M. ccnet au plaisir de pouvoir vous lire à nouveau.

ccnet

Les alias imbriqués, outre que je n'en vois pas l'utilité, je ne suis pas certain que cela soit supporté.
Pour le reste je vais résumer brièvement mon point de vue.

Ou dire, en utilisant deux gateways j'ai 2 fois le range de ports.

Aucune utilité.

Comme j'aurais pu dire, utilisé une gateway pour les workstations et utilisé l'autre gateway pour les serveurs.

Si il y a un vrai besoin, professionnel, et on met les moyens nécessaires en place. Par exemple un abonnement Internet avec un /30 en adresses statiques et une segmentation des réseaux propres et vous utilisez du nat outbound.
Pour le reste vous avez cette "solution" avec un routeur intermédiaire.
Et pour finir, pour ne pas payer les services auxquels vous souhaitez accéder, les proxys anonymisant.
Vous n'arriverez à rien en compliquant de plus en plus les choses. Pfsense fonctionne conformément a ce qui est prévu. Ce qui est prévu correspond à des utilisations normales, saines. Il manque certaines fonctionnalités à la marge. Pour le reste on tombe dans le bizarre avec tous les risques que cela comporte.