Choix routeur pour réseau très chargé

Choix routeur pour réseau très chargé - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 11-01-2007 à 01:16:57    

Bonjour,
 
Je suis étudiant et dans les résidences de mon école, les chambres sont mises en réseau. Je souhaiterais partager ma connexion internet avec certains camarades de l'étage. J'arrive actuellement à le faire directement sur ma LiveBox (inventel) mais le réseau est très chargé : il y a plus de 200 ordis connectés simultanément certains soirs, et avec tous les pings et les scans en permanence ma Livebox ne tient pas le coup et ralentit énormément, de plus elle ne me permet pas de filtrer avec qui je partage ma connexion.
 
Je souhaite donc acheter un routeur pour palier à ces défauts mais je ne connais aucune référence dans ce domaine et j'ai du mal à trouver des comparatifs de routeurs couvrant l'un de mes soucis principaux : la capacité du routeur à supporter un très grand nombre de connexions simultanément.
 
Le routeur n'a pas besoin de gérer de DHCP : il n'est pas à la tête du réseau local mais plutôt tout au bout d'une branche tout ce que je souhaite c'est pouvoir :
1) avoir le net
2) avoir le réseau local
3) partager le net à seulement quelques personnes sur le réseau.
4) tenir la charge sachant qu'il y a du monde et que moi de mon côté je puisse pleinement utiliser ma connexion : et pas que le surf ! j'entends par là des connexions multiples pour faire serveur sur le net à au moins une vingtaine de personnes + du peer to peer (Trackmania), à la maison j'avais un routeur qui flanchait dès qu'il y avait plus d'une dizaine de connexions : il faisait un reset (coupant la connexion... sympa pour un serveur multijoueur) j'ai pas envie de revivre ca.
 
Si le routeur permet de gérer les priorités entre les connexions (faire passer le net avant le LAN) c'est la cerise sur le gateau mais ma priorité c'est surtout qu'il ne se mette pas à ralentir les connexions à cause du monde.
 
 
Quelles sont les références en ce moment pour un budget <150€ (si possible <100€ :D)  ? Y-a-t-il des comparatifs avec des tests de nombre de connexions ?
Merci

Reply

Marsh Posté le 11-01-2007 à 01:16:57   

Reply

Marsh Posté le 11-01-2007 à 01:59:01    

tu pourrais faire un schema de ton reseau?
comment il font les 200 pc pour passer par ta live box?

Reply

Marsh Posté le 11-01-2007 à 02:54:30    

Non les 200 pc ne passent pas par ma livebox,  je ne suis pas à la tête du réseau mais je suis au bout d'une branche.
http://blacksharkfr.free.fr/media/ReseauEnac.JPG
En ce moment je branche à la fois mon pc et le cable réseau qui sort du mur sur la livebox.


Message édité par BlackShark le 11-01-2007 à 02:58:01
Reply

Marsh Posté le 11-01-2007 à 03:15:17    

alors pour commencer tu n'est pas sensé fournir le moindre service (DHCP ou GW) sur le reseau de l'ecole, tu risque (outre le fait d'exposer ta becanne) de perturber le fonctionnemnt du reste du bahut.
 
Ce qu'il te faudrait c'est un routeur à 3 pattes : une connectée à Internet, une pour ton PC et une pour le reseau de l'ecole.
 
Pour les deux premières c'est simple : tu relaye tout ce que tu veux. Pour la troisième, celle connectée au reste du reseau, tu as deux possibilités :
 
- partager la connexion en direct, mais en filtrant les IP / MAC ou ports, sans fournir de DHCP
- accepter une connexion VPN bridgée sur ton LAN (ton PC), refuser tout le reste. Ca permet de savoir precisement qui se connecte parmi ceux que tu as autorisé. Beacoup plus propre et efficace que les filtrages
 
Pour faire tout ça, je crois que la meilleure option c'est IpCOP : une distribution routeur prevue pour fonctionner sur un PC de recup. Un de ses modes de fonctionnement me parait meme tout à fait approprié pour ton cas.
 
Pour mettre ça en place, il te faut un vieux PC (genre P2 ou P3 entre 300 et 500MHz) doté de 3 cartes reseau (des 10/100 à 6€ marchent très bien). Compte 6 à 10Go de disque pour t'en servir comme proxy et garder des logs, et 192 ou 256Mo de ram pour ne pas risquer de ramer. Avec ça tu peux gerer 2k sessions tcp sans probleme, et environ 10 connexions VPN si tu veux blinder ton systeme.
 
Pour la config, utilise le shema "RED/GREEN/BLUE". RED c'est la connexion Internet, GREEN ton réseau (ton PC en fait) et BLUE, prevu pour le WiFi, le reseau de l'ecole.
 
Une fois en place, tu peux partager la connexion internet sur BLUE en spécifiant les machines autorisées. Mais tu peux aussi proposer aux machines autoriser de passer virtuellement sur GREEN via un VPN, ce qui permet de joindre une LAN par exemple...
 
Pour plus d'info, www.ipcop.org et http://www.google.fr/search?q=ipco [...] =firefox-a


Message édité par nicolbolas le 13-01-2007 à 04:11:58
Reply

Marsh Posté le 11-01-2007 à 12:14:25    

Ok donc une machine dédiée sous linux avec un firewall logiciel ca pourrait le faire, ca représente du boulot mais faibable. Mon problème c'est que je n'ai pas de "vieux pc" sous la main, et bien que je doive changer de machine sous peu, mon pc actuel n'est pas vraiment un modèle de silence (je dirais même que c'est tout le contraire) donc pas adapté pour un branchement 24h/24 (je dors juste à côté du pc) il faudrait que je rachette beaucoup de composants.

 

Sinon en Routeur/Firewall hardware qu'est-ce qui pourrait être équivalent ? (les routeurs type Netgear/LynkSys/Belkin/etc...)


Message édité par BlackShark le 11-01-2007 à 12:27:59
Reply

Marsh Posté le 11-01-2007 à 12:59:10    

moi j'ai ça et ça marche nickel.
L'interface web est clair et le bouzin n'a jamais merdé pour l'instant,jamais de deco ou autres...

Reply

Marsh Posté le 11-01-2007 à 14:41:52    

pour le matos, va faire un tour sur achat/vente, tu trouveras surement ton bonheur à moins de 50€ !

Reply

Marsh Posté le 12-01-2007 à 23:07:14    

Je tente un UP du lendemain.
 
Des références pour des routeurs autonomes ? Ca méviterait toute la recherche des pièces de pc silencieuses + achats + installations des softs etc...
 
Ou bien des références de sites qui font de VRAIS comparatifs de routeurs avec teste de charge, et pas juste des tests de transferts de fichiers avec 1 seul pc branché dessus...

Reply

Marsh Posté le 12-01-2007 à 23:20:33    

table sur des elements cisco ... je n'ai plus des modeles de routeurs en tete car je me sert surtout de switch N3 pour les operations de routages et là, tu peux en mettre un enorme paquet de connexion simultanées

Reply

Marsh Posté le 12-01-2007 à 23:26:21    

pour info, un simple P2 chauffe que dal et qui dit chauffe tres, dit refroidissement passif :)
 
je pense qu'au niveau rapport prix/fonctionnalité, tu ne trouveras pas mieux en software

Reply

Marsh Posté le 12-01-2007 à 23:26:21   

Reply

Marsh Posté le 13-01-2007 à 00:19:23    

si tu veux un routeur à 3 pattes ethernet, tu vas en avoir pour au moins 400€ et ce sera au final un mini pc sous linux, type wrap ou soekris. Autant prendre un pc assemblé de recup un peu bricolé...

Reply

Marsh Posté le 13-01-2007 à 00:37:30    

OULA !!! Vous partez dans du hardware de professionnel là, je pensais à des routeurs à <150€ tels que ceux qu'on trouve dans n'importe quelle boutique d'informatique (et même en supermarché!). Mais vu que je refuse d'en prendre un au hasard avec l'histoire de mon ancien routeur, c'est pour ca que je suis venu vous demander...

 

rappel : ma livebox fonctionne, c'est juste que je n'ai pas le contrôle de qui peut accéder au net par ma connexion et que plus il y a de monde sur le LAN et plus le routeur met du temps à répondre.


Message édité par BlackShark le 13-01-2007 à 00:41:22
Reply

Marsh Posté le 13-01-2007 à 01:01:21    

un routeur classique ça ne fait que du NAT entre deux interfaces. Tu as trois segments de reseau distincts, un routeur classique n'est pas ce dont tu as besoin.
 
Toutefois il peut rester une autre possibilité : le linksys wrt54gl. Il tourne sous linux, on peut donc en faire ce qu'on veut. Et il a trois interfaces meme s'il est initiallement prevu pour n'en gerer logiquement que deux (wan et br0(=eth+wifi)).
 
Un wrt54gl coute 60€ à montgallet. Si tu connais deja le routage sous linux la manip necessaire devrait te prendre moins de 6H, sinon compte une bonne semaine pour assimiler les prerequis.
 
Grosso merdo la procedure est la suivante : après avoir flashé le routeur avec un firmware custom, type dd-wrt mini ou OpenWRT, tu prends la main sur la becanne en SSH et tu procede de la façon suivante :
 
- petes le br0
- accroche le wlan0 sur ta Livebox (si tu connectes le pc en eth, sinon met le en AP et met l'eth sur la livebox en dhclient)
- configures le wan avec une ip publique sur le reseau du campus
- montes le dhcpcd et le nat sur l'interface de ton lan OU bridge le vers la livebox (qui fourni un dhcpd et natte la connexion vers l'exterieur)
- pour les connexions venant du campus, soit tu monte un OpenVPN non chiffré (pas assez de peche) et tu bridge le tun0 sur ton lan, soit tu route en statique avec un filtrage manuel sur iptables
 
Si t'as rien capté et que t'as pas une semaine à y consacrer, oublies le routeur pas cher et choisi soit un PC de recup sous IPCop, soit un routeur pro mais que tu auras aussi du mal à configurer.
 
Bon sinon avec le wrt54gl sous dd-wrt tu peux mettre une bonne partie de la solution precedente en place sans taper une ligne de code, mais tu n'auras pas un controle complet sur ce qui passera. C'est peut etre un moindre mal...

Reply

Marsh Posté le 13-01-2007 à 01:40:24    

Je pense avoir à peu près compris, cela semble l'idéal pour moi, seul truc... pourquoi la nécessité d'avoir trois interfaces au lien de deux ? Pour la priorité entre net et lan ? ou pour avoir un firewall supplémentaire entre mon pc et le LAN ? je n'en ai pas forcément besoin je veux juste limiter l'accès entre le lan et ma connexion internet, un filtrage par ip suffirait-il ? (tout le monde est en ip statique ici)


Message édité par BlackShark le 13-01-2007 à 01:40:47
Reply

Marsh Posté le 13-01-2007 à 04:03:03    

Un filtrage par IP ne suffit pas pour deux raisons : il consomme beaucoup de ressources pour un routeur classique, en tout cas vu l'implementation qui en est faite sur la plupart des firmwares, et parcequ'il est simplissime à contourner. Un filtrage MAC à la rigueur pourrait tenir la route s'il etait bien implementé, mais là encore c'est rarement le cas sur du matos grand public.

 

Pourquoi trois interfaces ? Par ce que tu as trois zones distinctes : Internet, une zone privée et une zone publique. La zone privée est celle sur laquelle tu as tout contrôle et où aucun filtrage n'est necessaire. La zone publique est à considerer comme hostile : il peut y avoir tout et n'importe quoi. Elle represente les memes risques qu'internet, à une autre echelle : vers, virus, intrusion et squattage de ressources. Par contre il y a dans cette zone publique des machines de confiances avec lesquelles tu veux echanger des informations.

 

Tu souhaites donc
- controller l'accès de ta machine sur le net (l'autoriser)
- controller l'accès de la zone publique au net (l'interdire sauf exception)
- controller les echanges entre ta machine et la zone publique (echanges privés sur autorisation explicite d'une machine tierce)

 

J'espère que cet ennoncé te parrait plus clair et demontre l'evidence : trois reseaux, trois regles, trois interfaces...

 

Maintenant si tu demandes un conseil j'en deduit que tu cherches a obtenir quelque chose qui tiens la route. En tout cas ta demande correspond à un shema classique en entreprise, je te propose donc une solution adaptée à ce shema. Ca peut sembler surdimensionné mais c'est la bonne façon de proceder. C'est très simple à mettre en oeuvre avec IPCop, un peu moins simple sur un systeme embarqué comme un routeur grand public, mais en tout cas c'est propre et infaillible (si c'est bien monté).

 

edit : un dernier detail concernant l'IP statique. C'est une politique qui laisse l'utilisateur maitre de sa config reseau et qui, de ce fait, interdit de s'en servir pour une politique de securité. L'adressage statique à la va-comme-jte-pousse est une source d'emmerde constante sur les gros reseaux. Un administrateur, et a fortiori ses utilisateurs, ne peuvent etre aussi precis et fiables qu'un serveur DHCP. Si tu veux fiabiliser et securiser les echanges reseau, ne te base pas sur des données dont tu n'est pas maitre. Que ce soit l'IP ou la MAC, ça se spoofe comme un rien. Donc il ne faut pas s'y fier et surtout ne pas s'en servir comme base de filtrage !

 

Un autre detail : avec cette config tu masque toute ton installation derriere une seule IP sur le reseau du campus. Ca diminue les chances d'avoir une interruption de service si quelqu'un spoofe l'adresse (intentionellement ou pas). Quoiqu'il arrive ta connexion ne sera pas interrompue. Au pire tu perdra le lien avec les autres machines du reseau, mais pas avec Internet.


Message édité par nicolbolas le 13-01-2007 à 04:10:40
Reply

Marsh Posté le 10-02-2007 à 01:08:01    

Salut à tous!
J'aurai une requête à peu près semblable.
Je suis aussi dans une résidence étudiante, et je viens tout juste d'ouvrir une ligne tél. et de prendre un abonnement mégamax 8 chez Orange.
Je souhaiterais ne pas avoir à utiliser la livebox mais plutot le linksys wrt54gl.
[edit]Quel idiot je fais, je n'avais pas fait attention qu'il n'integre pas de modem :sweat:
je vais donc utiliser la livebox en plus :D  
J'espere qu'il y a toujours possibilité d'ouvrir des tunnels SSH, VNC, etc... à priori, il n'y a pas de raison pour que cela ne soit pas possible, du moins, j'ose l'espérer :sarcastic: [edit]

La connexion va être partagée avec 3 autres personnes du réseau.
Est il possible d'avoir ceci :
1 serveur perso branché sur le linksys, il doit être accessible par toute les personnes du réseau de la rézid, éventuellement accessible depuis l'extérieur de la rézid (avec un tunnel je suppose?).
1 pc perso branché aussi sur le routeur, il doit avoir accés aux différents services de la rézid (sites et serveurs perso d'autres étudiants) et à la connexion internet.
3 autres personnes vont peut être rejoindre ma connexion.
Un ptit schéma serait plus adapté :
http://neko.keogratuit.com/img/linksys.jpg
 
Autre précision : Le DHCP doit être désactivé comme vous avez pu le deviner car il pourrait rentrer en conflit avec celui de la résidence.
Le deal, c'est aussi que chaque adresse ip du réseau de la résidence doit commencer par 10.1, le reste est au choix de l'utilisateur. Moi qui n'est jamais installé de réseau à proprement parlé, comment faire quand on a une livebox qui a pour ip 192.168.0.1? On peut lui faire changer? Ou est-ce que le routeur linksys s'en charge?
Ce serait super sympa si quelqu'un pouvait m'expliquer la méthode à suivre pour obtenir ce que je recherche ;)  
Merci!


Message édité par nekofun le 10-02-2007 à 02:19:04
Reply

Marsh Posté le 10-02-2007 à 12:25:33    

Si tu as deux reseaux, tu _dois_ avoir deux segments distincts. Meme problematique donc, il te faut trois interfaces minimum, et c'est soit un PC sous IPCop, soit un routeur configuré avec tact et doigté.

Reply

Marsh Posté le 10-02-2007 à 12:55:06    

Si je comprends bien,on a donc :
1er réseau : lié à la connexion et à son partage + pc perso + serveur perso
2nd réseau : réseau de la rézid?
 
Imaginons que je prenne l'ip 10.1.138.1 pour mon routeur, je peux mettre mon pc perso sous 10.1.138.2, serveur perso : 10.1.138.3, et les personnes avec qui je partage la connexion sous 10.1.138.X ???

Reply

Marsh Posté le 10-02-2007 à 18:47:23    

NON!
 
Ce en sont pas les adresse IP qui comptent, ce sont les segments _physiques_ de reseau. Il faut une interface pour la connexion au net, une interface pour les machines safe (les tiennes) et une pour les hostiles (la residence) sur laquelle tu peux faire tourner un serveur VPN pour autoriser des hostiles à passer sur la zone safe après authentification, pas juste en verifiant leur adresse mac ou ip qui pourrait etre spoofée.
 
Cette topologie est certes plus complexe qu'un simple switch, mais c'est la seule façon de ne pas se faire pourrir par les autres PC de la residence ou de planter le reseau du campus.
 
A noter, si tu as une livebox, il y a peut etre une autre option : Livebox et PC sur le LAN du routeur. La livebox est DHCP et routeur, par contre coupe son wifi et utilise celui du linksys si besoin est. Le WAN du routeur aura une IP statique sur le reseau du campus, et avec dd-wrt version VPN tu pourra autoriser des machines à passer sur ton lan. Là c'est une topo double routeur non cascadé, c'est pas propre, mais ça peut marcher. Si tu veux acceder au reseau campus depuis ton lan tu auras juste à rajouter une regle dans la table de routage de tes PC.

Reply

Marsh Posté le 11-02-2007 à 00:33:50    

ça me semble ardu tout ça :cry:  
Il est vrai qu'avec une identifiaction ip/adresse mac, il va y avoir du spoof.
J'ai installé la version generic STD de DD-WRT, j'ai tourné un peu sur l'interface web et je suis comment dire... perdu ou presque :lol:  
Pourrais tu me décrire la manoeuvre à suivre pour autoriser l'utilisation de ma connexion via VPN, pour moi lors de l'installation et pour les personnes qui vont s'y connecter?
Désolé de te poser des questions de novice, mais on est ce qu'on est :ange:  
Merci pour ton aide ;)

Reply

Marsh Posté le 14-02-2007 à 10:34:02    

il y a une version VPN de dd-wrt qui integre le client/serveur PPTP et le OpenVPN. Il ya de la doc sur les wiki et forums liés à dd-wrt. C'est plutot simple à mettre en oeuvre, surtout le PPTP, quoique l'OpenVPN est plus performant et plus fiable.
 
Les machines du LAN n'en auront pas besoin c'est pour permettre à d'autres machines de rejoindre ton LAN et utiliser ta connexion internet que tu en auras besoin.

Reply

Marsh Posté le 14-02-2007 à 15:18:17    

nicolbolas a écrit :

Les machines du LAN n'en auront pas besoin c'est pour permettre à d'autres machines de rejoindre ton LAN et utiliser ta connexion internet que tu en auras besoin.


J'ai pour l'instant branché l'un des port lan du routeur sur la prise mural de mon appart qui relie au reséau de ma résidence. Ce port devrait pouvoir me servir pour accéder au réseau de ma résidence et permettre à quelques personnes de ce réseau d'accéder à ma connexion. Je voudrais aussi partager le serveur brancher à l'un des ports lan du routeur. J'utilise actuellement un simple filtrage IP/MAC  :whistle: pour partager ma connexion, je voudrais rajouter une protection en plus. Si j'utilise le VPN, que vont devoir faire les personnes avec qui je partage ma connexion? (paramètres et/ou logiciel éventuel à installer)

Reply

Marsh Posté le 16-02-2007 à 10:23:41    

Le reseau du campus est un WAN, pas le LAN. Tu dois donc brancher la Livebox sur le LAN du routeur en desactivant le DHCP du routeur pour utiliser celui de la Livebox, ou inversement si tu precises que la Default GW est la LiveBox.
 
Le WAN, braché sur le reseau du campus, a une adresse IP statique. Pour pouvoir acceder à ce reseau depuis un de tes PC connecté au LAN tu doit rajouter une route sur le PC.
 
Pour qu'un de tes potes rejoigne ton LAN, il doit considerer le routeur comme un serveur VPN, et installer un client VPN. Si tu utilises du PPTP, le client est integré à Windowzs. Pour de l'OpenVPN par contre il faut l'installer, mais c'est pas compliqué, le plus dur est de faire un package avec les certificats. Consultes donc la doc ou des forums concernant OpenVPN pour comprendre de quoi il s'agit.
 
Donc pour resumer, ta Livebox a une IP publique (8x.xx.xx.xx) et une IP sur le LAN (192.168.1.1). Elle agit comme DHCP sur le LAN.
 
Ton routeur doit avoir une IP statique sur le LAN (disont 192.168.1.2) et ne pas fournir de DHCP. Son port WAN est branché sur le reseau du bahut (10.xx.xx.xx par exemple)
 
Le routeur est un serveur VPN, en fonction du type de VPN que tu choisi tes potes auront besoin soit d'un login/passwd, soit d'un jeu de certificats, ainsi que de l'IP WAN du routeur.
 
Enfin, si ton PC doit causer avec d'autres machines du campus, informe le que pour acceder au reseau 10.xx.xx.xx il doit passer par 192.168.1.2, en tapant "route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.2" (sous Linux, à peu près pareil sous windows). Si ton routeur est capable de faire du routage statique, tu peux aussi l'envisager, mais en configurant bien le firewall...

Reply

Marsh Posté le 17-02-2007 à 00:54:26    

ok merci

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed