VPN Site à Site + Filtrage Utilisation Internet - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 17-01-2012 à 10:40:02
Bonjour,
Ce que je te conseille personnellement, c'est de migrer tes liens vers du SDSL et de faire du VPN MPLS.
Le SDSL te garanti un débit symétrique, et le MPLS est souvent à la responsabilité du fournisseur, donc c'est lui qui gère les aspects techniques.
A ta place, voici ce que je ferais :
Internet ------------ Site A
|
|
|-----|-------|
Site B Site C Site X...
Ton point A est ton point de collecte. Il centralise toute les connexions et est relié à Internet.
Du coup, pour l'aspect filtrage, tu mets un proxy entre internet et le point A. Ainsi, tout ton réseau est filtré.
Marsh Posté le 17-01-2012 à 11:09:28
Salut,
Si le coût entre en jeu, voici ce que je ferais :
+1 avec la SDSL, surtout sur le site A. Je prendrais au moins du 2meg, et je conserverais la ligne ADSL pour faire du web et autres download.
Je prendrais 2 routeurs/firewall, 1 pour chaque site, et monterais un VPN Ipsec entre les 2 sites. Franchement, ce n'est pas très compliqué ; sur un matos type Sonicwall, ça se fait en quelques minutes, c'est bien documenté ; tu pourras en plus faire du loadbalancing ou du failover sur ton site A si tu as conservé la ligne ADSL. Pour le 3ème site, il suffirait de rajouter un nouveau routeur/firewall, connecté au site A (voir aussi au site B si besoin), tout aussi simple.
Pour ce qui est du filtrage, via le routeur/firewall tu peux effectivement forcer tout ton trafic Internet à passer par ton VPN, pour être filtré par un proxy sur le site A (ou alors, si t'as un peu de budget, la plupart des routeurs/firewall ont un système de filtrage, souvent payant) ; mais ça en terme de perfs et compte tenu de tes lignes, c'est moyen.
Effectivement, la solution de facilité c'est le MPLS en SDSL... a vrai dire je n'ai pas d'idée du coût, mais mensuellement ça va être non négligeable!
Marsh Posté le 31-01-2012 à 11:07:44
Bonjour,
Je vous prie de m'excuser pour le délai de réponse, quelques soucis de santé m'ont empêché de le faire plus tôt.
Avant tout, merci pour vos réponses, qui j'en suis sûr vont nous permettre d'avancer sur le sujet !
Quand je parlais du bridage à 1 mega du MPLS, je parlais de la limite fournie par le prestataire : exemple : http://www.magic.fr/securite/vpn/mpls.php
Je ne sais pas si Orange et Free permettent ce genre de choses nativement... Du moins j'en doute c'est la raison pour laquelle je m'etait renseigné sur les prestataires. Mais cette "limite" de 1Mb en sortie me gêne en cas d'evolution des lignes des differents site.
et passage en SDSL par exemple ou autre.
Après avoir creusé encore un peu plus les souhaits, il s'avère que l'on risque de rester à 2 sites physiques (avec eventuellement un Nomade correspondant au 3eme site).
L'idée de faire du VPN MPLS et de faire la sortie internet par le même "goulau" me dérange un peu, d'ou le terme de goulau, j'ai peur des ralentissement (plusieurs connexions Skype, navigation, etc)
Existe-t-il des "routeurs" permettant une liaison VPN site à site avec une possibilité de filtrage de l'utilisation d'internet ? Ceci afin de monter le VPN entre le Site A et le Site B, chaque Site préserve sa sortie vers internet (voir passage SDSL eventuellement) et la sortie est filtrée par ce même boitier :
"INTERNET" "INTERNET"
| |
| |
BOITIER ____VPN____BOITIER
| |
| |
SITE A SITE B
Voyez vous un peu la solution ?
Cela m'obligerai à gérer la configuration du filtrage sur les deux site, mais je n'y toucherai pas tous les jours donc bon...
Merci par avance !
Marsh Posté le 31-01-2012 à 11:25:15
Il existe des appliances pour cela.
Mais perso, je ne connais et n'utilise que des distributions spécialisées sous Linux pour ce faire.
Un Smoothwall (par exemple) sur chaque site et tu feras exactement ce que tu veux.
Marsh Posté le 31-01-2012 à 17:07:19
La solution logiciel évoquée me semble difficile à mettre en place car je ne connais rien au monde de Linux :-/
De plus, cela impliquerai un serveur pour cette tâche.. Si on partait sur du windiws, on pourrait le faire sur le serveur Exchange mais bon.
Sinon après pas mal de recherche, j'ai trouvé ça :
ZyXEL ZyWALL USG 100
http://www.zyxel.fr/products/zyxel_zywall_usg_100.html
NetGear SRX5308
http://www.netgear.fr/business/pro [...] X5308.aspx
http://www.materiel.net/firewall/n [...] 57847.html
D-Link DFL-260 (Plus produit ?)
http://www.dlink.fr/cs/Satellite?c [...] FDLWrapper
http://www.materiel.net/firewall/d [...] 45509.html
Ils ont l'air de faire le VPN Site à Site + Nomade.
Le filtrage de contenu Web (avec abonnement apparement), mais difficile de connaitre les fonctionalités
Le load balancing ou failover WAN ! pas mal, sur un des deux site on a la possibilité d'avoir des lignes supplémentaires assez facilement.
Quelqu'un connaitrait-il ce type de boitier ? Car les prix diffèrent du simple au triple...
J'ai regardé chez Cisco ou autre mais pour le moment difficile de m'y retrouver...
Merci par avance
Marsh Posté le 31-01-2012 à 17:17:56
-BUZZ- a écrit : La solution logiciel évoquée me semble difficile à mettre en place car je ne connais rien au monde de Linux :-/ |
Pas besoin d'être expert en Linux. Même pas connaisseur. Même pas besoin d'en avoir installé un pour ce que tu veux faire.
Il s'agit de distributions spécialisées que tu administres via interface WEB. Si tu as 3 commandes à passer en SSH, ce sera la fin du monde et c'est très bien documenté sur les forums communautaires.
Concernant la partie matérielle, il existe des boîtiers mini-itx qui font très bien l'affaire type Neo CV763A-4R10C
Marsh Posté le 01-02-2012 à 08:58:27
La solution logiciel serait pour moi un avantage si je pouvais la mettre sur un server existant. En l'etat cela m'obligerai à racheter une machine (ou le boitier Neo CV dont tu as donné la référence).
Donc soit racheter et parametrer ce boitier, soit prendre un boitier tout pret (garantit à vie sur certain), je penche pour la seconde solution.
Personne n'a de retour d'utilisation sur les boitier cités ?
J'envisagerai la seconde solution si pas d'autres choix...
Marsh Posté le 01-02-2012 à 09:30:29
OK.
Mais je ne suis pas sûr que le coté financier soit un bon argument.
Ton appliance, tu vas la payer et les abonnements après aussi.
Marsh Posté le 02-02-2012 à 11:44:54
Concernant les boitier unifié, chez nous on utilise des Fortigate 60C qui permettent de faire du VPN Site à Site / Site - Nomade facilement en SSL et IPSec. Et tu peux réserver de la BP pour ta liaison.
Marsh Posté le 20-02-2012 à 12:07:32
Juste pour informer que si on devait choisir entre vpn site à site et je suppose que tu parles de ipsec... et vpn mpls. Il n'y a pas photo c'est le MPLS.
Mais je pense que tu confonds un peu toutes les notions...
Tu parles de filtrage web et mpls (completment différent) MPLS ne voit pas le traffic web puisqu'il travaille sur la couche 2-3.
Je pense au vue de ta connaissance (et ce n'est pas péjoratif ce que je dis). Je te conseille plutot le VPN Site à Site.
Mais pour revenir sur ton point initial, moi j'externaliserai la messagerie.
Tu ne t'emmerderas plus avec un exchange.
Si tu décides de faire une liaison site à site moi j'utilise de boitier Netasq u30 et ça fait aussi filtrage web.
Dernier point : le deuxième site est en France?
Marsh Posté le 17-01-2012 à 09:00:15
Bonjour,
Je vais vous exposer ici, 2 "problématiques", la premiere etant prioritaire, la seconde moins importante dans l'immediat mais il me semble possible de combiner les deux lors de la mise en place.
L'entreprise dispose depuis peu de 2 sites distants.
Les deux sites disposent d'une connexion ADSL :
- Site A : Orange avec LiveBox Pro (5 Mega en Down, un peu moins d'1 Mega en Up)
- Site B : Free avec Freebox Revolution (10 Mega en Down, 1 Mega en Up)
Actuellement, sur le Site A est hebergé Active Directory et Exchange.
Les postes destinés à etre utilisés sur le site B ont été inscrits au domaine avec les sessions des utilisateurs sur le Site A puis déplacés sur le Site B (oui oui, du bricolage... mais l'apparition du Site B a été faite dans l'urgence).
Les utilisateurs du site B accèdent au serveur Exchange via Outlook Anywhere.
La croissance actuelle de l'entreprise et des recrutements qui vont avec font que tous les utilisateurs accèdant à Exchange du Site B vers le Site A subissent de très gros ralentissement en raison de la faible qualité de connexion (UP) du Site A.
L'objectif serait donc de deplacer l'exchange sur le site B (ou mettre un deuxieme serveur Exchange sur le Site B en synchronisation avec le 1er) afin de limiter les echanges entre le site B et Exchange du Site A car les utilisateurs synchronisent tous des boites communes en plus de leur boite utilisateur, et laisser l'AD sur le site A (qui héberge des fichiers et appli nécessaires au site A)
Il faudrait donc mettre en place une connexion VPN entre les deux sites. Sur ce point me viennent plusieurs interrogations :
- Risque de mettre du VPN entre deux site avec AD + Exchange (QoS, etc)
- Type de VPN à mettre en place (Site à Site avec deux "routeurs" dans les baies du Site A et B ou MPLS)
A savoir qu'il est possible qu'un 3eme site face son apparition sous peu (Connexion ADSL)
Le VPN Site à Site semble plus complexe à mettre en place pour configurer les deux boitier et plus difficilement montable à 3 site ?
Le VPN MPLS présenterai l'avantage d'etre "neutre" et assez maléable mais quid des performance (notement sortie vers internet limitée à 1Mega ; aucun pb actuellement mais si un site passe en fibre, il n'en jouiera pas)
De plus, quel serait le risque pour l'exchange pour être contacté depuis l'exterieur, etc.. neutre ou pas ?
Enfin vous aurez compris un peu ma problematique.
Second point, l'objectif serait de "filtrer" l'utilisation d'internet des utilisateurs afin de limiter l'accès à certain site pendant les heures de bureau (Réseau sociaux, messageries instantanées, etc)
Les boitiers VPN permettrait-ils de faire proxy aussi ou le MPLS propose-t-il cette solution ?
Merci par avance pour votre aide !