Le 09/05/2011 10:14, Raphael Mazelier a écrit :

Le 08/05/2011 22:19, "Vincent Duvernet (Nolmë Informatique)" a écrit :

Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion.
J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.

Non sur une liste d'adminsys :)

>> Ensuite il faut différencier les AdminSys Softeux et les AdminSys Hardeux ^^

(Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk que met B3G ;p.
Ici c'est une box pro avec GTR. Les autres liens sont en cours de réflexion entre Céleste et Altitude.)

Client B3G ? il est temps de changer en effet (B3G n'existe plus, détruit par completel). Je te déconseille aussi Altitude pour le moment car rachété par Completel (on va attendre de voir s'ils les désintègrent aussi, ou s'ils sont plus intelligent cette fois).

>> Je n'avais pas suivi le chapitre B3G. Altitude dans l'Orne a très mauvaise réputation notamment sur la qualité de service. Altitude Infrastructure par contre semble avoir divorcé d'Altitude Télécoms pour fournir un pont hertziens jusqu'à Alençon et ensuite repartir sur des lignes SFR semble-t-il.

Pour répondre à la remarque de Raphael, mon exemple contient 2 noms DNS parce que justement on a prévu d'en utiliser au moins 2.
Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne sert à rien et un simple routeur suffit.
Le case ouvert chez Cisco a donné l'architecture cité au début du topic (en remplaçant le routeur).
Pour ceux qui veulent voir la vision de Cisco sur le Split DNS :
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html

Du coup je ne comprends pas ce que tu veux faire ? tu veux forwarder la requête sur tel ou tel serveur dns en fonction de critères ?

>> Oui et dont le critère est le nom DNS donné en source.

"L'asa gère une option qui s'appelle split-dns mais ce n'est dans le cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur. "
C'est bizarre que Cisco m'aient orienté sur les séries 1900/2900.
Bein les 1900/2900 c'est des routeurs cisco, pas des ASA justement (pix si on veut).

>> Oui du coup, je ne sais toujours pas s'il vaut mieux le coller en FW transparent ou routé.

Le but n'est pas gérer tout le DNS sur un routeur mais uniquement les services en entrées qui sont partagés entre plusieurs serveurs qui utilisent le même protocole et le même port d'écoute le tout avec un seul point d'entrée.

Je suis vraiment pas sur de comprendre ton besoin ? load balancer des services derrières un point d'entrée, ou un genre de multiplexage de service (genre de vhost multi protocole ?)

>> Il y a plusieurs besoins :
- Changer de méthode pour monter les VPN IPSEC et SSL en mettant l'ASA en prod
- Garder la possibilité d'avoir au moins 2 liens Internet + LAN + DMZ
- Pouvoir utiliser plusieurs services sur un même port et faire le routage en fonction du nom DNS.

Pour le dernier cas, voici un exemple parmi tant d'autres.
Si on veut accéder à plusieurs portails web dans un LAN ipv4. Quelles sont les solutions :
- Faire du NAT en utilisant plusieurs ports 8080, 8081, 8082... c'est pas génial.
- Monter un VPN et taper sur l'IP privée. C'est la meilleure option côté sécurité je dirais.
- Utiliser plusieurs IPs en entrée. Ca peut vite coûter cher.
- Utiliser un seul port 8080 et forwarder la requête vers la bonne IP en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)

(Merci aussi à Jérôme pour ses infos).
Vincent