Bonjour à tous,
je suis en train de repenser notre architecture réseau pour tenir compte de nos nouveaux besoins.
Aujourd'hui, la tête de réseau est composée de : - Routeur Netgear SRX5308 Quad-WAN relié à des BOX. - Switch Layer 3 en DMZ relié aux serveurs - Switch Layer 2 sur le LAN
Le routeur est utilisé pour du VPN IPSEC routeur à routeur et VPN SSL.
J'ai besoin de la fonction de SplitDNS que l'on trouve sur iOS 15.1 (de mémoire). (Pour ceux qui ne connaissent pas, cela consiste à router vers des IP distinctes un protocole donné en fonction du nom DNS spécifié. Par ex, toto1.mondns.org vers 192.168.0.10 et toto2.mondns.org vers 192.168.0.20)
J'ai un Cisco ASA5505 que je voudrais mettre en production pour cause de raz-le-bol des bugs à Netgear.
L'ASA ne sait pas faire de splitDNS donc il me faudra changer le routeur. Je peux le mettre en firewall transparent ou routé. - Si je l'utilise en routé, je pense lui faire gérer le LAN, la DMZ, les VPN IPSEC et SSL. Le routeur quad WAN servirait uniquement d'agrégation de liens Internet. - Si je l'utilise en mode transparent, il serait dans le LAN et ferait la gestion IPSEC/SSL.
Je n'ai pas encore regardé la partie IDS/IPS si cela impose une architecture précise.. Il y a des restrictions sur le 5505 que je ne connais pas par cœur. Et sans doute d'autres usages que je n'ai pas pensé.
Pour complément d'informations, nous hébergeons des services d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
Du coup, quelle architecture choisir ?
Merci,
Vincent
Vincent,
Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
Du coup, quelle architecture choisir ?
* Pas des cretinbox ADSL * Pas d'agrégation bricolée made in china * Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"
Prends un vrai lien et un secours, un vrai routeur qui n'a pas de fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu tiens à des fonctions pas gérées par un pfSense, et là tu auras une chance de fournir un service de qualité.
Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !
Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion. J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.
Notre architecture actuelle n'a pas pour but de concurrencer TelecityGroup. On adapte en fonction de notre croissance et de notre budget. Budget qui a malheureusement été bien entamé à cause d'un incendie fin 2008 (ceux qui suivent la liste de l'OSSIR se souviendrons peut-être). (Et ne rigolez pas parce que je suis sûr que je pourrais en faire devenir plusieurs d'entre vous bien blanc si j'épluchais leur contrat d'assurance...)
(Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk que met B3G ;p. Ici c'est une box pro avec GTR. Les autres liens sont en cours de réflexion entre Céleste et Altitude.)
Pour répondre à la remarque de Raphael, mon exemple contient 2 noms DNS parce que justement on a prévu d'en utiliser au moins 2. Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne sert à rien et un simple routeur suffit. Le case ouvert chez Cisco a donné l'architecture cité au début du topic (en remplaçant le routeur). Pour ceux qui veulent voir la vision de Cisco sur le Split DNS : http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html
"L'asa gère une option qui s'appelle split-dns mais ce n'est dans le cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur. " C'est bizarre que Cisco m'aient orienté sur les séries 1900/2900. Le but n'est pas gérer tout le DNS sur un routeur mais uniquement les services en entrées qui sont partagés entre plusieurs serveurs qui utilisent le même protocole et le même port d'écoute le tout avec un seul point d'entrée.
Maintenant si quelqu'un veut se lancer à proposer une architecture adaptée pour être constructif, je suis toute-ouïe.
++ Vincent
Le 08/05/2011 18:07, Jérôme Nicolle a écrit :
Vincent,
Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
Du coup, quelle architecture choisir ?
- Pas des cretinbox ADSL
- Pas d'agrégation bricolée made in china
- Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"
Prends un vrai lien et un secours, un vrai routeur qui n'a pas de fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu tiens à des fonctions pas gérées par un pfSense, et là tu auras une chance de fournir un service de qualité.
Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !
"Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion. J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.
Je ne pense pas qu'insulter les membres de la mailing-liste motive quiconque à te répondre. Tu te plains alors que tu as deux réponses un dimanche 8 mai, franchement c'est abusé.
Maintenant si quelqu'un veut se lancer à proposer une architecture adaptée pour être constructif, je suis toute-ouïe.
histoire d'être constructif, et suite aux deux réponses que tu as eues, je vais quand même te signaler que BSD n'a rien à voir avec linux, donc pour le "nid de Linuxiens élitistes extrémistes" c'est vraiment raté
++
David
++ Vincent
Le 08/05/2011 18:07, Jérôme Nicolle a écrit :
Vincent,
Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
Du coup, quelle architecture choisir ?
- Pas des cretinbox ADSL
- Pas d'agrégation bricolée made in china
- Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"
Prends un vrai lien et un secours, un vrai routeur qui n'a pas de fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu tiens à des fonctions pas gérées par un pfSense, et là tu auras une chance de fournir un service de qualité.
Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !
Liste de diffusion du FRsAG http://www.frsag.org/
(Sans rentrer dans la polémique, j'ai dit que j'avais l'impression, pas que c'était.)
Certes j'ai eu des réponses au topic mais plutôt que de me dire que je fais du bricolage ou que c'est mauvais, j'aurais préféré que l'on me dise quelle implémentation il aurait mieux valu faire.
++ Vincent
Le 08/05/2011 23:24, David Amiel a écrit :
"Vincent Duvernet (Nolmë Informatique)"vincent.duvernet@nolme.com a écrit :
Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion. J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.
Je ne pense pas qu'insulter les membres de la mailing-liste motive quiconque à te répondre. Tu te plains alors que tu as deux réponses un dimanche 8 mai, franchement c'est abusé.
Maintenant si quelqu'un veut se lancer à proposer une architecture adaptée pour être constructif, je suis toute-ouïe.
histoire d'être constructif, et suite aux deux réponses que tu as eues, je vais quand même te signaler que BSD n'a rien à voir avec linux, donc pour le "nid de Linuxiens élitistes extrémistes" c'est vraiment raté
++
David
++ Vincent
Le 08/05/2011 18:07, Jérôme Nicolle a écrit :
Vincent,
Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
Du coup, quelle architecture choisir ?
- Pas des cretinbox ADSL
- Pas d'agrégation bricolée made in china
- Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"
Prends un vrai lien et un secours, un vrai routeur qui n'a pas de fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu tiens à des fonctions pas gérées par un pfSense, et là tu auras une chance de fournir un service de qualité.
Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le Mon, May 09, 2011 at 12:26:10AM +0200, "Vincent Duvernet (Nolmë Informatique)" a écrit:
Certes j'ai eu des réponses au topic mais plutôt que de me dire que je fais du bricolage ou que c'est mauvais, j'aurais préféré que l'on me dise quelle implémentation il aurait mieux valu faire.
Jérôme t'a fait une parfaite réponse dans ce sens: l'implémentation qu'il vaut mieux faire, ce n'est pas ce que tu as décrit.
Maintenant, on comprend bien que tu as des contraintes de budget (comme tout le monde), mais il a bien répondu à la question. Si elle est mal posée, le problème est ailleurs.
Arnaud, quadri-capillotracteur.
PS: regarde donc du côté de zeroshell.
Le 08/05/2011 22:19, "Vincent Duvernet (Nolmë Informatique)" a écrit :
Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion. J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.
Non sur une liste d'adminsys :)
(Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk que met B3G ;p. Ici c'est une box pro avec GTR. Les autres liens sont en cours de réflexion entre Céleste et Altitude.)
Client B3G ? il est temps de changer en effet (B3G n'existe plus, détruit par completel). Je te déconseille aussi Altitude pour le moment car rachété par Completel (on va attendre de voir s'ils les désintègrent aussi, ou s'ils sont plus intelligent cette fois).
Pour répondre à la remarque de Raphael, mon exemple contient 2 noms DNS parce que justement on a prévu d'en utiliser au moins 2. Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne sert à rien et un simple routeur suffit. Le case ouvert chez Cisco a donné l'architecture cité au début du topic (en remplaçant le routeur). Pour ceux qui veulent voir la vision de Cisco sur le Split DNS : http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html
Du coup je ne comprends pas ce que tu veux faire ? tu veux forwarder la requête sur tel ou tel serveur dns en fonction de critères ?
"L'asa gère une option qui s'appelle split-dns mais ce n'est dans le cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur. " C'est bizarre que Cisco m'aient orienté sur les séries 1900/2900.
Bein les 1900/2900 c'est des routeurs cisco, pas des ASA justement (pix si on veut).
Le but n'est pas gérer tout le DNS sur un routeur mais uniquement les services en entrées qui sont partagés entre plusieurs serveurs qui utilisent le même protocole et le même port d'écoute le tout avec un seul point d'entrée.
Je suis vraiment pas sur de comprendre ton besoin ? load balancer des services derrières un point d'entrée, ou un genre de multiplexage de service (genre de vhost multi protocole ?)
Le 09/05/2011 21:35, "Vincent Duvernet (Nolmë Informatique)" a écrit :
- Utiliser un seul port 8080 et forwarder la requête vers la bonne IP
en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)
Comme utiliser apache en reverse proxy avec des virtual hosts..? Pourquoi vouloir faire ça avec du routage? (et comment?)
P.-A.
'jour.
- Utiliser un seul port 8080 et forwarder la requête vers la bonne IP
en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)
Comme utiliser apache en reverse proxy avec des virtual hosts..? Pourquoi vouloir faire ça avec du routage? (et comment?)
Parce que c'était pour l'exemple. Les services utilisés ne sont pas qu'en web.
Ca devient plus rock'n'roll alors. Mais fallait choisir un autre exemple 8)
De plus ceux en web utilisent parfois des serveurs à eux sur lequel on n'a pas forcément la main.
Et ? Le reverse-proxy s'en fout de ça.
David
Le 10/05/2011 05:07, David Touitou a écrit :
De plus ceux en web utilisent parfois des serveurs à eux sur lequel on
n'a pas forcément la main.
Et ? Le reverse-proxy s'en fout de ça.
Du coup il ne doit s'agir que de protocole qui transporte l'information du nom dns pointé. C'est plutot de l'aiguillage niveau 7 qu'un problème de routage IP, non?
Vincent,
Le 8 mai 2011 22:19, "Vincent Duvernet (Nolmë Informatique)" vincent.duvernet@nolme.com a écrit :
Pour une première question, on va dire que l'accueil est loin d'être celui auquel je m'attendais sur ce type de liste de diffusion. J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes extrémistes.
Plaît il ? Il n'y a ni proselytisme ni dénigrement infondé dans ces réponses, juste des faits : tu demandes conseil pour faire quelque chose qui marche, on te réponds avec des choses qui marchent. Après, si tu préfères un système bancal et bricollé, c'est ton choix, mais on ne peut pas te le conseiller.
Notre architecture actuelle n'a pas pour but de concurrencer TelecityGroup. On adapte en fonction de notre croissance et de notre budget.
Ca va de soi, mais n'oublies pas que considérer l'infrastructure comme une charge compréssible, ça va t'ammener à perdre du temps et de la qualité, surtout pour la production de services hébergés. Pour ça, jouer avec des solutions grand public (une livebox/9box pro ou business, ça reste une offre avec un support restreint et peu de garanties), c'est prendre un risque.
Bon, ça règle le problème de croissance, puisque dans ce cas, elle est peu probable ;)
Budget qui a malheureusement été bien entamé à cause d'un incendie fin 2008 (ceux qui suivent la liste de l'OSSIR se souviendrons peut-être). (Et ne rigolez pas parce que je suis sûr que je pourrais en faire devenir plusieurs d'entre vous bien blanc si j'épluchais leur contrat d'assurance...)
La dessus on est bien d'accord, les garanties sont souvent très légères.
(Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk que met B3G ;p. Ici c'est une box pro avec GTR. Les autres liens sont en cours de réflexion entre Céleste et Altitude.)
Ces deux là n'auraient pas forcement été mes premiers choix, mais on rentre dans un autre débat. A la limite ça ferait plutot l'objet d'un autre thread.
Le 08/05/2011 15:27, "Vincent Duvernet (Nolmë Informatique)" a écrit :
J'ai besoin de la fonction de SplitDNS que l'on trouve sur iOS 15.1 (de mémoire). (Pour ceux qui ne connaissent pas, cela consiste à router vers des IP distinctes un protocole donné en fonction du nom DNS spécifié. Par ex, toto1.mondns.org vers 192.168.0.10 et toto2.mondns.org vers 192.168.0.20)
Deux remarques : je penses que ton exemple est mauvais puisque tu utilises deux noms différents. Un meilleur exemple serait de répondre (ou pas) deux @IP différentes pour un même nom. Deuxièmement le split dns (ou n'importe quel autre nom on peut donner a cette technique) est presque toujours une mauvaise idée. Cela arrive généralement quand on utilise les mêmes zones en interne et en externe pour des fonctions différentes. bref.
L'ASA ne sait pas faire de splitDNS donc il me faudra changer le routeur.
L'asa gère une option qui s'appelle split-dns mais ce n'est dans le cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur.
Du coup, quelle architecture choisir ?
Pour le reste, pas mieux que mes collègues qui ont déjà répondu. Si tu veux faire du SaaS (j'adore ces acronymes qui ne veulent rien dire) il va te falloir une infrastructure réseau un peu plus conséquentes.
-
"Vincent Duvernet (Nolmë Informatique) " -
Arnaud Launay -
David Amiel -
David Touitou -
Jérôme Nicolle -
Pierre-Arnaud -
Raphael Mazelier -
Simon Morvan