Merci. Justement je ne sais pas quel matériel je vais utiliser, je prépare ma consultation. Tu me conseils quelque chose en particulier?

On 09/05/2011 17:47, Pierre Gaxatte wrote:

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur chaque site (un à travers L1, l'autre à travers L2) et de faire juste une bascule au niveau routage lorsque la liaison principale tombe. Mais ça veut dire qu'il y aura toujours quelques paquets qui transitent sur L2 pour garder les tunnels up.

Après il faudrait savoir ce que tu utilises pour monter les tunnels des deux côtés pour pouvoir dire si la bascule peut se faire automatiquement ou à la main !

Cordialement, Pierre

2011/5/9 Julien Bérard <julien.berard@probesys.com mailto:julien.berard@probesys.com>

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la
liste qui pourra sûrement m'aider!


J'ai un site principal avec 2 liaisons, une principale(L1) et une
de secourt(L2).
Je souhaite y relier d'autres sites en IPSEC.
Quelle est la meilleure façon d'exploiter mon lien de secourt(L2)
pour que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il
y a mieux:

    * Sur chaque site je paramètre une connexion IPSEC sur L1 et
      une sur L2, ensuite il faut que si L1 tombe le site passe
      par L2, dans ce cas un changement de route suffit? Est-ce
      que je peux automatiser le changement de route?
    * Dans mes paramètres IPSEC je précise un deuxième serveur à
      contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
      possible? sur n'importe quel matériel?

Merci!



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et des compétences. Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting sur l'état des tunnels et le debuggage est vraiment lourd quand quelque chose ne fonctionne pas...

Mais bon une fois le tunnel monté, ça bouge plus !

Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.

J'avais posé une question similaire il y a quelques années sur FRnog et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en tout cas il y a des chances que ça rentre dans ton budget aussi serré soit-il !).

2011/5/9 Julien Bérard julien.berard@probesys.com

Merci. Justement je ne sais pas quel matériel je vais utiliser, je prépare ma consultation. Tu me conseils quelque chose en particulier?

On 09/05/2011 17:47, Pierre Gaxatte wrote:

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur chaque site (un à travers L1, l'autre à travers L2) et de faire juste une bascule au niveau routage lorsque la liaison principale tombe. Mais ça veut dire qu'il y aura toujours quelques paquets qui transitent sur L2 pour garder les tunnels up.

Après il faudrait savoir ce que tu utilises pour monter les tunnels des deux côtés pour pouvoir dire si la bascule peut se faire automatiquement ou à la main !

Cordialement, Pierre

2011/5/9 Julien Bérard julien.berard@probesys.com

...

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui pourra sûrement m'aider!

J'ai un site principal avec 2 liaisons, une principale(L1) et une de secourt(L2). Je souhaite y relier d'autres sites en IPSEC. Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que celui-ci soit utilisé si le premier lien(L1) tombe en panne? Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a mieux:

• Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur

L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un changement de route suffit? Est-ce que je peux automatiser le changement de route?

• Dans mes paramètres IPSEC je précise un deuxième serveur à contacter

(L2) si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe quel matériel?

Merci!

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAGhttp://www.frsag.org/

-- Cordialement,

Julien Bérard

probeSys spécialiste GNU/Linux Tèl: 09-74-76-47-86

---

Liste de diffusion du FRsAG http://www.frsag.org/

A budget zéro, j'ai mis en place il y a quelques semaines des liens avec OpenSwan sur des debian. Avec du Cisco ASA à l'autre bout. So far so good. Après, la doc n'est pas très ipsec-noob-friendly (je me place dans cette catégorie, hein) et je ne suis pas certain d'avoir paramétré le dead peer detection dans les règles de l'art (après une coupure, ça bagotte parfois un peu avant le rétablissement définitif... ça va peut-être bien se régler avec un watchdog en shell).

Oui, c'est bricolo mais j'assume.

P.-A.

Le 09/05/2011 18:04, Pierre Gaxatte a écrit :

Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et des compétences. Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting sur l'état des tunnels et le debuggage est vraiment lourd quand quelque chose ne fonctionne pas...

Mais bon une fois le tunnel monté, ça bouge plus !

Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.

J'avais posé une question similaire il y a quelques années sur FRnog et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en tout cas il y a des chances que ça rentre dans ton budget aussi serré soit-il !).

2011/5/9 Julien Bérard <julien.berard@probesys.com mailto:julien.berard@probesys.com>

Merci.
Justement je ne sais pas quel matériel je vais utiliser, je
prépare ma consultation. Tu me conseils quelque chose en particulier?





On 09/05/2011 17:47, Pierre Gaxatte wrote:

...

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur
chaque site (un à travers L1, l'autre à travers L2) et de faire
juste une bascule au niveau routage lorsque la liaison principale
tombe. Mais ça veut dire qu'il y aura toujours quelques paquets
qui transitent sur L2 pour garder les tunnels up.

Après il faudrait savoir ce que tu utilises pour monter les
tunnels des deux côtés pour pouvoir dire si la bascule peut se
faire automatiquement ou à la main !

Cordialement,
Pierre

2011/5/9 Julien Bérard <julien.berard@probesys.com
<mailto:julien.berard@probesys.com>>

    Bonjour,

    J'ai très peu d'expérience en IPSEC, je me retourne donc vers
    la liste qui pourra sûrement m'aider!


    J'ai un site principal avec 2 liaisons, une principale(L1) et
    une de secourt(L2).
    Je souhaite y relier d'autres sites en IPSEC.
    Quelle est la meilleure façon d'exploiter mon lien de
    secourt(L2) pour que celui-ci soit utilisé si le premier
    lien(L1) tombe en panne?
    Je ne sais pas si ces solutions sont possibles, et j'imagine
    qu'il y a mieux:

        * Sur chaque site je paramètre une connexion IPSEC sur L1
          et une sur L2, ensuite il faut que si L1 tombe le site
          passe par L2, dans ce cas un changement de route
          suffit? Est-ce que je peux automatiser le changement de
          route?
        * Dans mes paramètres IPSEC je précise un deuxième
          serveur à contacter (L2) si L1 n'est pas joignable.
          Est-ce que c'est possible? sur n'importe quel matériel?

    Merci!



    _______________________________________________
    Liste de diffusion du FRsAG
    http://www.frsag.org/



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

-- 
Cordialement,

Julien Bérard

probeSys spécialiste GNU/Linux
Tèl: 09-74-76-47-86


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

-- Pierre Gaxatte

---

Liste de diffusion du FRsAG http://www.frsag.org/

Intéressant, t'as déjà essayé de configurer du vpn sur ce genre de boîtier ? Je travaille sur du fortigate (sans fortimanager) et je ne trouve pas l'interface particulièrement ergonomique, ni intuitive.

Hmm, 2 petits FG50 ou FG60 ca vaut moins cher que 1 serveur Dell. Le support/kb de Fortigate contient plein de whitepaper pour la connection avec du Cisco, etc meme avec Racoon.

Le 9 mai 2011 18:04, Pierre Gaxatte pierre.gaxatte@gmail.com a écrit :

...

Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et des compétences. Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting sur l'état des tunnels et le debuggage est vraiment lourd quand quelque chose ne fonctionne pas... Mais bon une fois le tunnel monté, ça bouge plus ! Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.

J'avais posé une question similaire il y a quelques années sur FRnog et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en tout cas il y a des chances que ça rentre dans ton budget aussi serré soit-il !).

2011/5/9 Julien Bérard julien.berard@probesys.com

...

Merci. Justement je ne sais pas quel matériel je vais utiliser, je prépare ma consultation. Tu me conseils quelque chose en particulier?

On 09/05/2011 17:47, Pierre Gaxatte wrote:

Salut, Je pense que le plus simple est d'avoir deux tunnels montés sur chaque site (un à travers L1, l'autre à travers L2) et de faire juste une bascule au niveau routage lorsque la liaison principale tombe. Mais ça veut dire qu'il y aura toujours quelques paquets qui transitent sur L2 pour garder les tunnels up. Après il faudrait savoir ce que tu utilises pour monter les tunnels des deux côtés pour pouvoir dire si la bascule peut se faire automatiquement ou à la main ! Cordialement, Pierre

2011/5/9 Julien Bérard julien.berard@probesys.com

...

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui pourra sûrement m'aider!

J'ai un site principal avec 2 liaisons, une principale(L1) et une de secourt(L2). Je souhaite y relier d'autres sites en IPSEC. Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que celui-ci soit utilisé si le premier lien(L1) tombe en panne? Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a mieux:

Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un changement de route suffit? Est-ce que je peux automatiser le changement de route? Dans mes paramètres IPSEC je précise un deuxième serveur à contacter (L2) si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe quel matériel?

Merci!

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

-- Cordialement,

Julien Bérard

probeSys spécialiste GNU/Linux Tèl: 09-74-76-47-86

---

Liste de diffusion du FRsAG http://www.frsag.org/

-- Pierre Gaxatte

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

Bonsoir,

Le 09/05/2011 18:04, Pierre Gaxatte a écrit :

J'avais posé une question similaire il y a quelques années sur FRnog et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela.

Je pense que c'est le cas d'école pour OpenBSD. Montage de 2 tunnels en quelques secondes grâce à une syntaxe intelligible et des commandes simples et utilisation de ospfd pour router le trafic en fonction de l'état du lien. Il est toujours possible d'utiliser carp s'il y a besoin de redondance au niveau des terminateurs de tunnel.

Denis

Hello,

Le 9 mai 2011 à 18:53, David Amiel a écrit :

Comme mentionné le plus simple est effectivement d'avoir les 2 tunnels montés en permanence et de jouer sur le routage en amont pour utiliser l'un ou l'autre.

Pour ça il y a les protocoles de routages dynamiques : OSPF, BGP, ISIS.

Si mes souvenirs sont bon les Fortigate ont le support de OSPF, BGP... Mais il faut se le faire a CLI :p

Autrement il y a des OpenBSD qui ont du OSPF inside... :p

Xavier

On Tue, May 10, 2011 at 08:50:14PM +0200, Radu-Adrian Feurdean wrote:

On Tue, 10 May 2011 18:12:57 +0200, "Xavier Beaudouin" kiwi@oav.net said:

...

Si mes souvenirs sont bon les Fortigate ont le support de OSPF, BGP... Mais il faut se le faire a CLI :p

Les configs de base se font tres facilement en GUI aussi. Mais LE probleme avec les firewalls "proprietaires" c'est l'exces de securite. Avec Fortinet par exemple (mais pas seulement) il faut savoir quels sont les options a activer/desactiver pour qu'au moment du switch d'une interface/tunnel a l'autre les connexions ne sont pas coupes ("connais pas cette connexion sur cette interface -> drop"). La c'est du CLI et souffrance assures.

+1.

Quitte à finir en CLI, autant faire du OpenBSD, il y a tout ce qu'il faut pour faire du firewalling, IPSec et OSPF, et de façon assez simple, comme le veut la tradition.

On Wed, 11 May 2011 16:55:21 +0200, Julien Bérard wrote:

Juste pour information pourquoi toujours du BSD et pas du Linux? Il y a une raison particulière?

Parce que BSD c'est bien. Et qu'un kernel qui supporte les 25 dernieres caméras à la mode, c'est pas forcément le plus adapté à un routeur.

C'est surtout que monter un vpn inter site avec 2 openbsd c'est 3 lignes dans un fichier sur A /etc/ipsec.conf ike esp from 192.168.33.0/24 to 192.168.2.0/24 peer IP_PUBLIC_A ike esp from 195.68.31.36 to 192.168.2.0/24 peer IP_PUBLIC_A ike esp from IP_PUBLIC_A to IP_PUBLIC_B

sur B sur inverse les ip

et Hop ....ça marche nickel chrome depuis des années... bye Hugues

Le 11/05/2011 17:01, Julien Cabillot a écrit :

Le Wed, 11 May 2011 16:55:21 +0200, Julien Bérardjulien.berard@probesys.com a écrit :

...

On 11/05/2011 14:18, Jeremie Le Hen wrote:

...

On Tue, May 10, 2011 at 08:50:14PM +0200, Radu-Adrian Feurdean wrote:

...

On Tue, 10 May 2011 18:12:57 +0200, "Xavier Beaudouin"kiwi@oav.net said:

...

Si mes souvenirs sont bon les Fortigate ont le support de OSPF, BGP... Mais il faut se le faire a CLI :p

Les configs de base se font tres facilement en GUI aussi. Mais LE probleme avec les firewalls "proprietaires" c'est l'exces de securite. Avec Fortinet par exemple (mais pas seulement) il faut savoir quels sont les options a activer/desactiver pour qu'au moment du switch d'une interface/tunnel a l'autre les connexions ne sont pas coupes ("connais pas cette connexion sur cette interface -> drop"). La c'est du CLI et souffrance assures.

+1.

Quitte à finir en CLI, autant faire du OpenBSD, il y a tout ce qu'il faut pour faire du firewalling, IPSec et OSPF, et de façon assez simple, comme le veut la tradition.

Juste pour information pourquoi toujours du BSD et pas du Linux? Il y a une raison particulière?

Parcequ'OpenBSD le fait mieux ?

Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

Voici quelques liens tout est une question de stratégie et de niveau de connaissances que tu as de ce typed de problématiques

Soit tu as très rarement de type de problèmes a gérer et tu t'y connais pas trop, dans ce cas prend une black box d'un constructeur X et tu valides avec l'avant vente que cela fait bien ce que tu veux, puis chaque année tu payes un abonnement au support.

Au final tu n'as acquis aucune compétence, mais tu as ce que tu veux. tu auras probablement rien compris aux VPN et tu ne sais que cliquer sur des wizards , "suivant", "suivant" etc..

Soit tu vas rencontrer souvent ce type de problèmes et bon , il faut s'y mettre , c'est a dire passer du temps a comprendre et a expérimenter, et cela sans garantie de succès. Est ce que cela a un coût, OUI c'est véritablement un investissement (tu es obligé de comprendre ce que tu fais, il n'y a pas de wizard )

au final monter un VPN ipsec avec de la redonance de VPN ( type sasyncd + carp ) ce ne sont que quelques lignes de textes dans quelques fichiers.

Pour ma part je m'en sert chez de gros clients depuis plusieurs années et quand je vois des amis galérer avec le VRRP, ou HSRP de cisco , les versions bugée ios et tout le bazars je ne les envies pas...

donc c'est a toi de choisir ce que tu veux

http://www.unixgarden.com/index.php/securite/ipsec-sous-openbsd-40 http://www.kernel-panic.it/openbsd/vpn/vpn3.html

Le 11/05/2011 21:44, Sébastien FOUTREL a écrit :

C'est bien de toujours dire Mon Linux/Unix il est mieux mais le gars qui connait pas, il trouve ou la bonne doc avec les bons exemple et l'aide de quelqu'un de compétent ? Tu viens de donner le tres bon exemple de mon propos.

BSD c'est mieux je fais tout avec 3 lignes... Sauf que la demande parlait de redondance de liens. De plus, il était question de multiples sites avec des liens redondants.

On est loin d'une config trouvée sur google..

Je suis d'accord pour dire que les appliances sont toutes basées sur des solutions existantes et que tout gars un peu malin peut reproduire. Mais c'est aussi le support et le travail fait en amont qui fait la valeure ajoutée de ces produits.

Moi quand j'ai une problematique a laquelle je ne sais pas répondre sur une appliance. Je contacte le support ou un avant vente et il me trouve une solution (dans la mesure des capacitées du materiel). Je gagne du temps, mon client a une solution validée par le constructeur, tres souvent rapidement, je n'ai pas perdu mon temps a chercher une solution. C'est du Win-Win pour tous.

Le 11 mai 2011 17:06, hugues Maxhuguesmax@gmail.com a écrit :

...

C'est surtout que monter un vpn inter site avec 2 openbsd c'est 3 lignes dans un fichier sur A /etc/ipsec.conf ike esp from 192.168.33.0/24 to 192.168.2.0/24 peer IP_PUBLIC_A ike esp from 195.68.31.36 to 192.168.2.0/24 peer IP_PUBLIC_A ike esp from IP_PUBLIC_A to IP_PUBLIC_B

sur B sur inverse les ip

et Hop ....ça marche nickel chrome depuis des années... bye Hugues

Le 11/05/2011 17:01, Julien Cabillot a écrit :

...

Le Wed, 11 May 2011 16:55:21 +0200, Julien Bérardjulien.berard@probesys.com a écrit :

...

On 11/05/2011 14:18, Jeremie Le Hen wrote:

...

On Tue, May 10, 2011 at 08:50:14PM +0200, Radu-Adrian Feurdean wrote:

...

On Tue, 10 May 2011 18:12:57 +0200, "Xavier Beaudouin"kiwi@oav.net said:

> Si mes souvenirs sont bon les Fortigate ont le support de OSPF, > BGP... Mais il faut se le faire a CLI :p Les configs de base se font tres facilement en GUI aussi. Mais LE probleme avec les firewalls "proprietaires" c'est l'exces de securite. Avec Fortinet par exemple (mais pas seulement) il faut savoir quels sont les options a activer/desactiver pour qu'au moment du switch d'une interface/tunnel a l'autre les connexions ne sont pas coupes ("connais pas cette connexion sur cette interface -> drop"). La c'est du CLI et souffrance assures.

+1.

Quitte à finir en CLI, autant faire du OpenBSD, il y a tout ce qu'il faut pour faire du firewalling, IPSec et OSPF, et de façon assez simple, comme le veut la tradition.

Juste pour information pourquoi toujours du BSD et pas du Linux? Il y a une raison particulière?

Parcequ'OpenBSD le fait mieux ?

Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

Le 11/05/2011 23:11, Radu-Adrian Feurdean a écrit :

Essayez aussi de parler de *BSD a un manager cravateux, les reactions rappellent souvent la chasse aux sorcieres:)

Oh. Tout le monde n'est pas dans le monde de "l'enterprise" :).

Et même, dans une précédente vie, grand groupe CAC40 tout ça, on faisait des secours de Lan2Lan avec un tunnel GRE over IPsec sur une adsl ou sdsl de secours. Du coup, on avait une vrai lan2lan et une "lan2lan virtuelle" en backup. OSPF par dessus. Zou.

J'avais fait la même avec deux "lien" GRE over IPsec avec de l'ospf dedans ca marchait bien aussi.

Juste pour information pourquoi toujours du BSD et pas du Linux? Il y a une raison particulière?

L'idée c'est plus "BSD en premier choix, linux ensuite" mais je ne pense pas que quelqu'un ait dit "pas linux".

Il y a plusieurs points qui peuvent faire préférer un BSD à un linux : 1/ La sécurité faisant partie intégrante de la philosophie et du développement des *BSD, et suite à une longue période d'utilisation en tant que firewall, ou autre appliance, connectés à internet sans hack majeur connu les BSD se sont forgés une solide réputation d'OS dit "secure". J'avais lu que depuis la création de la distribution openBSD (la branche la plus intégriste côté sécurité des BSD) il n'y avait eu que 4 failles critiques exploitables de constatées en tout et pour tout dans l'ensemble des releases (donc en 12 ans de releases environ)!

Redhat publie des rapports sur les failles dans ses distribs : - pour RHEL4 : http://magazine.redhat.com/2008/02/26/risk-report-three-years-of-red-hat-ent... - pour RHEL5 : http://www.awe.com/mark/blog/2009012017.html on voit que c'est déjà plus agité côté sécurité, mais le développement sous linux étant beaucoup plus dynamique ça ne paraît pas anormal qu'il y ait aussi plus de failles.

Maintenant il faut relativiser un peu dans le cas de serveur unix/linux sur lesquels il n'y a pas de compte utilisateur, je dirais que 90% des hacks se font suite à une mauvaise configuration des services, 9% suite à une faille d'implémentation du service, et 1% suite à une faille dans l'OS utilisé.

En résumé BSD part avec un léger avantage côté sécurité par rapport à linux, mais dans la pratique cela ne me paraît pas si déterminant que ça.

2/ la stabilité : l'uptime serait meilleur sur BSD, mais bon ca ne m'empêche pas d'avoir des linux au taf qui vont fêter leur 4 ans d'uptime dans 15 jours

3/ Après il y a des choses qui se font plus simplement avec un BSD qu'avec un linux, mais la réciproque est vraie aussi et je ne connais pas assez BSD pour détailler ce point.

j'espère avoir répondu à ta question :)

David

-- Cordialement,

Julien Bérard

probeSys spécialiste GNU/Linux Tèl: 09-74-76-47-86

---

Liste de diffusion du FRsAG http://www.frsag.org/

Hello,

Le 9 mai 2011 à 18:53, David Amiel a écrit :

...

Comme mentionné le plus simple est effectivement d'avoir les 2 tunnels montés en permanence et de jouer sur le routage en amont pour utiliser l'un ou l'autre.

Pour ça il y a les protocoles de routages dynamiques : OSPF, BGP, ISIS.

Si mes souvenirs sont bon les Fortigate ont le support de OSPF, BGP... Mais il faut se le faire a CLI :p

Autrement il y a des OpenBSD qui ont du OSPF inside... :p

En fait si la solution est sur serveur je pensais à un script qui fait un ping de l'extrémité de la liaison nominale régulièrement et qui change les routes en fonction. C'est moins sexy que ta proposition je te l'accorde ;)

Après s'il y a déjà du routage dynamique en place c'est sûr qu'il vaut mieux s'y intégrer dedans.

Enfin si au final c'est sur des appliances là il n'y a pas vraiment le choix que de passer par du routage dynamique pour le failover, mais je pense que ça ne doit pas être triste de mettre en place du routage dynamique entre plusieurs sites reliés par des VPN et à faire passer les protocoles de routage dans lesdits VPN.

David

Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

On 09/05/2011 21:42, "Vincent Duvernet (Nolmë Informatique)" wrote:

Le 09/05/2011 17:38, Julien Bérard a écrit :

...

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui pourra sûrement m'aider!

J'ai un site principal avec 2 liaisons, une principale(L1) et une de secourt(L2). Je souhaite y relier d'autres sites en IPSEC. Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que celui-ci soit utilisé si le premier lien(L1) tombe en panne? Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a mieux:

* Sur chaque site je paramètre une connexion IPSEC sur L1 et une
  sur L2, ensuite il faut que si L1 tombe le site passe par L2,
  dans ce cas un changement de route suffit? Est-ce que je peux
  automatiser le changement de route?
* Dans mes paramètres IPSEC je précise un deuxième serveur à
  contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
  possible? sur n'importe quel matériel?

Merci!

Bonsoir,

Je vais essayer de ne pas me faire incendier dans ce topic ;p. Déjà, je te déconseille Netgear même si tu veux faire des économies. Le temps perdu en aval te fera regretter le choix assez rapidement.

Autre question, est ce que tu as une problématique de latence ? Si ton lien de secours ne prend le relai que lorsque L1 tombe, ton premier ping va être horrible. Si ton forfait est fixe, il y a une option pour garder le lien actif. C'est le routeur qui gère les 2 liens qui est à paramétrer en fonction de ce que tu veux faire entre L1 et L2.

Pour tout ce qui est reporting, tu peux voir en supervision SNMP pour tester si tes liens sont up ou pas. Les solutions gratuites/payantes sont nombreuses. Il y a avait eu un listage assez complet sur security focus.

++ Vincent

---

Liste de diffusion du FRsAG http://www.frsag.org/

Merci à tous pour vos réponses, cela m'aide beaucoup dans ma réflexion!