[Elmet Hachem]

Bonjour à tous,

Toujours en stage, j'ai une question qui me taraude l'esprit, et j'arrive pas à me mettre en tête ce qu'il va se passer si ça devait arriver. J'explique :

La boite dans laquelle je fais mon stage à une connexion SDSL chez Oleane (Orange Business maintenant) qui coûte la peau des roustons, mais c'est pas le sujet. Bref avec ce contrat, ils ont aussi une plage d'adresse IP publique qui permet aux serveurs de la DMZ d'avoir directement leur IP sans se faire chier à NATer.

Actuellement leur système et conçu de la façon suivante :

Code:

INTERNET ----- Routeur SDSL ----- ARKOON ----- LAN
                                       |
                                       DMZ

Mon micro-projet du moment c'est : Remplacer par un IPCOP l'Arkoon si ce dernier venait à tomber en panne (Ca ça va, c'est pas méchant) et remplacer par un IPCOP l'Arkoon si ce dernier tombe en panne (avec un challenge supplémentaire) et le routeur SDSL aussi. Et c'est la que je bloque.

NB : Ils ont à coté de ça une connexion ADSL classique grand public pour "subvenir" à la défaillance du SDSL.

J'ai du mal à concevoir une solution, parce que la patte rouge (Internet) de l'Arkoon/IPCOP est une adresse de la plage d'adresse IP publique idem pour le routeur SDSL(logique pour ce dernier).

Donc on imagine, y'a tout qui tombe en rade, pouf pouf, je met en place IPCOP avec l'ADSL classique. La patte rouge d'IPCOP, je la met en DHCP Client ? Je lui impose l'adresse IP que la patte rouge est censée avoir en permanence sur ce réseau et j'ajoute une passerelle(physique) entre IPCOP et la Box ?

En schématisant ça donne soit ça :

Internet ----- Box ----- IPCOP en client DHCP

soit ça :

Internet ----- Box ----- Passerelle ----- IPCOP avec son adresse classique ------ LAN


Et c'est la où je bloque : La première solution impose 2 IPCOP selon le type de panne (Juste IPCOP ou IPCOP+Routeur OLEANE), la seconde solution ne demande qu'un type de configuration (Juste des routes à rajouter dans le cas le plus extrême, sur la Box et IPCOP).

Maintenant quelle que soit la solution proposée, que devient la DMZ, elle reste toujours accessible via les IP publique ou y'a un truc qui va pas marcher, j'ai omis un détail, l'hippopotame est-il vraiment plus fort que l'éléphant, et enfin avez-vous vus les photos hackées sur le portable de Paris Hilton ?

J'ai franchement du mal à voir ce que ça va donner et je me vois mal demander à ma chef de service si on peut faire un teste grandeur nature .

Si quelqu'un pouvait éclaire ma lampe de poche, ça serait cool.

Merci d'avance.

[Whinette]

Oui, la plage d'IP publique qui vous est attribuée vous est réservée, qu'elles soient adressées ou non.

[Elmet Hachem]

J'ai pas été bien clair sur la question, en fait ce que je voudrais savoir c'est si je dois mettre en place la box à la place du routeur Oleane, les serveurs de la DMZ restent-ils accessibles ?

Si non, est-ce que la mise à jour des 24h des serveurs DNS suffira à les rendre disponible ?

Si non, kesskifofér ?

[Whinette]

Le réseau DMZ est directement connecté sur la box/le routeur oléane, pas de réseau intermédiaire ?
Ça devrait fonctionner sans que tu n'ai a intervenir, les routes seront en directly connected (logique ).

[Elmet Hachem]

Mais euh, je me décarcasse à faire des top jolis schémas pour rien .


La DMZ elle est à l'heure actuelle sur l'Arkoon, mais s'il venait à tomber en rade, ce serait la patte range d'IPCOP, ce dernier prenant place de l'Arkoon.

[Whinette]

Fait a la va vite, je n'ai pas visio sur ce poste.

Code:

Nuage internet
|
Modem SDSL (oléane)
|
Switch
|    |___________________                
|                        |
|                        |
Arkoon                  IPCop
|                        |
|                        |(disabled @ STP)
|     ___________________|
|    |
Switch
|
| DMZ

C'est bien ça ?

[Elmet Hachem]

Exactement, a l'heure actuelle, c'est ça, sauf que c'est pas du STP enfin c'est du STPALM (à la main )

Mais en fait ce que je voudrais savoir c'est ce qui se passe si le modem SDSL meurt, et que je sois obligé de mettre une Livebox à la place, vu que je n'aurais plus mon IP fixe de d'habitude. Et que sur une Livebox y'a pas de mode bridge donc me retrouve avec une IP aléatoire en WAN et une IP du réseau 192.168.1.0/24 sur le LAN.

['Bleys]

Je ne capte pas vraiment ton souci. Ce sont deux connexions distinctes, les IP publiques disponibles avec votre offre Orange Business ne le seront pas sur une autre connexion ADSL en parallèle. Si le modem-routeur de ton FAI tombe en rade, les serveurs ne seront plus accessibles de l'extérieur. Il faudra le remplacer par un autre modem-routeur capable de prendre en charge ce type de connectivité, ce qui n'est pas le cas de la livebox à mon avis.

Pour répondre précisément à la question du sujet:
Le pool d'adresses publiques que vous fournit Orange Business, c'est comme un numéro de téléphone, même si tu débranches ton téléphone de la prise murale, ton numéro reste le même et reste disponible.


_

[Elmet Hachem]

Oki, merci de la réponse.

[Kathar - Alleria - Lango]

Ce que tu appelles Arkoon, je suppose que c'est un firewall matériel ?

Sinon, la connexion de secours, elle est chez le même provider ?
Si oui, il faut voir avec eux, il y a peut-être un mécanisme pour qu'ils routent vos IP sur la connexion de secours en cas de panne du modem... Je ne suis pas sûr que les FAI proposent ce genre de choses, mais je ne connais pas les offres pro...

Si non, ça ne sera pas possible de conserver les IP des serveurs. Il faut dans ce cas mettre en place un mécanisme pour que les serveurs soient accessible via leur nouvelle adresse IP, ce qui risque d'être beaucoup plus complexe, voire impossible, selon le type de serveur et la latence tolérée avant que le serveur soit de nouveau accessible.

edit: j'avais pas vu les infos comme quoi la connexion de secours est une livebox + NAT...
Dans ce cas, ça me parait compromis...
Déjà, NAT veut dire que les serveurs seront accessibles avec la même IP publique, donc gaffe aux conflits de port...

Bref, ça ne me parait pas tellement possible ce que tu veux/dois faire...

[Elmet Hachem]

Mon maitre de stage revenant Lundi prochain, je ne sais pas trop ce qu'il veut vraiment envisager.

Mais je pense que IPCOP je vais lâcher l'affaire, je vais plutôt m'orienter sur un Pfsense avec une mise en place de failover actif/passif et tenter de faire acheter à cette boite de radins un second routeur SDSL, mais pas facile à trouver sur le net, si quelqu'un a des référence de produits avec des liens et si possible des prix ça serait fortement cool .

[Fady]

Citation :

Publié par Elmet Hachem

[...] tenter de faire acheter à cette boite de radins un second routeur SDSL, mais pas facile à trouver sur le net, si quelqu'un a des référence de produits avec des liens et si possible des prix ça serait fortement cool .

Pour en faire quoi ? Parce-que si le routeur SDSL de ton opérateur te lâche c'est pas la peine d'essayer de mettre le tiens à la place cela ne fonctionnera pas. En général OBS fournit le routeur et ne te laisse pas accéder à la configuration de ce dernier.

Sans le login/mot de passe de la connexion DSL je ne sais pas comment tu vas réussir à connecter ton routeur.

En général les opérateurs fournissent le routeur pour assurer la supervision et puis éviter les soucis avec des clients qui auraient du matériel exotique avec une configuration bancale.

['Bleys]

Mis à part le login et le mot de passe indispensables, la configuration n'est pas bien méchante et il n'y a pas de raison que ça ne fonctionne pas a priori.

[Fady]

Citation :

Publié par Bleys d'Ambre

Mis à part le login et le mot de passe indispensables, la configuration n'est pas bien méchante et il n'y a pas de raison que ça ne fonctionne pas a priori.

Mise a part que tu n'auras jamais accès au login mot de passe, je ne sais pas pourquoi s'ennuyer à faire le reste de la config

['Bleys]

Ben je n'ai jamais eu l'occasion de manipuler ce genre de connexion (ni de bosser avec OBS) mais si tu dis que c'est impossible d'obtenir le couple login/mot de passe, je veux bien te croire Cela dit, je pense que la configuration est en théorie réalisable avec le login/mdp, mais en pratique... OBS doit avoir ses petits secrets pour empêcher le remplacement du matos par un autre. De toute façon, le modem-routeur fait partie de leur offre, s'il tombe en rade c'est à eux de venir le changer.


_

[silkr]

ils t'ont répondu, si tu remplaces par une box, ton adresse ip public zou dans les fesses ^^ mais elle est toujours à toi.


Attention, car ADSL c'est pas du SDSL.

La question: pourquoi utiliser du SDSL ?
- VPN inter site ?
- Pourquoi chez Oleane ? Tu peux allez voir Colt

Est ce que tu as des applis joignable depuis l'exterieur ?
Car ta problématique c'est de créer une redondance si une panne arrive ?

Car tu peux tres bien prendre une box pour la redondance et si en cas de panne basculer sur celle ci, mais il y aura un pblm pour la réception des mails si tu les héberges

[Artus]

Citation :

Publié par Bleys d'Ambre

le modem-routeur fait partie de leur offre, s'il tombe en rade c'est à eux de venir le changer.


_

Et ils interviennent dans la journée pour Oléane. Même pour une alim défectueuse d'un routeur il font 100 bornes. Ça as fait chier le techos mais il est venu. Et de toute façon ormis pour les test il te laisse rarement intervenir sur leur matos.

[silkr]

Tout depend du degré de dispo du site aussi.

[Koertsje]

Tu peux pas monter une solution Arkoon redondante en actif/passif ?

Evidemment c'est pas gratuit, mais:
- un seul équipement à maintenir, que ce soit patchs, règles, bref une solution homogène. Avec des solutions basées sur 2 technologies, tu te retrouves toujours avec des différences sur les règles de filtrage car tu oublies de synchro.
- pas de pertes de sessions, sur incident

Et d'autres avantages qui me viennet pas immédiatement à l'esprit.

[Elmet Hachem]

De ce que j'ai compris (pas encore tester), pfsense et arkoon se base sur le même protocole pour la synchro/réplication des règles, donc je pense qu'il doit être possible de le mettre en place.

Pour ce qui est d'acheter un nouvel Arkoon, bien que ce soit un des plus petit du fabricant (un A51X je crois), le bouzin vaut entre 3000 et 5000 € il me semble, donc même pas envisageable (Malgré le fait que ce soit une boite avec un CA qui se compte en millions d'€, ils sont pingres comme un banquier devant un prolo(<-- c'est moi) qui demande un prêt ....).

Deja le SI à du pleurer pendant un an pour pouvoir avoir des switch avec au moins STP, qui coûte 1500 € alors je n'ose pas imaginer pour un firewall/proxy qui coûte 2 à 3 fois plus cher.

Edit: Par contre pour ce qui est des mots de passe chez OBS, je ne savais pas ça pu du cul, ça, plus ça va et plus mes projets tombe à la baille

@ Silkr : Tu as une idée des tarifs de colt ou du moins un exemple, pas envie de les appeller avant le retour de mon maitre de stage pour que Colt me saoule alors que je ne suis que stagiaire .

[Koertsje]

Citation :

Publié par Elmet Hachem

Pour ce qui est d'acheter un nouvel Arkoon, bien que ce soit un des plus petit du fabricant (un A51X je crois), le bouzin vaut entre 3000 et 5000 € il me semble, donc même pas envisageable (Malgré le fait que ce soit une boite avec un CA qui se compte en millions d'€, ils sont pingres comme un banquier devant un prolo(<-- c'est moi) qui demande un prêt ....).

Je comprends et après les boites pleurent car elles ont des failles de sécurité ou que ça coute la peau du cul à gérer leurs usines à gaz montées comme des légos.