VPN avec un schema en etoile et IPCOP

popeyon · Juillet 25, 2007, 9:27

Bonsoir a tous !

J’aurai aime savoir si il est possible de creer un VPN base sur un schema en etoile avec IPCOP …
Merci d’avance de votre aide :ane:

dg-switcher · Juillet 26, 2007, 12:43

t’a pas un pti schema la ???

sinon pour les schema en etoile, vaut mieux regarder du cote de MPLS je pense (jamais joue avec)

popeyon · Juillet 27, 2007, 12:09

Baaaah, pour le schema que dire : un IPCOP auquel sont relies 4 autres IPCOP. Est-ce possible de faire du VPN dans ce cas la ?

dg-switcher · Juillet 27, 2007, 12:13

donc tu as 4 réseaux ?
il te faudra donc 4 passerelles VPN, chacune se connectant aux 3 autres

avec un routage bien foutu, ca va marcher

par contre, d’après les infos que j’ai, pas moyen de toute mettre sur le meme réseau

popeyon · Août 7, 2007, 3:43

Voici enfin un “resume” du reseau que j’aimerai avoir :
Je n’ai mis que les ipcop car tout ce qu’il y a derriere c’est ok pour moi …
http://img245.imageshack.us/img245/5536/ipcopenetoiletj6.jpg

Et ce réseau est cense s’agrandir et pourrait a l’avenir comporter 25 agences !
Edité le 07/08/2007 à 03:52

KP2 · Août 7, 2007, 9:57

oui normalement c’est jouable…
Encore heureux qu’il ne faut pas 4 passerelles pour 4 vpn

Et quand on a du matos performant comme des routeurs cisco, on peut monter des centaines de vpn

[quote="popeyon"] Et ce réseau est cense s'agrandir et pourrait a l'avenir comporter 25 agences ! [/quote]

faut passer a du matos (cisco) un peu plus puissant pour un reseau etendu comme ca… ca coute plus cher mais au moins, vous aurez pas de prob avec.

tsubasaleguedin · Août 7, 2007, 10:21

N’importe quoi ipcop est largement aussi puissant voir plus puissant que les solutions vpn cisco ou Checkpoint. Suffit de pas mettre des 486 en passerelle ipsec.

KP2 · Août 7, 2007, 12:19

t’emballes pas mon gars…
Mais quand tu commences a avoir des agences eparpillees un peu partout en france (ou dans le monde) et que tu dois en relier des dizaines entre elles, il te faut des solutions pro.
Je dis pas que ipcop c’est nul, bien au contraire. C’est tres bien mais faut le reserver aux pme qui ont des besoins basiques.
Il existe probablement des grandes societes qui utilisent ipcop… mais, a mon avis, ils doivent l’utiliser dans un contexte tres particulier et controle.

Utiliser des PC en tant que passerelle, c’est pas cher mais rien que le risque de defaillance posé par le materiel est bien trop eleve pour un equipement reseau aussi sensible. Et comme ipcop ne dipose pas fonctionnalite de HA de haut niveau comme sur le matos cisco alors il devient risqué d’utiliser ipcop dans un environnement ou la fiabilite du reseau est importante.

dg-switcher · Août 7, 2007, 2:42

KP2 => dans ce contexte, il te faut une passerelle VPN dans chaque agence de toute facon, meme si il n’y a qu’un seul VPN
après, avec 25 agences, c’est de la folie de toute centraliser sur une passerelle, il vaut mieux utiliser MPLS et des équipements cisco pour avoir un réseau en anneaux

tsubasaleguedin · Août 7, 2007, 3:08

Solutions PRO ? Mais 98 % de tes fameuse solutions pro sont des black box basé sur IPCOP. Apres si toi tu a le niveau pour remonter un checkpoint en ipcop, tu saura gagnant tu economisera des licences …

Ipcop est une solution plus que pro puisqu’elle s’adresse au pro, les boites noir VPN s’adresse au gens qui ont pas le niveau pour comprendre ce qui ce passe.

KP2 · Août 7, 2007, 3:19

le principe est effectivement d’avoir une passerelle dans chaque agence. Mais le probleme est celle qui centralise tout ca au siege.
elle doit etre robuste elle …

Et passer 2 ou 3 liens vpn, toutes les boites que je connais passent a cisco si elles ne l’ont pas fait immediatement car un seul cisco pix n’a pas reellement de probleme pour gerer jusqu’a 250 liens vpn.
Et il suffit d’en coller un autre a cote et mettre en place la HA pour augmenter les perfs et assurer la redondance comme par magie.

dg-switcher · Août 7, 2007, 3:26

ouais enfin 50 pix c’est pas le meme prix que 50 ipcop hein
sinon je suis d’accord, faut passer par cisco

KP2 · Août 7, 2007, 3:32

Spa bien de se quoter soi meme mais bon :

Un cisco pix (suivant les options) c’est le prix d’un serveur moyenne gamme et ca peut monter beaucoup plus haut encore.
Donc oui c’est pas donne mais c’est autrement plus robuste et fonctionnel (rien que la HA vaut tout l’or du monde) que ce meme serveur moyenne gamme et ipcop

popeyon · Août 14, 2007, 9:46

Bonjour a tous !

Il y a beaucoup d’intervenants c’est genial, merci bcp de votre attention

Sans etre trop exigeant et comme je suis encore en formation, quelqu’un pourrait me developper tout cela techniquement ?

Pour IPCOP comment on fait les branchements pour mon schema en etoile ?
Et pour la solution Cisco pix et bien que je ne connaisse pas ce materiel [toutefois j’ai pas mal bosse les exams cisco, je serais bien a l’aise avec l’interface ] je serais aussi interesse pour un “howto” :ane::ane:

En fait je suis super flippé car il y a de bonnes chance que ce que je vais proposer pese pour une embauche (ma toute premiere enfin dans le domaine informatique). J’en perds un peu mes moyens ducoup … :neutre:

En tous cas merci encore

popeyon · Août 14, 2007, 10:22

Je viens de faire un petit schema sommaire pour le siege. Dans l’optique de m’aider techniquement quelqu’un pourait completer/developper le schema ?
http://img150.imageshack.us/img150/6606/ciscopixrq2.jpg

dg-switcher · Août 14, 2007, 5:33

Alors deja petit conseil perso : ce n’est pas un probleme de ne pas connaitre une technologie, par contre c’est un ENORME probleme de dire a ton employeur que tu la connais, tu passera inevitablement pour un branque

dis leurs direct : “j’ai toutes les bases pour mettre en place une architecture VPN avec cisco ou linux, mais dans la mesure ou c’est la premiere fois que je le fait, ca risque de me prendre pas mal de temps. c’est une technologie complexe et je prefere ameliorer mes connaissances dans ce domaine plutot que de faire n’importe quoi en 3 semaines.”

ca c’est un discours qui montre que tu es quelqu’un de profesionnel qui va faire du bon travail.

Maintenant au niveau de ton schema, il n’y a aucune information donc ca ne veut rien dire, met les adresses de tes reseaux, les routeurs, les noms des machines. La je vois juste 3 liens qui se balade a l’arrache sans que je sache quoi en faire.
Si tu veux faire du VPN, c’est parce qu’il y a plusieurs reseaux a relier au travers de l’Internet : ou sont t’ils ? prend une carte de france et dessine ton reseau dessus, ca sera plus clair

KP2 · Août 14, 2007, 10:02

+100

t’as plusieurs possibilites : soit tu fais un schema global qui contient toutes les infos mais ca va faire un gros schema et ca sera difficile a imprimer mais il sera complet. Soit tu en fais plusieurs avec des niveaux de details differents. Mais qq soit la solution, il faut donner un max d’infos reseaux. Et evite de poster ca publiquement si tu veux pas risquer de donner des infos importantes a des petits malins qui cherchent des reseaux a pirater pour l’entrainement.
Sinon pour la geolocalisation, pourquoi pas… c’est un joli plus mais pas forcement indispensable. Ca depend du contexte en fait

PS : je doute beaucoup que tes serveurs soient connectes entre eux de cette maniere… y’a pas un switch au milieu ?
Edité le 14/08/2007 à 22:05

popeyon · Août 17, 2007, 11:14

Ok ok !
Je vais un peu vite dans tout c’est pour cela que je parais desorganise, veuillez m’en excuser.
@dg-switcher : T’inquiete je ne suis vraiment pas du genre a me venter de savoir faire alors que je n’ai pas les connaissances !

J’ai pu avoir plus de precisions sur les desirs du client :).

En fait il y a une agence qui est sur Lyon ; cette agence est consideree comme un studio de production. Le resultat des produits (qui sont des documents numeriques) doit regulierement etre uploade sur des serveurs dedies. Ce studio de production telecharge egalement beaucoup de documents (.doc images pdf et logiciels).
Toutes les autres agences sont considerees comme des agences satellites et doivent etre reliees a ce studio afin d’etre dans le meme reseau et de pouvoir partager certains documents produits ou telecharges. Le rattachement de ces agences n’est pas crucial car la compostion de ces agences au niveau du personnel est compose de commerciaux et d’un technicien.

Actuellement il y a 4 agences satellites, une a Paris, une a Lyon, une a Marseille et une derniere a Casablanca.
A terme et selon l’expansion il pourrait y avoir un maximum de 25 agences satellites reparties sur toute la France.

En fait ce qui est important a l’heure actuelle est de pouvoir installer :

un serveur Windows 2003 afin d’etablir des strategies sur le studio de production car il n’y a aucune securite interne : tous les utilisateurs sont en admin sur leur poste et peuvent acceder au disque reseau avec trop de droits.
Un SAN pour la sauvegarde de certains documents en “local” afin d’avoir une copie de tout ce qui sera uploade sur les serveurs dedies qui sont heberges par un partenaire.

Les agences satellites seraient donc reliees au studio pour pouvoir partager certaines ressources sur ce SAN.

Dans l’immediat j’aurais aime savoir 2 choses :

Je voudrais que vous me confirmiez que :
- IPCOP permet un nombre “illimite” de tunnels VPN (le studio devant “acceuillir” pour l’instant 4 agences)
- Est-il possible quand on cree un tunnel VPN d’utiliser non pas les ressources internet du lieu ou on sera rattache mais les ressources internet locales ?
Exist-t-il un outil capable de calculer toutes les IP d’une plage d’adresses IP donnee ?
(reseau : 172.16.28.0 Plage : 172.16.28.1 - 172.16.31.254 Broadcast : 172.16.31.255)

Merci

dg-switcher · Août 17, 2007, 4:11

oui, tes agences se connecterons a la passerelle VPN de Lyon sans problème. Par contre, il faudra étudier le dimensionnement de la bande passante de lyon car 25 agences ca va pomper de la connection.

oui, c’est du routage, tu dit a tes agences que pour aller a lyon, il faut passer par le vpn, et pour aller sur internet, il faut passer par la passerelle

oui, ca s’appel le cerveau humain
ce genre de notion doit etre trivial pour toi, ainsi que toutes les notions de routage, sinon ton VPN ne marchera jamais

et le seul moyen de le bosser, c’est de pratiquer avec un papier et un crayon et de faire des schémas jusqu’à ce que t’ai mal aux mains

th2009 · Mars 24, 2009, 3:33

bonjour, svp j’ai besoin d’aide j’ai un theme qui ma donné pour ma soutenance, le theme concerne l’interconnexion de 2 réseau distant avec la mise en place d’un vpn malheuresement je n’est jamais assisté à la pratique dans l’entreprise dont je fait les stage nous avons un réseau utilisant la connexion internet par Vsat et il veule faire l’interconexion de leur deux réseau distant la mauvaise nouvelle dans dans tout ca est que leurs routeur seron configuré depuis le CANAD. Aider svp à troubver les grandes lignes, le schema et la maniere dont les routeur seront configuré