A budget zéro, j'ai mis en place il y a quelques semaines des liens avec OpenSwan sur des debian. Avec du Cisco ASA à l'autre bout. So far so good. Après, la doc n'est pas très ipsec-noob-friendly (je me place dans cette catégorie, hein) et je ne suis pas certain d'avoir paramétré le dead peer detection dans les règles de l'art (après une coupure, ça bagotte parfois un peu avant le rétablissement définitif... ça va peut-être bien se régler avec un watchdog en shell).

Oui, c'est bricolo mais j'assume.

P.-A.

Le 09/05/2011 18:04, Pierre Gaxatte a écrit :
Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et des compétences. Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting sur l'état des tunnels et le debuggage est vraiment lourd quand quelque chose ne fonctionne pas...

Mais bon une fois le tunnel monté, ça bouge plus !

Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.


J'avais posé une question similaire il y a quelques années sur FRnog et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en tout cas il y a des chances que ça rentre dans ton budget aussi serré soit-il !).


2011/5/9 Julien Bérard <julien.ber...@probesys.com <mailto:julien.ber...@probesys.com>>

    Merci.
    Justement je ne sais pas quel matériel je vais utiliser, je
    prépare ma consultation. Tu me conseils quelque chose en particulier?





    On 09/05/2011 17:47, Pierre Gaxatte wrote:
    Salut,

    Je pense que le plus simple est d'avoir deux tunnels montés sur
    chaque site (un à travers L1, l'autre à travers L2) et de faire
    juste une bascule au niveau routage lorsque la liaison principale
    tombe. Mais ça veut dire qu'il y aura toujours quelques paquets
    qui transitent sur L2 pour garder les tunnels up.

    Après il faudrait savoir ce que tu utilises pour monter les
    tunnels des deux côtés pour pouvoir dire si la bascule peut se
    faire automatiquement ou à la main !

    Cordialement,
    Pierre

    2011/5/9 Julien Bérard <julien.ber...@probesys.com
    <mailto:julien.ber...@probesys.com>>

        Bonjour,

        J'ai très peu d'expérience en IPSEC, je me retourne donc vers
        la liste qui pourra sûrement m'aider!


        J'ai un site principal avec 2 liaisons, une principale(L1) et
        une de secourt(L2).
        Je souhaite y relier d'autres sites en IPSEC.
        Quelle est la meilleure façon d'exploiter mon lien de
        secourt(L2) pour que celui-ci soit utilisé si le premier
        lien(L1) tombe en panne?
        Je ne sais pas si ces solutions sont possibles, et j'imagine
        qu'il y a mieux:

            * Sur chaque site je paramètre une connexion IPSEC sur L1
              et une sur L2, ensuite il faut que si L1 tombe le site
              passe par L2, dans ce cas un changement de route
              suffit? Est-ce que je peux automatiser le changement de
              route?
            * Dans mes paramètres IPSEC je précise un deuxième
              serveur à contacter (L2) si L1 n'est pas joignable.
              Est-ce que c'est possible? sur n'importe quel matériel?

        Merci!

        _______________________________________________
        Liste de diffusion du FRsAG
        http://www.frsag.org/



    _______________________________________________
    Liste de diffusion du FRsAG
    http://www.frsag.org/


-- Cordialement,

    Julien Bérard

    probeSys spécialiste GNU/Linux
    Tèl: 09-74-76-47-86


    _______________________________________________
    Liste de diffusion du FRsAG
    http://www.frsag.org/




--
Pierre Gaxatte


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

Répondre à