A budget zéro, j'ai mis en place il y a quelques semaines des liens avec
OpenSwan sur des debian. Avec du Cisco ASA à l'autre bout. So far so
good. Après, la doc n'est pas très ipsec-noob-friendly (je me place dans
cette catégorie, hein) et je ne suis pas certain d'avoir paramétré le
dead peer detection dans les règles de l'art (après une coupure, ça
bagotte parfois un peu avant le rétablissement définitif... ça va
peut-être bien se régler avec un watchdog en shell).
Oui, c'est bricolo mais j'assume.
P.-A.
Le 09/05/2011 18:04, Pierre Gaxatte a écrit :
Ahh ! Là ça se complique alors parce qu'il y a des contraintes de
budget et des compétences.
Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter
des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de
reporting sur l'état des tunnels et le debuggage est vraiment lourd
quand quelque chose ne fonctionne pas...
Mais bon une fois le tunnel monté, ça bouge plus !
Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu
plus.
J'avais posé une question similaire il y a quelques années sur FRnog
et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si
ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo
lol pour maintenir sérieusement ton cluster, ça peut correspondre à
tes besoins (en tout cas il y a des chances que ça rentre dans ton
budget aussi serré soit-il !).
2011/5/9 Julien Bérard <julien.ber...@probesys.com
<mailto:julien.ber...@probesys.com>>
Merci.
Justement je ne sais pas quel matériel je vais utiliser, je
prépare ma consultation. Tu me conseils quelque chose en particulier?
On 09/05/2011 17:47, Pierre Gaxatte wrote:
Salut,
Je pense que le plus simple est d'avoir deux tunnels montés sur
chaque site (un à travers L1, l'autre à travers L2) et de faire
juste une bascule au niveau routage lorsque la liaison principale
tombe. Mais ça veut dire qu'il y aura toujours quelques paquets
qui transitent sur L2 pour garder les tunnels up.
Après il faudrait savoir ce que tu utilises pour monter les
tunnels des deux côtés pour pouvoir dire si la bascule peut se
faire automatiquement ou à la main !
Cordialement,
Pierre
2011/5/9 Julien Bérard <julien.ber...@probesys.com
<mailto:julien.ber...@probesys.com>>
Bonjour,
J'ai très peu d'expérience en IPSEC, je me retourne donc vers
la liste qui pourra sûrement m'aider!
J'ai un site principal avec 2 liaisons, une principale(L1) et
une de secourt(L2).
Je souhaite y relier d'autres sites en IPSEC.
Quelle est la meilleure façon d'exploiter mon lien de
secourt(L2) pour que celui-ci soit utilisé si le premier
lien(L1) tombe en panne?
Je ne sais pas si ces solutions sont possibles, et j'imagine
qu'il y a mieux:
* Sur chaque site je paramètre une connexion IPSEC sur L1
et une sur L2, ensuite il faut que si L1 tombe le site
passe par L2, dans ce cas un changement de route
suffit? Est-ce que je peux automatiser le changement de
route?
* Dans mes paramètres IPSEC je précise un deuxième
serveur à contacter (L2) si L1 n'est pas joignable.
Est-ce que c'est possible? sur n'importe quel matériel?
Merci!
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
--
Cordialement,
Julien Bérard
probeSys spécialiste GNU/Linux
Tèl: 09-74-76-47-86
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
--
Pierre Gaxatte
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/