Le 09/05/12 15:18, Gregory Duchatelet a écrit : > Dans l'idéal, j'aimerai une solution sans ajout de > router/fw/box/server ... > > Je trouve incroyable que ce soit si compliqué d'avoir une gateway de > secours sur un serveur Linux. Peut importe l'OS tu ne peux avoir qu'une seule default gateway sinon dans la logique des choses (les routeurs le font très bien mais les OS moins) si tu as 2 gateway cela doit envoyer 1 paquets sur 2 à chaque gw.
C'est grace à cette astuce qu'à l'époque des LS qui valaient super cher, on montait pour les clients des doubles LS avec 2 HSRP. Chaque HSRP était master sur une LS et backupé sur l'autre. Sur les switchs client et côté hébergement on faisait du dual default gateway pour équilibrer à 50/50 les liens ca marchait super bien. Par contre quand tu veux faire pareil entre différents opérateurs tu n'as pas le même réseau en face. Ajouter une notion de métrique ne changerait rien à l'affaire. Personnellement je met en place pas mal de pfsense pour cet usage là pour les clients qui souhaitent avoir X liaisons internet et attribuer un usage spécifique à chacun. Il suffit de créer des groupe de gateway où l'on indique la priorité des liens (identiques ou ordonnés) et dans les règles du firewall on dit que tel subnet source ou telle ip d'un serveur passe par telle groupe de gateway. Comme vu dans un précédent mail cela ne marche pas avec des liaisons d'un même FAI car on se retrouve dans l'exemple d'équilibrage des LS mis plus haut sauf que du côté du FAI il n'y a pas d'équilibrage et les ip ne sont pas dans le même subnet (/32). A l'époque des dedibox pro avec deux interfaces et deux ip, j'avais mis en place un iptables pour traquer les paquets afin de correctement les distribuer et les faire resortir par la même interface et donc la même ip pub. Ca marchait bien mais il aucune gestion de panne, il aurait fallu scripter la détection de la perte d'un lien ou une latence élevée pour basculer les règles vers le lien restant. Bref tu n'es pas le premier à te poser la question, pour info sur certaines archis genre as400 j'ai déjà vu un client planter son serveur (avec des conséquences bien plus lourdes que sur un linux/win) en ajoutant juste 2 routes par défaut. Autre point sur un petit firewall en amont de tes liens ca me semble pas insurmontable ni financièrement ni techniquement et c'est pourtant un atout dans un réseau d'entreprise (firewall de base c'est mieux que pas de firewall, possibilité de gate vpn, vpn avec prestataires, log légaux d'activités, ...) Si tu as des questions tu sais me joindre :)
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
