[FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

Bonjour à tous,

je suis en train de repenser notre architecture réseau pour tenir compte 
de nos nouveaux besoins.


Aujourd'hui, la tête de réseau est composée de :
- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
- Switch Layer 3 en DMZ relié aux serveurs
- Switch Layer 2 sur le LAN

Le routeur est utilisé pour du VPN IPSEC routeur à routeur et VPN SSL.

J'ai besoin de la fonction de SplitDNS que l'on trouve sur iOS 15.1 (de 
mémoire).
(Pour ceux qui ne connaissent pas, cela consiste à router vers des IP 
distinctes un protocole donné en fonction du nom DNS spécifié. Par ex, 
toto1.mondns.org vers 192.168.0.10 et toto2.mondns.org vers 192.168.0.20)


J'ai un Cisco ASA5505 que je voudrais mettre en production pour cause de 
raz-le-bol des bugs à Netgear.


L'ASA ne sait pas faire de splitDNS donc il me faudra changer le 
routeur. Je peux le mettre en firewall transparent ou routé.
- Si je l'utilise en routé, je pense lui faire gérer le LAN, la DMZ, les 
VPN IPSEC et SSL. Le routeur quad WAN servirait uniquement d'agrégation 
de liens Internet.
- Si je l'utilise en mode transparent, il serait dans le LAN et ferait 
la gestion IPSEC/SSL.


Je n'ai pas encore regardé la partie IDS/IPS si cela impose une 
architecture précise.. Il y a des restrictions sur le 5505 que je ne 
connais pas par cœur.

Et sans doute d'autres usages que je n'ai pas pensé.

Pour complément d'informations, nous hébergeons des services 
d'infogérance en mode SaaS et prévoyons d'offrir davantage d'accès à nos 
clients.


Du coup, quelle architecture choisir ?

Merci,

Vincent
















___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[David Touitou]

'jour.

- Mail original -

> Du coup, quelle architecture choisir ?

Une paire de BSD + pf (ou pfSense si on veut le clicodrome).

Je suppose que ce n'était pas la réponse que tu voulais...
Mais ça marche.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Jérôme Nicolle]

Vincent,

Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)"
 a écrit :
> - Routeur Netgear SRX5308 Quad-WAN relié à des BOX.

> Pour complément d'informations, nous hébergeons des services d'infogérance
> en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
>
> Du coup, quelle architecture choisir ?

* Pas des cretinbox ADSL
* Pas d'agrégation bricolée made in china
* Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"

Prends un vrai lien et un secours, un vrai routeur qui n'a pas de
fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu
tiens à des fonctions pas gérées par un pfSense, et là tu auras une
chance de fournir un service de qualité.

Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si
c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !

-- 
Jérôme Nicolle
06 19 31 27 14
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Raphael Mazelier]

Le 08/05/2011 15:27, "Vincent Duvernet (Nolmë Informatique)" a écrit :


J'ai besoin de la fonction de SplitDNS que l'on trouve sur iOS 15.1 
(de mémoire).
(Pour ceux qui ne connaissent pas, cela consiste à router vers des IP 
distinctes un protocole donné en fonction du nom DNS spécifié. Par ex, 
toto1.mondns.org vers 192.168.0.10 et toto2.mondns.org vers 192.168.0.20)


Deux remarques : je penses que ton exemple est mauvais puisque tu 
utilises deux noms différents. Un meilleur exemple serait de répondre 
(ou pas) deux @IP différentes pour un même nom. Deuxièmement le split 
dns (ou n'importe quel autre nom on peut donner a cette technique) est 
presque toujours une mauvaise idée. Cela arrive généralement quand on 
utilise les mêmes zones en interne et en externe pour des fonctions 
différentes. bref.




L'ASA ne sait pas faire de splitDNS donc il me faudra changer le routeur. 
L'asa gère une option qui s'appelle split-dns mais ce n'est dans le 
cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). 
De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur.




Du coup, quelle architecture choisir ?


Pour le reste, pas mieux que mes collègues qui ont déjà répondu. Si tu 
veux faire du SaaS (j'adore ces acronymes qui ne veulent rien dire) il 
va te falloir une infrastructure réseau un peu plus conséquentes.


--
Raphael Mazelier
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

Pour une première question, on va dire que l'accueil est loin d'être 
celui auquel je m'attendais sur ce type de liste de diffusion.
J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes 
extrémistes.


Notre architecture actuelle n'a pas pour but de concurrencer 
TelecityGroup. On adapte en fonction de notre croissance et de notre budget.
Budget qui a malheureusement été bien entamé à cause d'un incendie fin 
2008 (ceux qui suivent la liste de l'OSSIR se souviendrons peut-être).
(Et ne rigolez pas parce que je suis sûr que je pourrais en faire 
devenir plusieurs d'entre vous bien blanc si j'épluchais leur contrat 
d'assurance...)


(Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk 
que met B3G ;p.
Ici c'est une box pro avec GTR. Les autres liens sont en cours de 
réflexion entre Céleste et Altitude.)


Pour répondre à la remarque de Raphael, mon exemple contient 2 noms DNS 
parce que justement on a prévu d'en utiliser au moins 2.
Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne sert à 
rien et un simple routeur suffit.
Le case ouvert chez Cisco a donné l'architecture cité au début du topic 
(en remplaçant le routeur).

Pour ceux qui veulent voir la vision de Cisco sur le Split DNS :
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html

"L'asa gère une option qui s'appelle split-dns mais ce n'est dans le 
cadre d'une connexion vpn (associé aux directive split-tunnel, etc...). 
De toutes manière c'est une mauvaise idée de gérer son dns sur un routeur. "
C'est bizarre que Cisco m'aient orienté sur les séries 1900/2900. Le but 
n'est pas gérer tout le DNS sur un routeur mais uniquement les services 
en entrées qui sont partagés entre plusieurs serveurs qui utilisent le 
même protocole et le même port d'écoute le tout avec un seul point d'entrée.


Maintenant si quelqu'un veut se lancer à proposer une architecture 
adaptée pour être constructif, je suis toute-ouïe.


++
Vincent

Le 08/05/2011 18:07, Jérôme Nicolle a écrit :

Vincent,

Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)"
  a écrit :

- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services d'infogérance
en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.

Du coup, quelle architecture choisir ?

* Pas des cretinbox ADSL
* Pas d'agrégation bricolée made in china
* Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"

Prends un vrai lien et un secours, un vrai routeur qui n'a pas de
fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu
tiens à des fonctions pas gérées par un pfSense, et là tu auras une
chance de fournir un service de qualité.

Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si
c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !



___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[David Amiel]

"Vincent Duvernet (Nolmë Informatique)"  a
écrit :
> Pour une première question, on va dire que l'accueil est loin d'être
> celui auquel je m'attendais sur ce type de liste de diffusion.
> J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes
> extrémistes.

Je ne pense pas qu'insulter les membres de la mailing-liste motive
quiconque à te répondre. Tu te plains alors que tu as deux réponses un
dimanche 8 mai, franchement c'est abusé.

> Maintenant si quelqu'un veut se lancer à proposer une architecture
> adaptée pour être constructif, je suis toute-ouïe.

histoire d'être constructif, et suite aux deux réponses que tu as eues, je
vais quand même te signaler que BSD n'a rien à voir avec linux, donc pour
le "nid de Linuxiens élitistes extrémistes" c'est vraiment raté

++

David


> ++
> Vincent
>
> Le 08/05/2011 18:07, Jérôme Nicolle a écrit :
>> Vincent,
>>
>> Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)"
>>   a écrit :
>>> - Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
>>> Pour complément d'informations, nous hébergeons des services
>>> d'infogérance
>>> en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.
>>>
>>> Du coup, quelle architecture choisir ?
>> * Pas des cretinbox ADSL
>> * Pas d'agrégation bricolée made in china
>> * Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"
>>
>> Prends un vrai lien et un secours, un vrai routeur qui n'a pas de
>> fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu
>> tiens à des fonctions pas gérées par un pfSense, et là tu auras une
>> chance de fournir un service de qualité.
>>
>> Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si
>> c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !
>>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

(Sans rentrer dans la polémique, j'ai dit que j'avais l'impression, pas 
que c'était.)


Certes j'ai eu des réponses au topic mais plutôt que de me dire que je 
fais du bricolage ou que c'est mauvais, j'aurais préféré que l'on me 
dise quelle implémentation il aurait mieux valu faire.


++
Vincent

Le 08/05/2011 23:24, David Amiel a écrit :

"Vincent Duvernet (Nolmë Informatique)"  a
écrit :

Pour une première question, on va dire que l'accueil est loin d'être
celui auquel je m'attendais sur ce type de liste de diffusion.
J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes
extrémistes.

Je ne pense pas qu'insulter les membres de la mailing-liste motive
quiconque à te répondre. Tu te plains alors que tu as deux réponses un
dimanche 8 mai, franchement c'est abusé.


Maintenant si quelqu'un veut se lancer à proposer une architecture
adaptée pour être constructif, je suis toute-ouïe.

histoire d'être constructif, et suite aux deux réponses que tu as eues, je
vais quand même te signaler que BSD n'a rien à voir avec linux, donc pour
le "nid de Linuxiens élitistes extrémistes" c'est vraiment raté

++

David



++
Vincent

Le 08/05/2011 18:07, Jérôme Nicolle a écrit :

Vincent,

Le 8 mai 2011 15:27, "Vincent Duvernet (Nolmë Informatique)"
   a écrit :

- Routeur Netgear SRX5308 Quad-WAN relié à des BOX.
Pour complément d'informations, nous hébergeons des services
d'infogérance
en mode SaaS et prévoyons d'offrir davantage d'accès à nos clients.

Du coup, quelle architecture choisir ?

* Pas des cretinbox ADSL
* Pas d'agrégation bricolée made in china
* Pas un ASA dans le milieu "juste parce qu'il est sur l'étagère"

Prends un vrai lien et un secours, un vrai routeur qui n'a pas de
fonction kikoolol d'agrégation_qui_pas_marche, ton ASA en aval si tu
tiens à des fonctions pas gérées par un pfSense, et là tu auras une
chance de fournir un service de qualité.

Le reste, c'est du bricolage, on peut pas t'y encourager... Surtout si
c'est pour vendre du SaaS au cul d'un réseau_château_de_carte !


___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/




___
Liste de diffusion du FRsAG
http://www.frsag.org/