Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Arnaud Launay]

Le Mon, May 09, 2011 at 12:26:10AM +0200, "Vincent Duvernet (Nolmë 
Informatique)" a écrit:
> Certes j'ai eu des réponses au topic mais plutôt que de me dire que je 
> fais du bricolage ou que c'est mauvais, j'aurais préféré que l'on me 
> dise quelle implémentation il aurait mieux valu faire.

Jérôme t'a fait une parfaite réponse dans ce sens:
l'implémentation qu'il vaut mieux faire, ce n'est pas ce que tu
as décrit.

Maintenant, on comprend bien que tu as des contraintes de budget
(comme tout le monde), mais il a bien répondu à la question. Si
elle est mal posée, le problème est ailleurs.

Arnaud, quadri-capillotracteur.

PS: regarde donc du côté de zeroshell.
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

  
  
Le 09/05/2011 09:15, Arnaud Launay a écrit :
[...]
  Maintenant, on comprend bien que tu as des contraintes de budget
(comme tout le monde), mais il a bien répondu à la question. Si
elle est mal posée, le problème est ailleurs.

	Arnaud, quadri-capillotracteur.

PS: regarde donc du côté de zeroshell.


Je suis allé voir ZeroShell. Le projet a l'air sympa pesons voir le
pour et le contre :

Contre :
- il est toujours en beta. Peut-on baser un environnement de
production sur une beta ?
- il nécessite de dédier un serveur et donc de consommer plus de
courant

Pour :
- on a plus de chance d'éviter la backdoor constructeur & cie 
- si le produit est moins utilisé, il y a moins de chance qu'il soit
attaqué
- ça ne coûte pas trop cher si on a un serveur à recycler
- pas de contrat SmartNET truc à payer.

Est ce que plusieurs d'entre vous l'utilise par hasard ?

Vincent

  

  




  
  


  
  


  
  


  
  


  
  




  
  




  
  




  
  




  

  

  

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Raphael Mazelier]

Le 08/05/2011 22:19, "Vincent Duvernet (Nolmë Informatique)" a écrit :
Pour une première question, on va dire que l'accueil est loin d'être 
celui auquel je m'attendais sur ce type de liste de diffusion.
J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes 
extrémistes.



Non sur une liste d'adminsys :)


(Le terme crétinbox englobe tout, de la Livebox de madame Michu au 
souk que met B3G ;p.
Ici c'est une box pro avec GTR. Les autres liens sont en cours de 
réflexion entre Céleste et Altitude.)


Client B3G ? il est temps de changer en effet (B3G n'existe plus, 
détruit par completel). Je te déconseille aussi Altitude pour le moment 
car rachété par Completel (on va attendre de voir s'ils les 
désintègrent  aussi, ou s'ils sont plus intelligent cette fois).
Pour répondre à la remarque de Raphael, mon exemple contient 2 noms 
DNS parce que justement on a prévu d'en utiliser au moins 2.
Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne sert 
à rien et un simple routeur suffit.
Le case ouvert chez Cisco a donné l'architecture cité au début du 
topic (en remplaçant le routeur).

Pour ceux qui veulent voir la vision de Cisco sur le Split DNS :
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html


Du coup je ne comprends pas ce que tu veux faire ? tu veux forwarder la 
requête sur tel ou tel serveur dns en fonction de critères ?




"L'asa gère une option qui s'appelle split-dns mais ce n'est dans le 
cadre d'une connexion vpn (associé aux directive split-tunnel, 
etc...). De toutes manière c'est une mauvaise idée de gérer son dns 
sur un routeur. "
C'est bizarre que Cisco m'aient orienté sur les séries 1900/2900. 
Bein les 1900/2900 c'est des routeurs cisco, pas des ASA justement (pix 
si on veut).
Le but n'est pas gérer tout le DNS sur un routeur mais uniquement les 
services en entrées qui sont partagés entre plusieurs serveurs qui 
utilisent le même protocole et le même port d'écoute le tout avec un 
seul point d'entrée.


Je suis vraiment pas sur de comprendre ton besoin ? load balancer des 
services derrières un point d'entrée, ou un genre de multiplexage de 
service (genre de vhost multi protocole ?)


--
Raphael




___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Jérôme Nicolle]

Vincent,

Le 8 mai 2011 22:19, "Vincent Duvernet (Nolmë Informatique)"
 a écrit :
> Pour une première question, on va dire que l'accueil est loin d'être celui
> auquel je m'attendais sur ce type de liste de diffusion.
> J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes
> extrémistes.

Plaît il ? Il n'y a ni proselytisme ni dénigrement infondé dans ces
réponses, juste des faits : tu demandes conseil pour faire quelque
chose qui marche, on te réponds avec des choses qui marchent. Après,
si tu préfères un système bancal et bricollé, c'est ton choix, mais on
ne peut pas te le conseiller.

> Notre architecture actuelle n'a pas pour but de concurrencer TelecityGroup.
> On adapte en fonction de notre croissance et de notre budget.

Ca va de soi, mais n'oublies pas que considérer l'infrastructure comme
une charge compréssible, ça va t'ammener à perdre du temps et de la
qualité, surtout pour la production de services hébergés. Pour ça,
jouer avec des solutions grand public (une livebox/9box pro ou
business, ça reste une offre avec un support restreint et peu de
garanties), c'est prendre un risque.

Bon, ça règle le problème de croissance, puisque dans ce cas, elle est
peu probable ;)

> Budget qui a malheureusement été bien entamé à cause d'un incendie fin 2008
> (ceux qui suivent la liste de l'OSSIR se souviendrons peut-être).
> (Et ne rigolez pas parce que je suis sûr que je pourrais en faire devenir
> plusieurs d'entre vous bien blanc si j'épluchais leur contrat
> d'assurance...)

La dessus on est bien d'accord, les garanties sont souvent très légères.

> (Le terme crétinbox englobe tout, de la Livebox de madame Michu au souk que
> met B3G ;p.
> Ici c'est une box pro avec GTR. Les autres liens sont en cours de réflexion
> entre Céleste et Altitude.)

Ces deux là n'auraient pas forcement été mes premiers choix, mais on
rentre dans un autre débat. A la limite ça ferait plutot l'objet d'un
autre thread.


-- 
Jérôme Nicolle
06 19 31 27 14
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Présentations

[Guillaume FORTAINE]

Bonjour,

> J'ai essayé à peu près tous les hyperviseurs, sans qu'aucun me
> convienne. Soit à cause des prix des licences pour avoir quelques choses
> de bien, soit à cause des perfs catastrophiques (typiquement Citrix
> semblait parfait mais 5-10mo/s en écriture disque et 10-15mo/s pour le
> réseau. A priori le problème vient de l'OS, FreeBSD).

Le problème vient du fait que tu n'as pas d'IOMMU sur ton hardware :

http://en.wikipedia.org/wiki/IOMMU#IOMMU_in_relation_to_virtualization


Cordialement,

Guillaume FORTAINE


> Date: Sun, 24 Apr 2011 16:01:33 +0200
> From: m...@keigo.fr
> To: frsag@frsag.org
> Subject: Re: [FRsAG] Présentations
>
> Hello tout le monde !
>
> Initialement je me suis inscrit sur FRnOG quand je terminais mes études
> l'année dernière.
>
> Quelqu'un de FRsAG a fait de la pub, du coup je m'y suis inscrit :)
>
> Je post très rarement, me contentant de lire :)
>
> Sur le plan professionnel, je bosse dans une hotline aux Hopitaux
> Universitaires de Strasbourg (peu de rapport avec l'admin sys/res),
> cependant sur mon temps libre j'exploite un site permettant l'accès aux
> newsgroups (http://gibinews.eu).
>
> C'est cette dernière activité qui me donne toute satisfaction dans
> l'admin système. Basé à 100% sur du freebsd, du housing et de la
> location low cost (merci dedibox/ovh :))
>
> J'ai essayé à peu près tous les hyperviseurs, sans qu'aucun me
> convienne. Soit à cause des prix des licences pour avoir quelques choses
> de bien, soit à cause des perfs catastrophiques (typiquement Citrix
> semblait parfait mais 5-10mo/s en écriture disque et 10-15mo/s pour le
> réseau. A priori le problème vient de l'OS, FreeBSD).
>
> Du coup j'utilise FreeBSD et ses jails
> (http://www.diablotins.org/index.php/Jail_FreeBSD), avec du classique
> MySQL (répliqué sur 3 serveurs en temps réel... sympa cette fonction !).
> Du load balancing fait avec les DNS histoire de répartir la charge sur
> les différents serveurs. C'est pas super propre mais ça marche bien.
> Pendant des années j'étais un debianist convaincu... mais ça c'était
> avant de connaître FreeBSD :) (loin de moi l'idée de lancer un débat,
> mais pour les intéressés, je pourrais les aider au besoin à franchir le
> cap).
>
> Bon week end pascal !
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
  
___
Liste de diffusion du FRsAG
http://www.frsag.org/

[FRsAG] IPSEC liens de secours

[Julien Bérard]

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste 
qui pourra sûrement m'aider!



J'ai un site principal avec 2 liaisons, une principale(L1) et une de 
secourt(L2).

Je souhaite y relier d'autres sites en IPSEC.
Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour 
que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a 
mieux:


   * Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur
 L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce
 cas un changement de route suffit? Est-ce que je peux automatiser
 le changement de route?
   * Dans mes paramètres IPSEC je précise un deuxième serveur à
 contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
 possible? sur n'importe quel matériel?

Merci!

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Pierre Gaxatte]

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur chaque site
(un à travers L1, l'autre à travers L2) et de faire juste une bascule au
niveau routage lorsque la liaison principale tombe. Mais ça veut dire qu'il
y aura toujours quelques paquets qui transitent sur L2 pour garder les
tunnels up.

Après il faudrait savoir ce que tu utilises pour monter les tunnels des deux
côtés pour pouvoir dire si la bascule peut se faire automatiquement ou à la
main !

Cordialement,
Pierre

2011/5/9 Julien Bérard 

>  Bonjour,
>
> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui
> pourra sûrement m'aider!
>
>
> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
> secourt(L2).
> Je souhaite y relier d'autres sites en IPSEC.
> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que
> celui-ci soit utilisé si le premier lien(L1) tombe en panne?
> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
> mieux:
>
>- Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur
>L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
>changement de route suffit? Est-ce que je peux automatiser le changement de
>route?
>- Dans mes paramètres IPSEC je précise un deuxième serveur à contacter
>(L2) si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe
>quel matériel?
>
> Merci!
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Julien Bérard]

Merci.
Justement je ne sais pas quel matériel je vais utiliser, je prépare ma 
consultation. Tu me conseils quelque chose en particulier?





On 09/05/2011 17:47, Pierre Gaxatte wrote:

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur chaque 
site (un à travers L1, l'autre à travers L2) et de faire juste une 
bascule au niveau routage lorsque la liaison principale tombe. Mais ça 
veut dire qu'il y aura toujours quelques paquets qui transitent sur L2 
pour garder les tunnels up.


Après il faudrait savoir ce que tu utilises pour monter les tunnels 
des deux côtés pour pouvoir dire si la bascule peut se faire 
automatiquement ou à la main !


Cordialement,
Pierre

2011/5/9 Julien Bérard >


Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers la
liste qui pourra sûrement m'aider!


J'ai un site principal avec 2 liaisons, une principale(L1) et une
de secourt(L2).
Je souhaite y relier d'autres sites en IPSEC.
Quelle est la meilleure façon d'exploiter mon lien de secourt(L2)
pour que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il
y a mieux:

* Sur chaque site je paramètre une connexion IPSEC sur L1 et
  une sur L2, ensuite il faut que si L1 tombe le site passe
  par L2, dans ce cas un changement de route suffit? Est-ce
  que je peux automatiser le changement de route?
* Dans mes paramètres IPSEC je précise un deuxième serveur à
  contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
  possible? sur n'importe quel matériel?

Merci!
 



___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/
   



--
Cordialement,

Julien Bérard

probeSys spécialiste GNU/Linux
Tèl: 09-74-76-47-86

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Sébastien FOUTREL]

Ca se fait sans aucun problèmes avec des Fortigates.
on monte les 2 Vpns, on met un ping server soit vers l'ip publique
soit vers l'ip interne utilisé dans le tunnel IPsec.
1 route vers chaque tunnel avec des poids égaux pour faire un LB dans
les 2 liens, avec des poids differents pour de l'actif/passif.

Zou
A bientot

Le 9 mai 2011 17:55, Julien Bérard  a écrit :
> Merci.
> Justement je ne sais pas quel matériel je vais utiliser, je prépare ma
> consultation. Tu me conseils quelque chose en particulier?
>
>
>
>
> On 09/05/2011 17:47, Pierre Gaxatte wrote:
>
> Salut,
> Je pense que le plus simple est d'avoir deux tunnels montés sur chaque site
> (un à travers L1, l'autre à travers L2) et de faire juste une bascule au
> niveau routage lorsque la liaison principale tombe. Mais ça veut dire qu'il
> y aura toujours quelques paquets qui transitent sur L2 pour garder les
> tunnels up.
> Après il faudrait savoir ce que tu utilises pour monter les tunnels des deux
> côtés pour pouvoir dire si la bascule peut se faire automatiquement ou à la
> main !
> Cordialement,
> Pierre
>
> 2011/5/9 Julien Bérard 
>>
>> Bonjour,
>>
>> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui
>> pourra sûrement m'aider!
>>
>>
>> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
>> secourt(L2).
>> Je souhaite y relier d'autres sites en IPSEC.
>> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que
>> celui-ci soit utilisé si le premier lien(L1) tombe en panne?
>> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
>> mieux:
>>
>> Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2,
>> ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
>> changement de route suffit? Est-ce que je peux automatiser le changement de
>> route?
>> Dans mes paramètres IPSEC je précise un deuxième serveur à contacter (L2)
>> si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe quel
>> matériel?
>>
>> Merci!
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
> --
> Cordialement,
>
> Julien Bérard
>
> probeSys spécialiste GNU/Linux
> Tèl: 09-74-76-47-86
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Pierre Gaxatte]

Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et
des compétences.
Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des
VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting
sur l'état des tunnels et le debuggage est vraiment lourd quand quelque
chose ne fonctionne pas...

Mais bon une fois le tunnel monté, ça bouge plus !

Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.


J'avais posé une question similaire il y a quelques années sur FRnog et
beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te
rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour
maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en
tout cas il y a des chances que ça rentre dans ton budget aussi serré
soit-il !).


2011/5/9 Julien Bérard 

>  Merci.
> Justement je ne sais pas quel matériel je vais utiliser, je prépare ma
> consultation. Tu me conseils quelque chose en particulier?
>
>
>
>
>
> On 09/05/2011 17:47, Pierre Gaxatte wrote:
>
> Salut,
>
>  Je pense que le plus simple est d'avoir deux tunnels montés sur chaque
> site (un à travers L1, l'autre à travers L2) et de faire juste une bascule
> au niveau routage lorsque la liaison principale tombe. Mais ça veut dire
> qu'il y aura toujours quelques paquets qui transitent sur L2 pour garder les
> tunnels up.
>
>  Après il faudrait savoir ce que tu utilises pour monter les tunnels des
> deux côtés pour pouvoir dire si la bascule peut se faire automatiquement ou
> à la main !
>
>  Cordialement,
> Pierre
>
> 2011/5/9 Julien Bérard 
>
>> Bonjour,
>>
>> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste qui
>> pourra sûrement m'aider!
>>
>>
>> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
>> secourt(L2).
>> Je souhaite y relier d'autres sites en IPSEC.
>> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour que
>> celui-ci soit utilisé si le premier lien(L1) tombe en panne?
>> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
>> mieux:
>>
>>- Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur
>>L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
>>changement de route suffit? Est-ce que je peux automatiser le changement 
>> de
>>route?
>>- Dans mes paramètres IPSEC je précise un deuxième serveur à contacter
>>(L2) si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe
>>quel matériel?
>>
>> Merci!
>>
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
>
> ___
> Liste de diffusion du FRsAGhttp://www.frsag.org/
>
>
>
> --
> Cordialement,
>
> Julien Bérard
>
> probeSys spécialiste GNU/Linux
> Tèl: 09-74-76-47-86
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>


-- 
Pierre Gaxatte
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[David Touitou]

'jour.

> J'avais posé une question similaire il y a quelques années sur FRnog
> et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si
> ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo
> lol pour maintenir sérieusement ton cluster, ça peut correspondre à
> tes besoins (en tout cas il y a des chances que ça rentre dans ton
> budget aussi serré soit-il !).

pfSense ?

David
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Pierre-Arnaud]

A budget zéro, j'ai mis en place il y a quelques semaines des liens avec 
OpenSwan sur des debian. Avec du Cisco ASA à l'autre bout. So far so 
good. Après, la doc n'est pas très ipsec-noob-friendly (je me place dans 
cette catégorie, hein) et je ne suis pas certain d'avoir paramétré le 
dead peer detection dans les règles de l'art (après une coupure, ça 
bagotte parfois un peu avant le rétablissement définitif... ça va 
peut-être bien se régler avec un watchdog en shell).


Oui, c'est bricolo mais j'assume.

P.-A.

Le 09/05/2011 18:04, Pierre Gaxatte a écrit :
Ahh ! Là ça se complique alors parce qu'il y a des contraintes de 
budget et des compétences.
Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter 
des VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de 
reporting sur l'état des tunnels et le debuggage est vraiment lourd 
quand quelque chose ne fonctionne pas...


Mais bon une fois le tunnel monté, ça bouge plus !

Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu 
plus.



J'avais posé une question similaire il y a quelques années sur FRnog 
et beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si 
ça ne te rebute pas et que tu n'as pas besoin d'une interface kikoo 
lol pour maintenir sérieusement ton cluster, ça peut correspondre à 
tes besoins (en tout cas il y a des chances que ça rentre dans ton 
budget aussi serré soit-il !).



2011/5/9 Julien Bérard >


Merci.
Justement je ne sais pas quel matériel je vais utiliser, je
prépare ma consultation. Tu me conseils quelque chose en particulier?





On 09/05/2011 17:47, Pierre Gaxatte wrote:

Salut,

Je pense que le plus simple est d'avoir deux tunnels montés sur
chaque site (un à travers L1, l'autre à travers L2) et de faire
juste une bascule au niveau routage lorsque la liaison principale
tombe. Mais ça veut dire qu'il y aura toujours quelques paquets
qui transitent sur L2 pour garder les tunnels up.

Après il faudrait savoir ce que tu utilises pour monter les
tunnels des deux côtés pour pouvoir dire si la bascule peut se
faire automatiquement ou à la main !

Cordialement,
Pierre

2011/5/9 Julien Bérard mailto:julien.ber...@probesys.com>>

Bonjour,

J'ai très peu d'expérience en IPSEC, je me retourne donc vers
la liste qui pourra sûrement m'aider!


J'ai un site principal avec 2 liaisons, une principale(L1) et
une de secourt(L2).
Je souhaite y relier d'autres sites en IPSEC.
Quelle est la meilleure façon d'exploiter mon lien de
secourt(L2) pour que celui-ci soit utilisé si le premier
lien(L1) tombe en panne?
Je ne sais pas si ces solutions sont possibles, et j'imagine
qu'il y a mieux:

* Sur chaque site je paramètre une connexion IPSEC sur L1
  et une sur L2, ensuite il faut que si L1 tombe le site
  passe par L2, dans ce cas un changement de route
  suffit? Est-ce que je peux automatiser le changement de
  route?
* Dans mes paramètres IPSEC je précise un deuxième
  serveur à contacter (L2) si L1 n'est pas joignable.
  Est-ce que c'est possible? sur n'importe quel matériel?

Merci!
 



___
Liste de diffusion du FRsAG
http://www.frsag.org/



___
Liste de diffusion du FRsAG
http://www.frsag.org/
   



-- 
Cordialement,


Julien Bérard

probeSys spécialiste GNU/Linux
Tèl: 09-74-76-47-86


___
Liste de diffusion du FRsAG
http://www.frsag.org/




--
Pierre Gaxatte


___
Liste de diffusion du FRsAG
http://www.frsag.org/


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Sébastien FOUTREL]

Hmm, 2 petits FG50 ou FG60 ca vaut moins cher que 1 serveur Dell.
Le support/kb de Fortigate contient plein de whitepaper pour la
connection avec du Cisco, etc meme avec Racoon.


Le 9 mai 2011 18:04, Pierre Gaxatte  a écrit :
> Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget et
> des compétences.
> Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter des
> VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de reporting
> sur l'état des tunnels et le debuggage est vraiment lourd quand quelque
> chose ne fonctionne pas...
> Mais bon une fois le tunnel monté, ça bouge plus !
> Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu plus.
>
> J'avais posé une question similaire il y a quelques années sur FRnog et
> beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne te
> rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour
> maintenir sérieusement ton cluster, ça peut correspondre à tes besoins (en
> tout cas il y a des chances que ça rentre dans ton budget aussi serré
> soit-il !).
>
> 2011/5/9 Julien Bérard 
>>
>> Merci.
>> Justement je ne sais pas quel matériel je vais utiliser, je prépare ma
>> consultation. Tu me conseils quelque chose en particulier?
>>
>>
>>
>>
>> On 09/05/2011 17:47, Pierre Gaxatte wrote:
>>
>> Salut,
>> Je pense que le plus simple est d'avoir deux tunnels montés sur chaque
>> site (un à travers L1, l'autre à travers L2) et de faire juste une bascule
>> au niveau routage lorsque la liaison principale tombe. Mais ça veut dire
>> qu'il y aura toujours quelques paquets qui transitent sur L2 pour garder les
>> tunnels up.
>> Après il faudrait savoir ce que tu utilises pour monter les tunnels des
>> deux côtés pour pouvoir dire si la bascule peut se faire automatiquement ou
>> à la main !
>> Cordialement,
>> Pierre
>>
>> 2011/5/9 Julien Bérard 
>>>
>>> Bonjour,
>>>
>>> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste
>>> qui pourra sûrement m'aider!
>>>
>>>
>>> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
>>> secourt(L2).
>>> Je souhaite y relier d'autres sites en IPSEC.
>>> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour
>>> que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
>>> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
>>> mieux:
>>>
>>> Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2,
>>> ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
>>> changement de route suffit? Est-ce que je peux automatiser le changement de
>>> route?
>>> Dans mes paramètres IPSEC je précise un deuxième serveur à contacter (L2)
>>> si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe quel
>>> matériel?
>>>
>>> Merci!
>>>
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
>> --
>> Cordialement,
>>
>> Julien Bérard
>>
>> probeSys spécialiste GNU/Linux
>> Tèl: 09-74-76-47-86
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
>
>
> --
> Pierre Gaxatte
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[David Amiel]

Comme mentionné le plus simple est effectivement d'avoir les 2 tunnels
montés en permanence et de jouer sur le routage en amont pour utiliser
l'un ou l'autre.

S'il n'y a pas de contraintes fortes pour utiliser de l'IPSEC je te
recommanderais de passer par openvpn (tunnel SSL), bien plus facile à
mettre en place et avec moins de contraintes qu'IPSEC (en particulier pour
le passage d'équipements faisant du NAT). Pour l'OS au choix BSD/linux.

Après tu peux effectivement passer par du matos réseau style firewall ou
concentrateur VPN, mais ça coûte cher et c'est loin d'être évident à faire
fonctionner si tu n'as pas un spécialiste de la techno sous la main

++

David


> Bonjour,
>
> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste
> qui pourra sûrement m'aider!
>
>
> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
> secourt(L2).
> Je souhaite y relier d'autres sites en IPSEC.
> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour
> que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
> mieux:
>
> * Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur
>   L2, ensuite il faut que si L1 tombe le site passe par L2, dans ce
>   cas un changement de route suffit? Est-ce que je peux automatiser
>   le changement de route?
> * Dans mes paramètres IPSEC je précise un deuxième serveur à
>   contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
>   possible? sur n'importe quel matériel?
>
> Merci!
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[David Amiel]

Intéressant, t'as déjà essayé de configurer du vpn sur ce genre de boîtier
? Je travaille sur du fortigate (sans fortimanager) et je ne trouve pas
l'interface particulièrement ergonomique, ni intuitive.



> Hmm, 2 petits FG50 ou FG60 ca vaut moins cher que 1 serveur Dell.
> Le support/kb de Fortigate contient plein de whitepaper pour la
> connection avec du Cisco, etc meme avec Racoon.
>
>
> Le 9 mai 2011 18:04, Pierre Gaxatte  a écrit :
>> Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget
>> et
>> des compétences.
>> Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter
>> des
>> VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de
>> reporting
>> sur l'état des tunnels et le debuggage est vraiment lourd quand quelque
>> chose ne fonctionne pas...
>> Mais bon une fois le tunnel monté, ça bouge plus !
>> Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu
>> plus.
>>
>> J'avais posé une question similaire il y a quelques années sur FRnog et
>> beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne
>> te
>> rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour
>> maintenir sérieusement ton cluster, ça peut correspondre à tes besoins
>> (en
>> tout cas il y a des chances que ça rentre dans ton budget aussi serré
>> soit-il !).
>>
>> 2011/5/9 Julien Bérard 
>>>
>>> Merci.
>>> Justement je ne sais pas quel matériel je vais utiliser, je prépare ma
>>> consultation. Tu me conseils quelque chose en particulier?
>>>
>>>
>>>
>>>
>>> On 09/05/2011 17:47, Pierre Gaxatte wrote:
>>>
>>> Salut,
>>> Je pense que le plus simple est d'avoir deux tunnels montés sur chaque
>>> site (un à travers L1, l'autre à travers L2) et de faire juste une
>>> bascule
>>> au niveau routage lorsque la liaison principale tombe. Mais ça veut
>>> dire
>>> qu'il y aura toujours quelques paquets qui transitent sur L2 pour
>>> garder les
>>> tunnels up.
>>> Après il faudrait savoir ce que tu utilises pour monter les tunnels des
>>> deux côtés pour pouvoir dire si la bascule peut se faire
>>> automatiquement ou
>>> à la main !
>>> Cordialement,
>>> Pierre
>>>
>>> 2011/5/9 Julien Bérard 

 Bonjour,

 J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste
 qui pourra sûrement m'aider!


 J'ai un site principal avec 2 liaisons, une principale(L1) et une de
 secourt(L2).
 Je souhaite y relier d'autres sites en IPSEC.
 Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour
 que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
 Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
 mieux:

 Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2,
 ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
 changement de route suffit? Est-ce que je peux automatiser le
 changement de
 route?
 Dans mes paramètres IPSEC je précise un deuxième serveur à contacter
 (L2)
 si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe
 quel
 matériel?

 Merci!


 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/

>>>
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>>
>>> --
>>> Cordialement,
>>>
>>> Julien Bérard
>>>
>>> probeSys spécialiste GNU/Linux
>>> Tèl: 09-74-76-47-86
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>
>>
>>
>> --
>> Pierre Gaxatte
>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>


___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Denis F.]

Bonsoir,

Le 09/05/2011 18:04, Pierre Gaxatte a écrit :


J'avais posé une question similaire il y a quelques années sur FRnog et
beaucoup m'ont conseillé des clusters OpenBSD pour faire cela.



Je pense que c'est le cas d'école pour OpenBSD.
Montage de 2 tunnels en quelques secondes grâce à une syntaxe 
intelligible et des commandes simples et utilisation de ospfd pour 
router le trafic en fonction de l'état du lien. Il est toujours possible 
d'utiliser carp s'il y a besoin de redondance au niveau des terminateurs 
de tunnel.


Denis
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

  
  
Le 09/05/2011 10:14, Raphael Mazelier a écrit :
Le
  08/05/2011 22:19, "Vincent Duvernet (Nolmë Informatique)" a écrit
  :
  
  Pour une première question, on va dire que
l'accueil est loin d'être celui auquel je m'attendais sur ce
type de liste de diffusion.

J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes
extrémistes.


  
  Non sur une liste d'adminsys :)
  

>> Ensuite il faut différencier les AdminSys Softeux et les
AdminSys Hardeux ^^

  
  
  (Le terme crétinbox englobe tout, de la
Livebox de madame Michu au souk que met B3G ;p.

Ici c'est une box pro avec GTR. Les autres liens sont en cours
de réflexion entre Céleste et Altitude.)


  
  Client B3G ? il est temps de changer en effet (B3G n'existe plus,
  détruit par completel). Je te déconseille aussi Altitude pour le
  moment car rachété par Completel (on va attendre de voir s'ils les
  désintègrent  aussi, ou s'ils sont plus intelligent cette fois).
  

>> Je n'avais pas suivi le chapitre B3G. Altitude dans l'Orne
a très mauvaise réputation notamment sur la qualité de service.
Altitude Infrastructure par contre semble avoir divorcé d'Altitude
Télécoms pour fournir un pont hertziens jusqu'à Alençon et ensuite
repartir sur des lignes SFR semble-t-il.

  Pour répondre à la remarque de Raphael,
mon exemple contient 2 noms DNS parce que justement on a prévu
d'en utiliser au moins 2.

Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne
sert à rien et un simple routeur suffit.

Le case ouvert chez Cisco a donné l'architecture cité au début
du topic (en remplaçant le routeur).

Pour ceux qui veulent voir la vision de Cisco sur le Split DNS :

http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html

  
  
  Du coup je ne comprends pas ce que tu veux faire ? tu veux
  forwarder la requête sur tel ou tel serveur dns en fonction de
  critères ?
  

>> Oui et dont le critère est le nom DNS donné en source.

  
  

"L'asa gère une option qui s'appelle split-dns mais ce n'est
dans le cadre d'une connexion vpn (associé aux directive
split-tunnel, etc...). De toutes manière c'est une mauvaise idée
de gérer son dns sur un routeur. "

C'est bizarre que Cisco m'aient orienté sur les séries
1900/2900. 
  Bein les 1900/2900 c'est des routeurs cisco, pas des ASA justement
  (pix si on veut).
  

>> Oui du coup, je ne sais toujours pas s'il vaut mieux le
coller en FW transparent ou routé.

  Le but n'est pas gérer tout le DNS sur un
routeur mais uniquement les services en entrées qui sont
partagés entre plusieurs serveurs qui utilisent le même
protocole et le même port d'écoute le tout avec un seul point
d'entrée.

  
  
  Je suis vraiment pas sur de comprendre ton besoin ? load balancer
  des services derrières un point d'entrée, ou un genre de
  multiplexage de service (genre de vhost multi protocole ?)
  

>> Il y a plusieurs besoins :
- Changer de méthode pour monter les VPN IPSEC et SSL en mettant
l'ASA en prod
- Garder la possibilité d'avoir au moins 2 liens Internet + LAN +
DMZ
- Pouvoir utiliser plusieurs services sur un même port et faire le
routage en fonction du nom DNS.

Pour le dernier cas, voici un exemple parmi tant d'autres.
Si on veut accéder à plusieurs portails web dans un LAN ipv4.
Quelles sont les solutions :
- Faire du NAT en utilisant plusieurs ports 8080, 8081, 8082...
c'est pas génial.
- Monter un VPN et taper sur l'IP privée. C'est la meilleure option
côté sécurité je dirais.
- Utiliser plusieurs IPs en entrée. Ca peut vite coûter cher.
- Utiliser un seul port 8080 et forwarder la requête vers la bonne
IP en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)

(Merci aussi à Jérôme pour ses infos).
Vincent


  

  




  
  


  
  


  
  


  
  


  
  




  
  




  
  




  
  




  

  

  

___
Liste de diffusion du FRsAG
htt

Re: [FRsAG] IPSEC liens de secours

[Vincent Duvernet (Nolmë Informatique)]

  
  
Le 09/05/2011 17:38, Julien Bérard a écrit :

  
  Bonjour,
  
  J'ai très peu d'expérience en IPSEC, je me retourne donc vers la
  liste
  qui pourra sûrement m'aider!
  
  
  J'ai un site principal avec 2 liaisons, une principale(L1) et une
  de
  secourt(L2).
  Je souhaite y relier d'autres sites en IPSEC.
  Quelle est la meilleure façon d'exploiter mon lien de secourt(L2)
  pour
  que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
  Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il
  y a
  mieux:
  
Sur chaque site je paramètre une connexion IPSEC sur L1 et
  une
  sur L2, ensuite il faut que si L1 tombe le site passe par L2,
  dans ce
  cas un changement de route suffit? Est-ce que je peux
  automatiser le
  changement de route?
Dans mes paramètres IPSEC je précise un deuxième serveur à
  contacter (L2) si L1 n'est pas joignable. Est-ce que c'est
  possible?
  sur n'importe quel matériel?

  
  Merci!

Bonsoir,

Je vais essayer de ne pas me faire incendier dans ce topic ;p.
Déjà, je te déconseille Netgear même si tu veux faire des économies.
Le temps perdu en aval te fera regretter le choix assez rapidement.

Autre question, est ce que tu as une problématique de latence ?
Si ton lien de secours ne prend le relai que lorsque L1 tombe, ton
premier ping va être horrible. Si ton forfait est fixe, il y a une
option pour garder le lien actif.
C'est le routeur qui gère les 2 liens qui est à paramétrer en
fonction de ce que tu veux faire entre L1 et L2.

Pour tout ce qui est reporting, tu peux voir en supervision SNMP
pour tester si tes liens sont up ou pas.
Les solutions gratuites/payantes sont nombreuses. Il y a avait eu un
listage assez complet sur security focus.

++
Vincent


  

  




  
  


  
  


  
  


  
  


  
  




  
  




  
  




  
  




  

  

  

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Pierre-Arnaud]

Le 09/05/2011 21:35, "Vincent Duvernet (Nolmë Informatique)" a écrit :


- Utiliser un seul port 8080 et forwarder la requête vers la bonne IP 
en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)




Comme utiliser apache en reverse proxy avec des virtual hosts..? 
Pourquoi vouloir faire ça avec du routage? (et comment?)


P.-A.

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] IPSEC liens de secours

[Sébastien FOUTREL]

Oui et pas qu'un peu.
La boite ou je bosse gere plusieurs dizaines de Fortigate sans
Fortimanager. En CLI c'est super simple a configurer et la GUI est
enfantine.On monte meme des vpns en étoile ou avec maillage entre
plusieurs sites.
Avec un peu de lab, tu peux meme monter des vpns entre tes differents
sites et propager les reseaux de chacuns via BGP/OSPF/IS-IS.

Le seul projet ou l'on tente d'en utiliser un (Fortimanager pour 400
boitiers) est plus galere que les autres à cause de toutes les
bizarreries des FortiManager.


Les solutions opensource c'est sympa et a 37 ans j'en ai mangé pendant
quelques années. Mais avoir un vrai support avec ses qualités et ses
faiblesses plutot qu'une communauté pour laquelle tu es un lambda, ca
a parfois du bon, et puis le fait de faire du CA avec un constructeur
ça ouvre quelques portes.


Le 9 mai 2011 19:01, David Amiel  a écrit :
> Intéressant, t'as déjà essayé de configurer du vpn sur ce genre de boîtier
> ? Je travaille sur du fortigate (sans fortimanager) et je ne trouve pas
> l'interface particulièrement ergonomique, ni intuitive.
>
>
>
>> Hmm, 2 petits FG50 ou FG60 ca vaut moins cher que 1 serveur Dell.
>> Le support/kb de Fortigate contient plein de whitepaper pour la
>> connection avec du Cisco, etc meme avec Racoon.
>>
>>
>> Le 9 mai 2011 18:04, Pierre Gaxatte  a écrit :
>>> Ahh ! Là ça se complique alors parce qu'il y a des contraintes de budget
>>> et
>>> des compétences.
>>> Perso, je n'ai eu l'occasion de tester que des Checkpoint pour monter
>>> des
>>> VPN IPsec. Ca marche pas trop mal mais ça manque cruellement de
>>> reporting
>>> sur l'état des tunnels et le debuggage est vraiment lourd quand quelque
>>> chose ne fonctionne pas...
>>> Mais bon une fois le tunnel monté, ça bouge plus !
>>> Peut-être que d'autres avis sur la liste pourraient t'aiguiller un peu
>>> plus.
>>>
>>> J'avais posé une question similaire il y a quelques années sur FRnog et
>>> beaucoup m'ont conseillé des clusters OpenBSD pour faire cela. Si ça ne
>>> te
>>> rebute pas et que tu n'as pas besoin d'une interface kikoo lol pour
>>> maintenir sérieusement ton cluster, ça peut correspondre à tes besoins
>>> (en
>>> tout cas il y a des chances que ça rentre dans ton budget aussi serré
>>> soit-il !).
>>>
>>> 2011/5/9 Julien Bérard 

 Merci.
 Justement je ne sais pas quel matériel je vais utiliser, je prépare ma
 consultation. Tu me conseils quelque chose en particulier?




 On 09/05/2011 17:47, Pierre Gaxatte wrote:

 Salut,
 Je pense que le plus simple est d'avoir deux tunnels montés sur chaque
 site (un à travers L1, l'autre à travers L2) et de faire juste une
 bascule
 au niveau routage lorsque la liaison principale tombe. Mais ça veut
 dire
 qu'il y aura toujours quelques paquets qui transitent sur L2 pour
 garder les
 tunnels up.
 Après il faudrait savoir ce que tu utilises pour monter les tunnels des
 deux côtés pour pouvoir dire si la bascule peut se faire
 automatiquement ou
 à la main !
 Cordialement,
 Pierre

 2011/5/9 Julien Bérard 
>
> Bonjour,
>
> J'ai très peu d'expérience en IPSEC, je me retourne donc vers la liste
> qui pourra sûrement m'aider!
>
>
> J'ai un site principal avec 2 liaisons, une principale(L1) et une de
> secourt(L2).
> Je souhaite y relier d'autres sites en IPSEC.
> Quelle est la meilleure façon d'exploiter mon lien de secourt(L2) pour
> que celui-ci soit utilisé si le premier lien(L1) tombe en panne?
> Je ne sais pas si ces solutions sont possibles, et j'imagine qu'il y a
> mieux:
>
> Sur chaque site je paramètre une connexion IPSEC sur L1 et une sur L2,
> ensuite il faut que si L1 tombe le site passe par L2, dans ce cas un
> changement de route suffit? Est-ce que je peux automatiser le
> changement de
> route?
> Dans mes paramètres IPSEC je précise un deuxième serveur à contacter
> (L2)
> si L1 n'est pas joignable. Est-ce que c'est possible? sur n'importe
> quel
> matériel?
>
> Merci!
>
>
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>


 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/


 --
 Cordialement,

 Julien Bérard

 probeSys spécialiste GNU/Linux
 Tèl: 09-74-76-47-86

 ___
 Liste de diffusion du FRsAG
 http://www.frsag.org/

>>>
>>>
>>>
>>> --
>>> Pierre Gaxatte
>>>
>>> ___
>>> Liste de diffusion du FRsAG
>>> http://www.frsag.org/
>>>
>>>
>> ___
>> Liste de diffusion du FRsAG
>> http://www.frsag.org/
>>
>
>
> ___
> Liste de diffusion du FRsAG
> http

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[Vincent Duvernet (Nolmë Informatique)]

  
  
Le 09/05/2011 22:17, Pierre-Arnaud a écrit :
Le
  09/05/2011 21:35, "Vincent Duvernet (Nolmë Informatique)" a écrit
  :
  
  

- Utiliser un seul port 8080 et forwarder la requête vers la
bonne IP en fonction du nom donné (camera1.ath.cx,
camera2.ath.cx...)


  
  
  Comme utiliser apache en reverse proxy avec des virtual hosts..?
  Pourquoi vouloir faire ça avec du routage? (et comment?)
  
  
  P.-A.
  
  

Parce que c'était pour l'exemple. Les services utilisés ne sont pas
qu'en web.
De plus ceux en web utilisent parfois des serveurs à eux sur lequel
on n'a pas forcément la main.

Vincent

  

  




  
  


  
  


  
  


  
  


  
  




  
  




  
  




  
  




  

  

  

___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Petite question d'architecture - Cisco ASA Transparent / Routé.

[David Touitou]

'jour.

> > > - Utiliser un seul port 8080 et forwarder la requête vers la bonne IP
> > > en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)
> > Comme utiliser apache en reverse proxy avec des virtual hosts..?
> > Pourquoi vouloir faire ça avec du routage? (et comment?)
> 
> Parce que c'était pour l'exemple. Les services utilisés ne sont pas
> qu'en web.

Ca devient plus rock'n'roll alors.
Mais fallait choisir un autre exemple 8)

> De plus ceux en web utilisent parfois des serveurs à eux sur lequel on
> n'a pas forcément la main.

Et ?
Le reverse-proxy s'en fout de ça.

David
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Proxy - filtrage internet

[steph10200]

Bjr, 

pour ma part, on utilise une appliance ironport cisco, ca fonctionne plutot pas 
mal, (1500 utilisateurs)

intégration dans l'AD listes blanches noires, niveau paramétrable selons des 
groupes de l'AD, recuperation automatique du token d'authentification, IE / 
firefox / chrome : authentification transparente. peut héberger les fichiers 
.pac .dat 

seul petit hic a l'appliance à mon sens: systeme fermé de réputation de site, 
la console ssh est limitée : grep sur certains logs et quelques autres 
commandes de base, et on a eu qques pbs avec le proxy https (l'appliance ne 
répond pu et sans rien faire 10 min apres ca repart).

voila voila.
  - Original Message - 
  From: Thierry Chevalier 
  To: French SysAdmin Group 
  Sent: Tuesday, May 03, 2011 2:28 PM
  Subject: [FRsAG] Proxy - filtrage internet


  Bonjour,

  Je vous lis depuis un petit moment et je me lance donc pour avoir un retour 
sur vos expérience en matière de proxy.

  Quel type de proxy utilisez vous pour bloquer l'accés a certain site à vos 
utilisateurs? (Dans un environnement Microsoft avec un AD) 

  Du gratuit? du payant? avec quel fabricant?

  Merci d'avance pour vos réponses.

  Bonne journée

  Thierry CHEVALIER



--


  ___
  Liste de diffusion du FRsAG
  http://www.frsag.org/
___
Liste de diffusion du FRsAG
http://www.frsag.org/