Routeur VPN Compatible Ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Routeur VPN Compatible Ipcop

Messagepar calamarz » 26 Fév 2008 10:29

Bonjour,

Je sais que la question a été abordé plusieurs fois mais voila je cherche plus un retour d'experience, je m'explique:

Actuellement 10 Ipcop avec:
8 sur sites distants
1 pour VPN site distant sur le site principal
1 pour acces internet + DMZ site principal

Mais voila cette installation fonctionne depuis 4 ans maintenant, mais je commence a avoir des soucis de fiabilite (HDD HS, Carte Mere, Alimentation) en effet il s'agit de PC de recuperation c'est normal me direz vous.

Donc je test actuellement la stabilité d'un tunnel IPCOP 1.4.18 avec un routeur Netgear DG834, le tunnel fonctionne mais je me pose la question de la vitesse (compression, cryptage) en effet sur un nouveau site je vais avoir 10 PC avec utilisation de deux applications telnet (peu gourmand), de 2 TSE, flux impression, application Web...

Pour un cas similaire utilisez vous des routeurs "grand public", ou plutot de la gamme pro et si oui quels modeles ???

Ahh si une autre precision actuellement, chaque site utilise le proxy de son ipcop mon objectif serait de faire passer le web dans le vpn pour utiliser le serveur proxy du site principal avec access list.

Voila merci d'avance !!!
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar ccnet » 26 Fév 2008 11:11

Donc je test actuellement la stabilité d'un tunnel IPCOP 1.4.18 avec un routeur Netgear DG834, le tunnel fonctionne mais je me pose la question de la vitesse (compression, cryptage) en effet sur un nouveau site je vais avoir 10 PC avec utilisation de deux applications telnet (peu gourmand), de 2 TSE, flux impression, application Web...

Vite fait, mon premier réflexe serait de dire que la principale contrainte viendrait du débit disponible sur ce lien.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar calamarz » 26 Fév 2008 16:13

Oui je suis bien d'accord avec toi d'ou une augmentation vers un SDSL 2 Mo de notre ligne principale + gestion QOS
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar calamarz » 29 Fév 2008 16:11

Bon et bien mon sujet n'est pas interessant ?? :) Je vais continuer mes recherches...

Merci
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar ccnet » 29 Fév 2008 16:47

Il y a bien des indications de tenue en charge avec du vpn, en fonction du nombre d'utilisateurs, mais les informations concernaient Pfsense et les tunnels ipsec. . le principal facteur affectant le débit du firewall était le processeur. Pour 50Mbits/sec pévoir 1 Ghz environ.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar calamarz » 29 Fév 2008 17:04

Merci, cela reste du theorique meme si tres utile pour dimensionner une ligne ma question est plus de savoir si vous utilisez de routeur/Modem VPN plus "Pro" que du DG834 et sont-ils satisfaisants ?
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar Franck78 » 29 Fév 2008 17:06

Salut,

on ne comprend pas vraiment ce que tu cherches...

Remplacer les IPCops?
Tester le DG834?

En tout cas, le DG834 est très bien mais: seulement du IPSEC avec PSK. Peut être pas top comme méthode d'authentification. En plus il commence à dater niveau source utilisés (chercher sur le site netgear).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar calamarz » 29 Fév 2008 17:32

Oui merci alors parfois un schema est plus clair !!! alors voila :

AVANT:
Image

APRES:
Image

En clair je souhaite remplacer mes ipcop distants par des routeurs/modems ADSL VPN de maniere a reduire les problemes materiels (CM, HDD, Alimentation) de mes IPCOP actuels vieillissant.

Et donc je recherche un retour d'experience sur ce type de solution !! les modeles utilisés !!!

Voila bon j'espere etre un peu plus clair :lol:

Merci :-)
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar m2nis » 29 Fév 2008 17:52

Excellente tenue du vpn avec des routeurs Netopia 3346-ENT mais si vous avez besoin de beaucoup de bande passante, oubliez-les car les débits sont faibles en 3des, vraisemblablement à cause du manque de puissance du routeur pour le codage/décodage.
Michaël.
m2nis
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 335
Inscrit le: 25 Mai 2004 17:17
Localisation: France

Messagepar Franck78 » 29 Fév 2008 18:58

C'est étrange :o Tu as quelque chose qui fonctionne bien a priori pour la partie logiciel/fonctionnalité.
Tu veux légitimenent remplacer du hardware viellissant.

Pourquoi tout remplacer????
N'importe quel engin commercial un peu plus 'puissant ou fonctionnel' sera bien plus cher que n'importe quelle config PC hardware pour remonter des IPCops 'rapides'.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar ccnet » 29 Fév 2008 19:17

Comme Franck, je ne comprend pas pourquoi répondre à une question qui ne se pose pas. Changer le matériel, je comprend bien la nécessité, mais pourquoi le reste ??
D'autant plus qu'il serait assez facile de trouver un lot de serveurs (des vrais) à la puissance adpatée chez un brooker (en prenant un peut de spare) et d'utiliser la procédure backup - restore des ipcop existant pour remplacer en douceur les machines trop anciennes.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar calamarz » 03 Mars 2008 11:00

Ahhh mais je ne dis pas le contraire Ipcop est fiable et tres tres bien !!! mais je vois differents avantages a mettre des routeurs:

- Plus fiable pour la partie hardware
- Plus petit chauffe moins (pour la place)
- Plus simple de diagnostic

Enfin c'est une idée apres les sites distants sont equipés de 3 à 12 PC et en moyenne de 2 imprimantes, j'ai juste besoin de centraliser les acces web sur le site principal (plus de controle) et d'etablir un VPN qui soit stable mais aussi performant.

Voila je vais regarder pour les routeurs mais tres objectivement un DG834G coute 50 € et peut deja etre une bonne solution de spare (mes sites sont distants au maximum de 500 km), apres je vais regarder pour des bon PC neufs en garantie 3 ans standard mais une solution serveur d'occasion n'est pas viable pour moi (trop bruyant pour les utilisateurs, trop de place, chauffe trop, et materiel de 2-3 ans donc meme si archi serveur plus de probabilte de defaillances hard).

Bon je continu ma reflexion :-)
On peut apprendre à un ordinateur à dire : "Je t'aime", mais on ne peut pas lui apprendre à aimer.
[ Albert Jacquard ]
Avatar de l’utilisateur
calamarz
Contre-Amiral
Contre-Amiral
 
Messages: 468
Inscrit le: 10 Déc 2002 01:00
Localisation: Rennes BZH

Messagepar THIBAUD pascal » 06 Mars 2008 14:41

Bonjour,

Quelqu'un aurait-il une procédure de configuration pour mettre en place un VPN entre un IPCOP et un DG834.

Est-ce que ce VPN est fiable ? pas de déconnexions intempestives ou autres problèmes ?

Merci pour votre aide.
THIBAUD pascal
Matelot
Matelot
 
Messages: 6
Inscrit le: 06 Mars 2008 12:01
Localisation: VENDEE

Messagepar fabnrc » 19 Mars 2008 13:48

Bonjour calamarz,

Moi j'utilise des cartes ALIX2C3 avec le système EMBCOP. EMBCOP est une version d'IPCOP développée pour ce type de produit et a quasiment toutes les fonctionnalités d'IPCOP. En fait c'est comme si tu avais acheté un routeur ADSL avec IPCOP à l'intérieur.

OpenVPN ZERINA, BlockOut Traffic fonctionnent sans pb dessus. Pour la partie filtrage de sites web, la machine est trop légère et pas possibilité d'activé le proxy. Mais il suffit juste de mettre advanced proxy et URL Filter sur le site principal pour pouvoir faire du filtrage sur les sites distants.

En espérant avoir répondu à ta question

Fabrice
Avatar de l’utilisateur
fabnrc
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 10 Mars 2004 01:00

Messagepar fabnrc » 19 Mars 2008 13:54

Calamarz,

j'ai une question par rapport à ton schéma. Pourquoi tu as 2 IPCOP ?
Pourquoi tu n'en as pas qu'un seul pour le VPN, filtrage ....

Fabrice
Avatar de l’utilisateur
fabnrc
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 10 Mars 2004 01:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron