2 ADSL pour un Lan

[Vulmix]

Bonjour à tous,

Voici le problème : J'ai deux utilisateurs qui utilisent une application d'un de nos fournisseurs via Citrix. La connexion devient de plus en plus lente à cause des autres utilisateurs qui vont sur Internet. L'idée serait d'ajouter une seconde ADSL.

La première configuration qui me vient à l'esprit est la suivante :

Tous auront une configuration lan du type (192.168.254.X/255.255.255.0/192.168.254.1) Et mes deux utilisateurs auront la configuration avec la passerelle différente 192.168.254.2 et tous le même DNS. A l'adresse 192.168.254.1 j'ai mon SME. Et en 192.168.254.2 mon deuxième modem ADSL...

Vous avez compris mon problème ! Si je ne veux pas créer un trou dans la sécurité, je devrais placer un deuxième SME pour "protéger" ma deuxième entrée.

N'y aurait-il pas moyen de configurer le serveur SME pour dire que tout trafic devant aller vers le site Citrix de passer par une 3ème carte réseau ? (Avec bien sur sur cette carte ma 2ème connexion ADSL) ?
Ou une autre solution...

D'avance merci pour votre aide !

[HP77]

Bonsoir,

SME server ne gère pas de troisième interface réseau.
Il pourrait gérer une ou plusieurs cartes réseaux (matérielles) pour faire du "bonding" sur le LAN, ce qui, en vulgarisant, correspondrait à augmenter le débit réseau sur le LAN uniquement, avec probablement d'autres petites subtilités mais je ne saurais pas dire s'il y aura du "load balancing" à la clef. Les experts en la matière du forum devraient pouvoir nous en dire davantage.

D'après mon suivi, très peu régulier ces temps-ci, des discussions sur les forums Ixus, je suis tenté de dire qu'il faudrait jeter un coup d'oeil à PFsense.

Voilà, "just my 2 cents" comme certains disent ici.

Bonne soirée !

Cordialement,
HP

[jdh]

NB : J'aurais aimé voir le schéma actuel et notamment la précision qu'il y a une SME en "server+gateway".

Je ne vois pas les choses de cette façon.

Je verrais plutôt un proxy avec son adsl dédié avec le verrouillage qui va avec : plus de traversées de la SME pour le trafic http+https+ftp (puisque cela peut passer via le proxy) !

[Vulmix]

Merci à vous deux de répondre.

Alors effectivement, Jdh, mon sme fait sereur-gateway sinon je n'aurai pas parlé de sécurité.

Pour le shéma
Actu :

PCs ------Sme----Modem

solution 1 :

Pcs-----!------Sme 1----- Modem 1
2PCs---!------Sme 2-----Modem 2

(les 2 ! montrent un lien entre les deux réseaux)

Solution Voulue :

Pcs-------!--------Sme------Modem 1
2pCs-----!            !---------Modem 2

Mais on ne peut pas placer 3 cartes...


Et cette solution

PC---------!---------SME---!---Modem1 (ip : 10.0.0.1)
2pcs-------!                     !---Modem2 (ip : 10.0.0.2)

Et
créer une route dans l'iptable "déroutant" le trafic vers Citrix via l'ip 10.0.0.2 et plus vers 10.0.0.1....
Problème je suis pas un pro d'Iptable et je ne peux me permettre de fournir une solution sans être sur que celle-ci est certaine.

[ccnet]

La solution est un firewall capable de gérer le multi wan, comme Pfsense. Si SME doit être conservé pour autre chose on en fait un serveur autonome en dmz au besoin. Sur ces bases tout devient simple.

[Vulmix]

Désolé du retard...

Je viens de faire un bref tour sur le site de pfsense... c'est vrai que cela semble pas mal. Je vais voir ce que je vais faire 2 sme (cfr 1 idée) ou 1 sme et 1 "pfsense". Le tout est d'avoir le temps !

[jdh]

Ok, pfSense est un firewall dédié (et avec plus de possibilités qu'un ipcop).
Et il sait bien gérer plusieurs interfaces ... ce que ne sait pas gérer SME.

Il y a donc risque d'avoir besoin de 3 machines :
- firewall : pfsense,
- serveur local (dans le lan) : SME (en mode server only),
- proxy avec 2 interfaces (une vers l'adsl), normalement en DMZ.

C'est la solution à recommander s'il y a plus de 10 utilisateurs.

Bien noter qu'il va falloir devenir expérimenté dans 3 solutions (pfSense, SME et proxy) !

[Vulmix]

Et ce n'est pas mon cas. Ajouter à cela que je n'ai pas beaucoup de temps à apprendre.

Donc je vais rester sur ma solution 1 jusqu'à ce que je trouve autre chose.

Petite question quand même, ma dernière solution avec la modification de l'Iptable, c'est pas possible du tout ?

Merci encore de votre aide

[jibe]

Salut,

C'est quand même un peu plus qu'une modif d'Iptables. Sauf peut-être à faire un bidouillage infâme qui rendra la SME utilisable dans ce contexte seul, avec d'énormes difficultés d'adaptation au moindre changement.

Et puis, sur SME, les règles Iptables sont templatisées et découpées en une multitude de petits morceaux qui sont ajoutés, enlevés ou modifiés à chaque changement de configuration : il ne faut pas oublier que ce qui fait la force de SME, c'est justement de pouvoir se configurer très simplement, avec la possibilité de répondre à des besoins très divers et variés, et cela sans même avoir conscience de ce qu'est un firewall et encore moins des règles iptables. Une telle souplesse d'administration se paie inévitablement par une grande complexité au niveau de l'automatisation de tout ce qu'il faut gérer pour réaliser la configuration définie par à peine quelques clics !

Cela dit, ta demande n'est pas si insensée que cela. La question a été soulevée sur le forum des développeurs de contribs francophones. L'idée a été émise d'un projet assez ambitieux de firewall paramétrable, ayant entre beaucoup d'autres la possibilité de gérer deux WAN. Nous sommes d'ailleurs 2 à avoir actuellement le besoin de gérer 2 connexions ADSL. Pour le moment, nous étudions plutôt d'autres solutions pour diverses raisons dont le temps de réalisation/mise au point nécessaire et l'habituel manque de bras...

Mais bon, comme le faisait remarquer sibsib qui avait lancé l'idée, le sujet était assez fédérateur. Il n'est probablement pas impossible de relancer le projet ! Je ne veux pas le faire personnellement, mais si tu penses que ce serait bien de le booster un peu, tu peux éventuellement :
- Demander à un modo de faire un sondage pour demander qui serait intéressé par la gestion de deux adsl et qui pourrait s'y investir,
- Lancer un (des ?) fil sur ce sujet pour tenter de fédérer un peu ceux qui s'y intéressent.

Pour ma part, si je ne veux pas tenter quoi que ce soit de plus que ce que je viens d'écrire pour faire connaitre ou relancer l'idée de ce projet, je m'y intéresse d'assez près et j'interviendrai chaque fois que ça me semblera utile et possible.

[jdh]

Salut Jibe.
Cela me semble utile que tu interviennes sur ce sujet ... Tu pourras me corriger dans la suite :


Avant de considérer plus de 2 interfaces, il faut dire comment fonctionne SME (en server+gateway).

SME (en server + gateway) a besoin de 2 interfaces (Local network et External interface).
SME offre des services : partage de fichiers et d'imprimantes, serveur de mail, serveur Web (LAMP) multiples (ibays), accès vpn.
Il existe une variante de "server + gateway" : "private server + gateway" qui verrouille (encore plus) l'accès depuis External interface.

Qu'en est-il du flux Lan vers Wan ?
Il est en tout autorisé ! Même s'il est notable que les flux http et smtp passent par un proxy transparent.

J'écris donc que SME (en server+gateway) utilise un script iptables (templatisé) qui protège ses services selon les réglages (protection contre Wan et Lan je suppose).
Mais il n'y a pas de possibilités de filtrer le flux traversant Lan vers Wan.

Si SME veut gérer plus de 2 interfaces, il faudra
- définir le rôle de chaque interface : Lan + 2 Wan ou Lan+Dmz+Wan, quid de wifi, lan 2, ...
- définir des règles de flux inter-interfaces.

Je pense qu'il faudrait commencer par proposer le filtrage Lan vers Wan puis passer aux multi-interfaces.
Ce n'est pas simple puisque c'est un module complétement nouveau à créer ...
D'autant que les questions "accès public" pourrait devenir "accès Lan 1, Lan 2, ..." !



Concernant le problème initial,
La réponse "lourde" est effectivement firewall + SME + Proxy.
La solution "simple" est peut-être "double SME" mais il va falloir configurer cette 2ème SME : définir un domaine, ...
Peut-être est-il plus simple de créer une simple Debian + Squid + mini script iptables + config de chaque poste (proxy=x.x.x.x:3128) ?

[jibe]

Salut,

J'écris donc que SME (en server+gateway) utilise un script iptables (templatisé) qui protège ses services selon les réglages (protection contre Wan et Lan je suppose).
Mais il n'y a pas de possibilités de filtrer le flux traversant Lan vers Wan.

Toutafé, comme dirait sibsib !

Si SME veut gérer plus de 2 interfaces, il faudra
- définir le rôle de chaque interface : Lan + 2 Wan ou Lan+Dmz+Wan, quid de wifi, lan 2, ...
- définir des règles de flux inter-interfaces.

Dans nos élucubrations, nous avons plus ou moins volontairement restreint le type de la troisième interface. Je vais donner ici mon avis personnel sur les différents types possibles pour cette troisième interface, sachant que les deux premières sont forcément une LAN et une WAN : on conserve l'existant et on se contente d'ajouter.
- LAN2 : pas envisagé, et j'avoue ne pas y voir un grand intérêt dans le cadre d'un réseau avec SME (voir note 1). Par contre, la question des VLAN a été soulevée.
- WIFI : (zone bleue pour les ipcopiens) seul type approuvé unanimement pour la troisième interface.
- DMZ : (carte orange pour les ipcopiens) rejeté. SME ayant ce qu'on peut appeler une DMZ interne avec les services les plus courants, je n'en vois pas non plus l'utilité dans un réseau avec SME (voir note 1).
- WAN2 : C'est moi qui en ai émis l'idée, et elle n'a pas fait l'unanimité C'est qu'il faut gérer la répartition entre WAN1 et WAN2 ! La méthode qui vient immédiatement à l'esprit est le load balancing, ce que j'avais bien sûr évoqué, mais c'est un gros boulot ! Il peut aussi y avoir des méthodes simples et suffisantes dans certains cas, par exemple téléphonie d'un côté et le reste de l'autre...

Note 1 : Ne pas oublier que l'intérêt principal de SME est d'avoir rapidement et facilement un serveur multi-fonctions assez complet et bien sécurisé sans avoir besoin de compétences particulières. Je vois donc assez mal SME dans un réseau complexe à moins que ce ne soit en serveur seul : ce sera un ingénieur compétent qui mettra en place un réseau complexe, et il trouvera plus de souplesse à utiliser d'autres distribs, surtout qu'il les connait probablement bien mieux que SME !

Je pense qu'il faudrait commencer par proposer le filtrage Lan vers Wan puis passer aux multi-interfaces.

Compte tenu de l'intérêt du contrôle des flux sortants et la relative simplicité à le mettre en place, je suis assez d'accord, d'autant plus qu'il faudra bien diriger ces flux vers la bonne interface WAN1 ou WAN2. Par contre, je ne verrais pas d'inconvénient à mettre en place une interface wifi avant ce filtrage (même s'il serait effectivement très utile !).

Ce n'est pas simple puisque c'est un module complétement nouveau à créer ...

Je pense que c'est au contraire assez intéressant :
- Informatiquement parlant, tout ou presque pourrait se faire sans toucher au firewall existant, simplement en le complétant. Vu la complexité du firewall existant (une multitude de petits templates qu'on choisit et assemble en fonction de la config souhaitée), se contenter de le compléter est plus simple et moins risqué.
- Humainement parlant, c'est préférable : le sujet "firewall" est tabou chez contribs.org et un additif sera plus facile à faire accepter qu'une refonte !

Peut-être est-il plus simple de créer une simple Debian + Squid + mini script iptables + config de chaque poste (proxy=x.x.x.x:3128) ?

Non ! Il n'est pas "peut-être" plus simple : il est certainement plus simple... Mais comme il y a de la demande et que Vulmix semble préférer rester sur SME, l'intérêt de lancer cette contrib n'est pas négligeable

[Vulmix]

Si même Jibe trouve le sujet "valable"... rien n'est perdu

Effectivement, j'aime trop SME pour aller voir après autre chose. Et comme cela fait maintenant presque 5 ans que je l'utilise, je commence à mieux le connaître.

Revenons sur le sujet. Le double wan est de plus en plus utile. D'accord pas forcément pour un usage domestique. Comme à dit Jibe, il y a la Téléphonie et le load balancing, mais aussi pour dissocier le trafic Internet et le trafic VPN, avec des comptes ADSL et SDSL. Un autre cas qui va bientôt ce présenter dans ma société.

Donc je suis évidement partant pour que cette "option" soit disponible sur la SME. Malheureusement, j'ai loin d'avoir vos compétences pour écrire quelque chose pour la SME. Mais je suis partant pour faire des essais si vous avez besoin de tester "sur un cas réel".

Encore un grand merci pour votre intéret.


Ps : en attendant, je me lance sur la solution 2 SME.... cela ne prend pas de temps à installer une SME

[jibe]

Salut,

Attention à ce que j'ai dit dans ce post : le projet ne verra probablement jamais le jour, sauf si...

[Vulmix]

J'ai bien compris. J'essaye juste de motiver les troupes
Petite question, Le trafic sortant (lan->wan) ne passe pas par l'Iptable ? (Je comprends vite mais il faut expliqer longtemps )

[jibe]

Salut,

Si, bien sûr, le trafic sortant "passe par l'iptables". C'est à dire qu'il peut être filtré comme n'importe quel autre trafic. Mais dans une SME "out of the box", il n'y a aucune rềgle iptables concernant le trafic sortant. Donc, tout peut sortir sans aucune retenue.

Est-ce un bien, est-ce un mal ? Jdh va dire que c'est un mal, et il a (ses) raison(s) ! Mais je crois que la question ne se pose pas en ces termes : SME est faite pour répondre à un besoin qui est de pouvoir disposer facilement et rapidement d'un serveur bien sécurisé sans avoir besoin de connaissances pour l'installer et l'administrer.

Le public visé n'est donc pas à priori un "grand compte" ou autre entreprise avec de gros besoins informatiques, mais plutôt le particulier, la TPE ou de petites PME. Dans ce cadre, la protection contre les intrusions est importante, la sécurisation de ce qui sort l'est beaucoup moins.

Mais surtout, la configuration du filtrage en sortie n'est pas automatisable et ne pourrait pas se faire sans un minimum de connaissances. C'est donc un choix, et comme on ne peut pas avoir le beurre et l'argent du beurre, ce choix me parait judicieux.

Que ce ne soit pas réalisé n'implique pas que ce ne soit pas réalisable, et je pense que cette partie de l'adaptabilité du firewall est l'une des plus simple à réaliser. Mais elle fera obligatoirement appel à des choix de la part de l'admin, donc à des connaissances pour faire les bons choix.