Deux connexions Internet

[aymeric_b]

Bonjour,

Il y a deux connexions au bureau: 1 freebox et une liaison SDSL. (30 PC en réseau , Windows SBS controleur de domaine + ipcop comme firewall)
Je souhaiterais répartir les charges WAN afin de faire passer tout le trafic http (80+443) via la freebox permettant ainsi à la ligne SDSL de s'occuper du SMTP, FTP et tout le reste sans avoir de ralentissement à cause du trafic web.

Pour l'instant, j'utilise ipcop sur un Cobalt RAQ4 avec deux deux interfaces réseau.
La plage IP utilisée est 192.168.10.x

La freebox n'est pas encore relié au reste de l'entreprise, je souhiterais le faire mais je ne sais pas trop comment m'y prendre d'un point de vu adressage IP, branchement et sécurité: masque de sous réseau différent ? quelle regle sur IPCOP? j'espere que ma question est claire, si vous avez besoins d'autres details dites moi lesquelles.

Un routeur dualwan peut me permettre de faire ça aussi?

A bientôt

[jdh]

Ipcop ne gère pas deux interfaces Red.
(Je me demande comment on peut l'espérer vu le nombre de fois où c'est écrit sur ce forum ...)
(D'ailleurs ipcop est fait pour rester dans ses couleurs simples !)


Il y a quelque chose de très simple à faire dans ce cas :
- adsl = trafic asymétrique donc adapté à la navigation(http, https, ftp), à la récupération de mail (pop3)
- sdsl = trafic symétrique donc adapté au vpn, à l'hergement d'un serveur mail p.e.

Je placerai donc un proxy (Squid sur une Debian par exemple) sur une machine à 2 cartes (l'un au réseau interne, l'autre relié à la freebox et avec la freebox comme gateway). Puis je configurerais tous les pc en précisant le proxy à utiliser.

(Bien sur, il faut ajouter un mini firewall type Shorewall, et puis SquidGuard + blacklists + LightSquid + havp + ... Je mettrais la freebox en routeur !)


NB : je ferais ce schéma même si pfSense ou un routeur dual Wan "assez fin" pourrait peut-être le faire ... Parce un proxy séparé du firewall c'est (très) bien !

[aymeric_b]

merci pour la réponse, effectivemment je n'avais pas pensé à ça (proxy + configuration proxy sur chaque PC)

Je vais essayer d'installer squid sur une debian mais existe-t-il une distribution specifique proxy sous squid ?(comme ipcop et iptables) avec interface web pour le paramétrage ? Pour le pare-feu, j'ai un routeur wrt54g, suffirait-il en guise de firewall?

Je cherche à eviter trop de consommation electrique car j'ai beaucoup de machines branchées deja... (sinon firewall+proxy sur même machine mais ça a pas l'air d'etre bien...)

[jdh]

Ce que j'ai décrit est suffisant : (aucun besoin d'un routeur supplémentaire !)
- la freebox en routeur (avec une adresse dans un réseau différent du LAN),
- un PC "de base" avec 2 cartes réseaux, 1 ou 2G de mémoire (selon le nombre de machines derrière),
- Debian Lenny avec quelques packages classiques,

Dans les packages Debian usuels :
- shorewall : le firewall : génération de scripts iptables par la config très simple de quelques fichiers ! Etonnant de simplicité et d'efficacité !
- Squid : proxy
- SquidGuard : compagnon de Squid pour la gestion des backlists
- LightSquid : le compagnon pour la visualisation des stats de trafic (nécessite AMP : Apache-MySQl-Php)
- Havp : filtrage antivirus de navigation
- Frox : filtrage antivirus pour ftp (je n'ai pas réussi à bien l'intégrer ...)

En 2 jours cela doit être opérationnel ... ou presque !

[aymeric_b]

ok parfait, c'est plus clair maintenant. J'ai déjà installer shorewall et les fichier s de conf, jusqu'ici ça va.
Actuellement la freebox est en routeur sur 192.168.0.254 et la carte réseau du futur firewall coté LAN est sur 192.168.10.113, que faut il faire pour créer une route entre les deux?
J'assigne sur la carte réseau vers la freebox une ip comme 192.168.0.253 ?
j'ai jamais trop utilisé la commande "route"...

[jdh]

Le proxy DOIT avoir 2 cartes : l'un dans le réseau interne, l'autre relié à la Freebox.


Mieux, en toute logique, avec un ipcop, le meilleur schéma serait :

Ipcop en config Red+Orange+Green
Red = câble vers le routeur SDSL
Green = câble vers le switch du réseau interne
Orange = câble vers un petit switch avec tous les serveurs se connectant à internet

Dans la zone Orange, j'installerai le serveur Debian, toujours avec 2 cartes, l'une relié à la zone Orange, l'autre à la freebox (en mode routeur).
Attention, il faudra bien réfléchir aux routes, au dns : ce proxy devrait avoir la freebox comme route par défault, mais devra forcément avoir une route vers le réseau interne via l'adresse ip Orange d'ipcop ! De plus peut-être que le dns (de /etc/resolv.conf) devrait être le dns du réseau interne (à voir) ?!

Un schéma comme celui est plus sûr que 2 machines avec pour chacune une patte dans le réseau interne et l'autre vers internet : il est jamais très bon d'avoir DEUX machines comme cela (même si cela fonctionne !).

NB : Alors, j'avais pas écrit que Shorewall était sympa et facile ?

[aymeric_b]

oui mais c'est bien là mon problème pisque l'IPCOP est sur un CobaltRAQ (distrib raqcop 1.4.21) -->encombrement nodal et que je n'ai que deux interfaces dessus...
du coup cette solution n'est pas très sécuritaires car j'aurais deux ouvertures vers l'extérieur via deux machines et non une seule.

je sens que ça se complique, il doit bien y avoir une solution mais là, je ne voit pas trop vers quoi me diriger.

[jdh]

2 lignes (1 sdsl + 1 adsl) + 1 firewall ipcop sur une base hardware avec 2 interfaces maxi. Beh oui !


Si il n'y a pas 2 interfaces à l'ipcop, il reste effectivement le proxy avec sa propre interface Wan (la freebox). D'où l'importance de bien définir des règles firewall afin qu'il ne soit pas traversable autrement que ce pourquoi il est prévu !

On voit bien qu'il est difficile avec du matériel n'ayant que 2 interfaces de gérer 1 réseau interne + 1 sdsl + 1 adsl.