VPN - quelles solutions ? - quel débit ?

Pour discuter des différentes offres de connexion à Internet, par les différents fournisseurs d'accès. Il peut être question de l'ADSL dégroupé ou non, du cable, des offres numéris, RTC.

Modérateur: modos Ixus

VPN - quelles solutions ? - quel débit ?

Messagepar tito » 20 Juin 2007 17:07

Bonjour,

Je voudrais installer un VPN entre un site et des utilisateurs nomades (puis sans doute entre deux sites).

J’ai déjà installé ipcop avec openvpn (zerina), cela fonctionne mais je trouve que c’est très lent. Les utilisateurs voudraient que ce soit “ comme au bureau ” et là c’est très loin d’être le cas.

Je voudrais savoir vers quelle solution il faudrait que je m’oriente pour avoir des débits relativement bons.

Première question y a t-il des solutions plus adaptée (plus performant) qu’ipcop, pour faire du vpn, quel en serait le cout ?

Deuxièmement vers quel type d’offre adsl (sur le site général) faudrait-il s’orienter pour 25 utilisateurs en local, et une dizaine d’utilisateurs nomades, là nous avons orange internet max (même pas pro). Je suppose que le débit ascendant est très important, y a -t-il des offres avec un bon débit ascendant ? Je suis tombé sur des offres sdls à 450€/mois pour du 4Mb garanti, c’est l’ordre de prix ou il y a bien moins cher ?

J’aimerais bien un retour d’expérience de personnes qui ont mis en place des VPN.

Merci d’avance
Avatar de l’utilisateur
tito
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 20 Mai 2003 00:00

Messagepar Franck78 » 20 Juin 2007 18:43

J’ai déjà installé ipcop avec openvpn (zerina), cela fonctionne mais je trouve que c’est très lent. Les utilisateurs voudraient que ce soit “ comme au bureau ” et là c’est très loin d’être le cas.


A sacré utilisateur $%#&! jamais content.... Il est chez lui avec sa petite ligne adsl synchronisée à 4 mégabit dans un sens et 0.4 dans l'autre et il faudrait que le logiciel lui transforme ça en 100 Mégabit dans les deux sens... :roll:

Tu fais signe quand tu trouves le vpn magique :wink:

Je voudrais savoir vers quelle solution il faudrait que je m’oriente pour avoir des débits relativement bons.

Utiliser du client serveur pardi. Si le traitement de texte tourne sur la machine déportée et que chaque 'enregistrer' déclenche le transfert du fichier de 10 méga octet avec ses polices et ses images, sur ca rame sur l'adsl :lol:
Ou travailler en local puis synchroniser de temps en temps avec le serveur central.
Eduquer l'utiilsateur!

Bye
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 20 Juin 2007 19:29

Autre façon de présenter les choses :

Ce qui peut influencer le débit de tunnels VPN :

* la puissance processeur : chaque tunnel est crypté, ce qui demande un peu de puissance processeur, laquelle doit augmenter avec le nombre de tunnels ou doit être adaptée à la taille du tuyau sortant.

* la taille du tuyau : une ligne ADSL est asynchrone : le débit montant est (très) inférieur au débit descendant. (faut-il encore que ces débits soient réellement disponibles !). Un débit montant de 512kb (ce qui est déjà correct), ce n'est que 10 modems RTC "d'avant". Imaginez qu'il y ait 10 tunnels !

* l'utilisation d'un tunnel : accéder à un site intranet n'est peut-être pas la même chose que la récupération d'un mail avec une pièce jointe de 5 Mo.

* l'utilisation simultanée : un tunnel monté demande encore un peu de bande passante pour le maintenir monté.

(* le type de cryptage : 3DES n'est pas le cryptage le plus rapide.)


Une solution simple : TSE ou Citrix : au moins on connaît le débit moyen d'une session (environ 20k moyen + cryptage ?).

Le premier point, c'est connaître le débit sortant : une SDSL c'est mieux qu'une ADSL.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar vanvan » 21 Juin 2007 23:55

Pour ta solution il faut que tu répondes à plusieurs points :

1. Quels types de services tu fais passer dans les échanges intérieur/extérieur réseau et inversement.

flux http, ftp en sortant ?
en entrant sur ton réseeau : flux de données types textes ? vidéo ? audio ? téléphonie ?

En fait l'idée est qu'une fois que tu connais le débit que tu auras besoin tu pourras opter pour une offre SDSL adaptée et qui n'explose pas ton budget.

Retour d'expérience :

De mon côté j'utilise l'offre Megalis de France Télécom qui me permet d'avoir un débit montant/descendant identique.

Ensuite, n'oublies pas que plus ton niveau de cryptage sera élevé plus ton débit sera lent.

Pour finir, il existe aussi des solutions de concentrateurs VPN ( dans ton cas hors budget je pense ) et sinon tu as des solutions de réseaux nomade qui offrent un jeton à un poste client et qui l'autorise une fois la connexion distante validée auprès du serveur référent.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Walkyrie_II » 22 Juin 2007 10:26

vanvan a écrit:Ensuite, n'oublies pas que plus ton niveau de cryptage sera élevé plus ton débit sera lent.

Si tu entends par niveau de [chiffrement] la taille de clef, alors non.
Certains algo avec des tailles de clef supérieures sont plus rapides que d'autres avec des tailles clefs plus petites.

Un DES64 et plus lent qu'un AES128 (DES est très lents !!!)

Ex : sur un openvpn, il veut mieux garde le blowfish en 128 que de passer en une cochonerie de DES en esperant allez plus vitebu fait des 64bit qui n'en sont que 56... C'est faux ca ira moins vite.
--
OpenSSL Command-Line HOWTO
How do I benchmark my system’s performance
http://www.madboa.com/geek/openssl/#benchmark-speed

The 'numbers' are in 1000s of bytes per second processed.
....
des cbc 48478.10k 49616.16k 49765.21k 50106.71k 50034.01k
des ede3 18387.39k 18631.02k 18699.26k 18738.18k 18718.72k
.....
blowfish cbc 79577.50k 83067.03k 84676.78k 84850.01k 85063.00k
aes-128 cbc 58751.94k 94443.86k 111424.09k 116704.26k 117997.57k
aes-192 cbc 53451.79k 82076.22k 94609.83k 98496.85k 99150.51k
aes-256 cbc 49225.21k 72779.84k 82266.88k 85054.81k 85762.05k

-----
http://www.saout.de/tikiwiki/tiki-index ... eChonhulio
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar tito » 22 Juin 2007 11:14

Merci pour vos réponses.

Vanvan (ou d'autres), peux-tu me donner (si ce n'est pas indiscret) le débit que tu as, et l'ordre de prix mensuel, pour avoir une idée.

Pour le moment il y aurait tout qui devrait passer par le vpn : des documents bureautiques, mais qui peuvent être très gros (plusieurs dizaines de Mo), les mails, synchronisation entre des réplicas de bases de données access et la base maître etc. C'est vous dire, si on est mal barré.

Il va falloir repenser, je pense, une grande partie du fonctionnement. Par exemple les mails chez un hébergeur. Mais pour d'autres fonctions, ça va être pas évident.

Un jour, un client est passé chez nous, il s'est connecté de son pc portable par 3g à son serveur par vpn, et certains de mes chefs ont été subjugué : il s'est déplacé dans les dossiers de manière fluide, a ouvert un document, lancé une application sur le serveur : on veut la même chose.

Et comme ils sont assez déçu par le résultat, ils pensent que je n'ai pas mis en place la bonne solution. Ils me disent de voir quel serait le coût avec une solution microsoft (!?), c'est vrai qu'on n'a pas un serveur windows (comme le client), mais un serveur sous linux qui nous sert juste pour partage de fichiers et intranet. Là je dois leur présenter des solution satisfaisantes avec les couts associés. Mais j'ai du mal à imaginer une solution satisfaisante. Par ex passer à un fonctionnement client/serveur avec un serveur d'applications donc sous windows (puisqu'on a des applications windows), j'y crois pas trop, là les utilisateur avec des pc relativement récents ont déjà du mal à gérer leurs rapports qui contiennent beaucoup d'images, de diagrammes etc: chaque manipulation est lente. je ne vois pas comment ce serait possible qu'un seul pc (le serveur) gére cela pour un vingtaine d'utilisateurs simultanément... Mais peut-être certaines choses m'échappent dans le fonctionnement, client serveur.

et sinon tu as des solutions de réseaux nomade qui offrent un jeton à un poste client et qui l'autorise une fois la connexion distante validée auprès du serveur référent.

je ne comprend pas trop ce que tu veux dire
Avatar de l’utilisateur
tito
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 20 Mai 2003 00:00

Messagepar Walkyrie_II » 22 Juin 2007 11:25

Grande chance que ca soit du citrix que tu as vu... et la pour faire mieux ou aussi bien... Dur.
Walkyrie_II
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 04 Fév 2006 21:33
Localisation: Paris

Messagepar tito » 22 Juin 2007 11:57

Walkyrie_II a écrit:Grande chance que ca soit du citrix que tu as vu... et la pour faire mieux ou aussi bien... Dur.


En fait personnellement je n'ai rien vu, je n'étais pas là, c'est juste ce qu'on m'a rapporté.

Sinon est-ce que la fibre optique n'est pas une bonne solution pour avoir hauts débits dans les deux sens ? Mais j'ai du mal à trouver des informations sur les prix et la faisabilité. Par ex l'offre d'orange ne me semble pas chère, moins de 70 € pour du 100Mb symétrique ! malheureusement on n'est pas dans la zone. Si vous avez des infos...
Avatar de l’utilisateur
tito
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 20 Mai 2003 00:00

Messagepar vanvan » 22 Juin 2007 23:36

Pour répondre à ta question je suis sur du 10 Mo et on est passé depuis peu à 25 Mo, sachant qu'on passera d'ici quelques mois à largement plus gros.
Après question tarification, je ne vais pas t'être d'un grand secours car on a un ensemble de composantes reliés dessus qui a surement dû nous permettre de baisser les coûts.
Mais bon sans trop dire de betises, je pense que ça tourne autour de 300 euros par mois.
Mais appelle le 1015 ( réservé aux pro pour FT ) et demande un devis, ça t'engage à rien.

Sinon côté solution microsoft, rien ne t'empêche de leur faire un chiffrage licences serveurs et connexions poste clients ou utilisateurs.
De même qu'avec une solution citrix, ça te donnera des billes pour argumenter.

En tout cas, y a pas 36 solutions si tu veux fournir un débit constant, tournes toi vers une solution synchrone. Et pour rappel, FT peut te faire un chiffrage juste sur un devis sans engagement.

Au fait, petite parenthèse, essayes de sensibiliser les utilisateurs de ton parc au traitement d'images jpeg pour le remplissage des fichiers word. ça leur évitera de balancer sur le réseau ou les messageries des .doc de 50 pages qui font 30Mo.
C'est tout bête mais moi, ça m'a permis de virer 75% des interventions sur les quotas utilisateurs qui explosaient régulièrement.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar tito » 25 Juin 2007 11:21

Merci. Je vais voir tout ça.
Avatar de l’utilisateur
tito
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 148
Inscrit le: 20 Mai 2003 00:00


Retour vers Accès Internet et FAI

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron