VPN multi sites, quelle solution choisir ?

[jrm]

Bonjour à tous et à toutes,

Je recherche une solution (gratuite ou payante ), afin de mettre cela en place dans mon entreprise.

Je vous explique, j'ai un site central ou toutes les informations vont être stockées, ensuite je vais avoir 3 à 4 sites distants, qui devront être connectés afin d'être intégrés au domaine principal.

Je voudrais des tunnels permanents (avec une bonne disponibilité) de tous les sites distants vers le site principal.

Comme je n'ai que de vagues notions dans le mon monde du vpn, pourriez-vous m'expliquer les contraintes et les différentes solutions que je pourrais envisager ?

Si vous avez besoin de plus de détails, n'hésitez pas à me demander.

Merci d'avance,

Jrm

[ccnet]

Nous n'allons pas faire le boulot à votre place. Néanmoins en terme de solution, il y a au moins deux possibilités open source et gratuites.
Ipcop (ipsec, SSL) et Pfsense (ipsec, SSL, PPTP) mais ces dixtributions sont des firewalls d'abord. Leur stabilité est remarquable ainsi que l'économie de moyen dont il savent faire preuve. Reste à voir comment vous pouvez (ou non) les intégrer dans l'environnement existant. Vous être encore le mieux placé pour le comprendre.
Vous ne pourrez pas faire, à mon avis l'économie, d'un apprentissage sur ces technologies et produits. Sinon comment envisager vous d'en maitriser l'exploitation ?
Si vous n'êtes pas bien solide sur vos bases une visite s'impose : http://christian.caleca.free.fr/

[jrm]

J'ai dû mal faire paraître mes intentions par mes questions, mea culpa
Loin de moi l'idée de vous demander de faire le travail à ma place, bien au contraire.

En fait, j'hésite entre deux solutions,

- soit une solution payante du type Netgear SSL312 (http://www.netgear.fr/produits/tableau/ssl.htm) comme concentrateur sur le site principal, et des modem routeur VPN classique (http://www.netgear.fr/produits/produit.php?prod=FVS318v3) sur chacun des sites distant.

- soit une solution basée sur de l'open sur un Ipcop +IPSEC sur le site principal avec un IPcop sur chacun des sites distant.

J'ai deux questions plus précises, des points sur lesquels je pense vous pourrez m'éclairer.

- J'aimerai mettre une ligne dédiée spécialement prévue pour les VPN, vous en pensez quoi ?

- Combien de connexions VPN simultanées peut supporter Ipcop + IPSEC ? Est-ce que j'ai seulement besoin d'une machine "véloce" ou aurais-je d'autres contraintes ?


Toutes mes excuses si mes questions ont été mal perçues.

Je vais me pencher sur PFsense pour prendre connaissance de ces capacités.

Encore merci,

[ccnet]

La ligne dédiée est bien sur une bonne solution.

Les tunnels ipsec demande de la CPU en fonction, entre autre, du débit demandé. Vous trouverez sur le site de Pfsense (www.pfsense.org) un document donnant des indications de dimensionnement de la machine en fonction de la charge attendue.
De nombreux utilisateurs ont utilisé avec satisfaction des vpn IPSEC sur ipcop; Une petite recherche ici vous donnera leurs impressions. C'est robuste et fiable.

[jdh]

Quelques éléments pour compléter ccnet :

* routeur vs distributions spécialisées (Ipcop, pfSense, ...) :
Le routeur utilise un noyau Linux dépouillé et dédié à l'embarqué. Les outils de type ipsec sont évidemment les mêmes qu'une distribution spécialisée et sont généralement compatibles. La puissance cpu d'une routeur est plus limitée mais comme le noyau est dépouillé, cela se vaut.

* types de lignes :
On peut obtenir presque partout de l'adsl bon marché. Mais il s'agit d'adsl, c'est à dire que le débit montant est limité, genre 256k ou parfois 512k, loin, très loin des 2, 4 ou 8M du débit descendant. Il faut noter que 256k ce n'est que 4 modems d'autrefois (56k) !
Il parait sage de mettre cela en oeuvre avec au moins une ligne sdsl au niveau central, et de penser à la qos (dispo sur pfsense, non dispo sur ipcop et sur les routeurs !).


Je confirme que cela fonctionne tout à fait bien avec quelques sites. Attention à la problématique Wins (Netbios !) ...

[ccnet]

J'oubliais une chose. Pour des performances optimales, ne négligez pas la qualité des cartes réseaux si vous employez ipcop ou pfsense.

[jrm]

J'oubliais une chose. Pour des performances optimales, ne négligez pas la qualité des cartes réseaux si vous employez ipcop ou pfsense.

Justement à ce titre vous conseillez quoi comme carte réseau pour Ipcop et PfSense...

[ccnet]

Des cartes récentes de marques reconnues, a priori Intel, hp d'autres sans doute dont les noms m'échappent sur le moment. Mais plutôt pas des modèles asiatique à 5 euros.

Vous pouvez en vérifiez la compatibilité pour pfsense sur : http://www.pfsense.org/index.php?option=com_content&task=view&id=46&Itemid=51

[jibe]

Salut,

Mais plutôt pas des modèles asiatique à 5 euros.

Attention de ne pas dire du mal des asiatiques : si ma femme lit par-dessus mon épaule, elle va être vexée

Bon, plus sérieusement, as-tu des expériences concrètes de comparaison hp/asiatique à 5 euros ? Perso, je n'ai généralement pas de gros besoins coté performances des cartes réseau, et suis assez adepte de cartes économiques, surtout compte tenu de ma clientèle. J'en suis assez content, et j'ai eu vu les mêmes sur du matériel hp (ont-elles été ajoutées après ? Je ne saurais dire...) Il me semble d'ailleurs avoir vu passer quelque chose sur le sujet : avec hp, on paie surtout la marque, et la qualité ne suit pas toujours...

Vu le nombre de chips et de cartes fabriquées, et la délocalisation quasi universelle pour ce type de produit, personnellement c'est plutôt les prix élevés qui me mettent des doutes J'ai un peu de mal à croire que la différence de qualité vaut la différence de prix, mais peut-être que je me trompe ?

Bref, plutôt que de prix, j'aurais plutôt parlé type de chip, non ? Il est certain qu'un 8139 n'est pas ce qui se fait de mieux techniquement (ce qui ne l'empêche pas d'avoir un excellent rapport qualité/prix !)...

[shwing]

moi je remet une couche en parlant des débits.
Ouvrir du word sur un network drive via du vpn, c'est pas la plus passionnante des activités, a moins d'avoir une machine à café à côté.

Mon exemple est que j'ai 1Mb en upload (ce qui fait environ 160Ko/s constant, je sais 1000 / 8 = 125, mais mon fai est 'généreux' sur les valeurs) et bien si je lance supercopier pour 'valider les vitesses, je ne dépasse rarement pas les 30Ko/s.

Je sais qu'il y a eu des discutions dur ixus concernant les vitesse de transfert et le vpn.
Pour info mon pross de mon ipcop est un 266MHz, ceci 'pourrai' expliquer peut-être ces lenteurs.

Conclusion, prévoir large

[Billou02]

Pour compléter ton post shwing, j'ai eu il y a peu de temps deux ipcop en vpn net to net, tous deux avec des cartes asiatiques a 5€, sur des ADSL 8Mo. ce qui génère un upload de 70Ko/s
que ce soit en SFTP, ou transfert de fichiers standart.
les deux procos sont celeron 2Ghz/256 Ram d'un coté et Duron 1300/256 ram.

le débit est bien dépendant du proco...

[jrm]

Dites moi, j'ai installé PfSense sur une machine, étant donné qu'il est pourvu d'une interface, j'aurai aimé configuré mon OpenVPN ou IPSEC à partir de là.
Connaissez vous des doc en Fr ou Ang qui pourrait m'aider ?

merci

PS : Mini sondage : à choisir en Pfsense et Ipcop pour faire du VPN en net to net (avec un concetrateur) vous prendriez lequel ?

[jdh]

Il y a, sur internet, un truc super intéressant qui permet de trouver plein de choses. Cela s'appelle un moteur de recherche. Le plus connu est surement http://www.google.fr/

Un fois ce site ouvert, on tape des mots clés et il affiche une liste de site concernés par ces mots clés.

Par exemple, si tu cherches "pfsense documentation ipsec" tu trouves très vite des sites sur le sujet ...

Etonnant, n'est-il pas ...

[ccnet]

Salut,

Mais plutôt pas des modèles asiatique à 5 euros.

Attention de ne pas dire du mal des asiatiques : si ma femme lit par-dessus mon épaule, elle va être vexée :wink:

Juste les cartes ...en fait éventuellement certaines ...

Bon, plus sérieusement, as-tu des expériences concrètes de comparaison hp/asiatique à 5 euros ? Perso, je n'ai généralement pas de gros besoins coté performances des cartes réseau, et suis assez adepte de cartes économiques, surtout compte tenu de ma clientèle. J'en suis assez content, et j'ai eu vu les mêmes sur du matériel hp (ont-elles été ajoutées après ? Je ne saurais dire...) Il me semble d'ailleurs avoir vu passer quelque chose sur le sujet : avec hp, on paie surtout la marque, et la qualité ne suit pas toujours...

Il y a déjà un moment nous nous étions livrés à un comparatif entre Netflex (Ex Compaq et maintenant hp) PCI et PCI tout venant. La Netflex donnait un meilleur débit sur des transferts de fichiers et de plus elle sollicitait moins la cpu de la machine. Ce qui nous avait semblé mieux.

Bref, plutôt que de prix, j'aurais plutôt parlé type de chip, non ? Il est certain qu'un 8139 n'est pas ce qui se fait de mieux techniquement (ce qui ne l'empêche pas d'avoir un excellent rapport qualité/prix !)...

C'est certain le critère est probablement meilleur.

[jrm]

Il y a, sur internet, un truc super intéressant qui permet de trouver plein de choses. Cela s'appelle un moteur de recherche. Le plus connu est surement http://www.google.fr/

Un fois ce site ouvert, on tape des mots clés et il affiche une liste de site concernés par ces mots clés.

Par exemple, si tu cherches "pfsense documentation ipsec" tu trouves très vite des sites sur le sujet ...

Etonnant, n'est-il pas ...

aaaahhhh bon je connaissais pas, je croyais simplement que c'était un ami.
si je me tourne vers vous c'est que google n'a pas donnée de résultat ...