Aide sur configuration multi-WAN

[t-booo]

Bonjour à tous,

Dans ma nouvelle boite j'hérite d'une configuration réseau un peu spéciale.
Nous avons deux lignes téléphoniques, donc 2 abonnements ADSL distincts fatalement.

Chacune de ces lignes est donc équipée d'un routeur, et chaque routeur est connecté au même HUB d'où partent les cables vers les différentes stations de travail.

Voilà en gros la configuration.

Code: Tout sélectionner

LIGNE 1 -> ROUTEUR 1 [192.168.2.2 - 255.255.255.0] -> HUB PRINCIPAL
LIGNE 2 -> ROUTEUR 2 [192.168.2.1 - 255.255.255.255] -> HUB PRINCIPAL
WINDOWS SERVER SBS (active directory, exchange 2003) [192.168.2.10 - Passerelle 192.168.2.2 - 255.255.255.0]
WORKSTATIONS [192.168.2.DHCP - Passerelle 192.168.2.1 - DNS 192.168.2.10  - 255.255.255.0]


Mes questions sont les suivantes:
1. Pourquoi avoir configuré le ROUTEUR 2 en broadcast ? Quel intérêt ?
2. Comment la répartition de la bande passante des deux FAI est-elle gérée ? Par exemple l'adresse WAN (internet) du SBS est différente de celle de certains postes.
3. Comment mettre en place un port forwarding fonctionnel ? J'ai tenté de rediriger le port 25 sur le SBS sans succès depuis le ROUTEUR 1. J'ai aussi essayé de rediriger le port 4662 sur une station de travail depuis le ROUTEUR 2, sans succès non plus.
4. Quels bénéfices pourrais-je tirer à l'acquisition d'un seul routeur multi wan (http://www.draytek.fr/product/index/dualwan.php) au niveau de la répartition de la bande passante ?

Merci pour vos éclaircissements, j'espère avoir été complet. Et euh oui les cours de réseaux remontent à quelques, j'ai besoin d'un petit rafraîchissement de mémoire .

Thibault

[ccnet]

1. La raison de la config du routeur 2 m'échappe.

2. Il n'y a pas à proprement parler de gestion de la bande passante dans cette configuration. Certaines machines sortent pour le routeur 1 d'autres par le routeur 2. Selon toutes probabilités cela s'arrête au choix de la passerelle dans la configuration réseau de la machine.

3. Là il n'y a que la doc du routeur qui peut vous le dire.

4. Sur une architecture cible voici quels sont mes conseils. Ils ne sont pas forcément bons parce que je ne connais pas les détails de votre architecture actuelle, vos besoins , vos contraintes, vos ressources. C'est donc a priori et à adapter éventuellement.

- Conserver vos routeurs. Dans quel config cela reste à voir : quel fai, quelles offres, ip statiques, publiques, une ou plusieurs ?
- Placer un firewall entre eux et votre réseau.
Puisque vous venez sur un forum qui tourne beaucoup autour des solutions Open source, je vous conseillerai Pfsense sans hésiter. Pfsense gère le failover, l'équilibrage de charge et des préférences de routage dans les règles.
Vous n'aurez plus à gérer des passerelles multiples depuis votre lan.
Il y aura peut être des choses à revoir coté dns puisque vous avez un server de mail interne.

[t-booo]

Merci pour votre réaction rapide.

J'ai effectivement planté le décort un peu vite.

La contrainte est bien de garder les deux FAI et de répartir équilatéralement la bande passante vu qu'ici en Belgique, le prix du Go n'est pas bon marché (de base nous avons un abonnement à 10Go mensuel).

En réponse à vos réactions:

1. Une possibilité : permettre aux machines qui y sont connectées de ne pas utiliser la BP de la connection 1 tout en étant dans l'adressage compatible avec le serveur active directory ? En étant configuré "isolé", il n'entre donc pas en conflit avec l'autre routeur. Plausible ?

2. C'est ce qu'il me semblait, ce n'est donc pas optimal comme situation

3. En fait le routeur est correctement configuré (NAT). J'ai fais le test avec les 2 routeurs, pour deux ports et deux IP différentes : rien n'y fait. J'ai l'impression qu'il y a quelquechose en amont des routeurs qui filtre la connection. Comment en être sur ?

4. Du point de vue serveur mail : nos connections nous donnent toutes deux des adresses dynamiques, j'ai donc configuré un compte DYNDNS.org sur la passerelle utilisée par le SBS. Le record MX du nom de domaine de la société pointe vers xxx.dyndns.org.

Si j'ai bien compris, la solution Pfsense consiste à brancher respectivement les 2 modem ADSL ethernet sur 2 cartes réseaux d'un PC équipé de la distro qui fera office de routeur multi-wan ? Une 3ème carte viendrait se connecter sur le HUB principal, alimentant la totalité du réseau avec une seule passerelle ? Ce serait somme toute une alternative au routeur multi-wan ?

Petite question supplémentaire : comment fonctionne précisément l'équilibrage de charge ? Alternance d'un WAN à l'autre en fonction d'un volume de BP préféfini, du temps ?

[ccnet]

Merci pour votre réaction rapide.

J'ai effectivement planté le décort un peu vite.

La contrainte est bien de garder les deux FAI et de répartir équilatéralement la bande passante vu qu'ici en Belgique, le prix du Go n'est pas bon marché (de base nous avons un abonnement à 10Go mensuel).

Votre problématique n'est celle de l'équilibrage de charge mais celle de l'upload et,ou du download qui vous est facturé.

En réponse à vos réactions:

1. Une possibilité : permettre aux machines qui y sont connectées de ne pas utiliser la BP de la connection 1 tout en étant dans l'adressage compatible avec le serveur active directory ? En étant configuré "isolé", il n'entre donc pas en conflit avec l'autre routeur. Plausible ?

Je ne comprend pas l'intérêt d'une ligne qu'on n'utilise pas.

2. C'est ce qu'il me semblait, ce n'est donc pas optimal comme situation

En effet, et c'est une source d'erreur de configuration et puis le comportement de windows avec les passerelles multiples ... plus ce que vos utilisateurs peuvent faire si ils savent accéder à leur configuration réseau, bref vous ne maitrisez plus rien.

3. En fait le routeur est correctement configuré (NAT). J'ai fais le test avec les 2 routeurs, pour deux ports et deux IP différentes : rien n'y fait. J'ai l'impression qu'il y a quelquechose en amont des routeurs qui filtre la connection. Comment en être sur ?

Votre fournisseur d'accès peut filtrer en effet. Il n'y a que lui pour préciser la nature du service qu'il vous offre. A vérifier en priorité.

4. Du point de vue serveur mail : nos connections nous donnent toutes deux des adresses dynamiques, j'ai donc configuré un compte DYNDNS.org sur la passerelle utilisée par le SBS. Le record MX du nom de domaine de la société pointe vers xxx.dyndns.org.

Je vous déconseille cette solution, vos mails vont être régulièrement rejetés par de nombreux serveurs SMTP. Déposez votre courrier sortant sur le smtp de votre fournisseur d'accès.

Si j'ai bien compris, la solution Pfsense consiste à brancher respectivement les 2 modem ADSL ethernet sur 2 cartes réseaux d'un PC équipé de la distro qui fera office de routeur multi-wan ? Une 3ème carte viendrait se connecter sur le HUB principal, alimentant la totalité du réseau avec une seule passerelle ? Ce serait somme toute une alternative au routeur multi-wan ?

Oui. Et si possible mettez vos modems en bridge, vous gérerez le nat sur Pfsense. Sinon c'est exactement cela. En prime vous pourrez mettre votre serveur en Dmz, ce qui sur Pfsense n'implique pas forcément du nat. Vous pourrez avec une dmz en bridge ne pas changer votre adressage.

Petite question supplémentaire : comment fonctionne précisément l'équilibrage de charge ? Alternance d'un WAN à l'autre en fonction d'un volume de BP préféfini, du temps ?

En fonction de la disponibilité d'une ligne à l'instant t mais pas du volume échangé entre t et t1.
Regardez aussi http://www.pfsense.org

[t-boo]

Votre problématique n'est celle de l'équilibrage de charge mais celle de l'upload et,ou du download qui vous est facturé.

De la somme de l'upload ET du download. Ils ne perdent pas le nord chez nous. Et encore nous sommes encore en 4mbps.

Je ne comprend pas l'intérêt d'une ligne qu'on n'utilise pas.

Elle est utilisée. Certaines machines ont comme passerelle l'une (via DHCP) d'autres ont l'autre (manuellement).

Votre fournisseur d'accès peut filtrer en effet. Il n'y a que lui pour préciser la nature du service qu'il vous offre. A vérifier en priorité.

Mon FAI m'assure qu'aucun port n'est filtré. C'est fort probable car ma ligne à domicile n'a pas ce problème, ce qui n'est pas le cas de confrères abonnés à un autre FAI cablé et pas ADSL.

Je vous déconseille cette solution, vos mails vont être régulièrement rejetés par de nombreux serveurs SMTP. Déposez votre courrier sortant sur le smtp de votre fournisseur d'accès.

De fait, la solution dns dynamique ne sera utilisée que pour la réception. Pour l'envoi j'ai déja mis en place un connecteur SMTP dans exchange pour router tout le courrier sortant via le SMTP de notre FAI.

Oui. Et si possible mettez vos modems en bridge, vous gérerez le nat sur Pfsense. Sinon c'est exactement cela. En prime vous pourrez mettre votre serveur en Dmz, ce qui sur Pfsense n'implique pas forcément du nat. Vous pourrez avec une dmz en bridge ne pas changer votre adressage.

Ok. Pfsense à l'air très performant. Je vais maintenant peser le pour et le contre Pfsense <> routeur multiwan, et analyser plus profondément pfsense.

En fonction de la disponibilité d'une ligne à l'instant t mais pas du volume échangé entre t et t1.
Regardez aussi http://www.pfsense.org

Dommage, j'espère que je pourrai trouver une solution à ce niveau. Actuellement il n'est pas rare que nous recommandions 3 packs de 5Go (3 X 5€), il y aurait un grand intérêt à répartir les 20Go compris dans l'abonnement.[/quote]

En tout cas merci pour vos conseils, vous avez été très utile et patient.

[ccnet]

ccnet a écrit:

Votre fournisseur d'accès peut filtrer en effet. Il n'y a que lui pour préciser la nature du service qu'il vous offre. A vérifier en priorité.
Mon FAI m'assure qu'aucun port n'est filtré. C'est fort probable car ma ligne à domicile n'a pas ce problème, ce qui n'est pas le cas de confrères abonnés à un autre FAI cablé et pas ADSL.

Pouvez vous les passer en bridge ?

Elle est utilisée. Certaines machines ont comme passerelle l'une (via DHCP) d'autres ont l'autre (manuellement).

Ce qui est très moyen. Avec un firewall vous pourrez continuer à le faire mais la default gateway sera la même pour tout le monde.

Regardez aussi les addons pour Pfsense et du coté proxy.

[t-boo]

Pouvez vous les passer en bridge ?

Le routeur 1 (Zyxel Prestige 650R-33) est en fait un modem-routeur. Donc les options WAN je peux choisir bridge ou routeur. Le passer en "bridge" consiste à déléguer la connection PPPOA aux machines et plus ou routeur, juste ?

Le routeur 2 (Macromate Macrostack) réceptionne la connexion internet via un model externe Alcatel 1000 ADSL.

Tenter un accès direct des postes à l'internet permettrait de voir si les routeurs sont à l'origine du blocage de port ?

[ccnet]

Pour le routeur 1 en bridge il se comportera comme un modem, votre ip publique sera sur le firewall.
Pour l'autre connexion vous pourriez mettre le modem en direct sur le firewall. Il possède un port ethernet ce modem ? La suppression du routeur dans la config serait radicale.
Vos routeurs ne produisent pas de logs ?

[t-boo]

Petite update: j'ai décidé d'arrêter la recherche de solution sur la configuration bancale actuelle.
J'ai donc récupéré un IBMGL500 + 2 cartes réseau supplémentaires et installé PFSENSE. Pour le moment je n'ai remplacé que le routeur 2 car j'attends encore un deuxième modem ethernet.

De ce que j'ai pu en voir, PFSense semble vraiment complet et performant.

Quel bonheur d'enfin pouvoir consulter des logs, notamment concernant le firewall

Tout n'est pas si rose (toujours problème au niveau du port 25), je vais de ce pas créer un post dans le forum approprié.

Merci de m'avoir mis sur la voie de PFsense.

EDIT: je metterai à jour ce post quand le second WAN sera configuré