[Admin-ml] Solutions VPNs

François SCHOSSIG fs.nospam1 at laposte.net
Lun 8 Juin 22:19:47 CEST 2009


Bonsoir,

Je ne gère pas de réseau de taille importante, mon retour  
d'expérience n'aura donc aucune valeur « statistique. » Cependant,  
et quitte a faire hurler des administrateurs système plus chevronnés,  
je me suis rendu compte que parfois des solutions considérées «  
bricolage » sont parfois aussi robustes (sinon plus) que des solutions  
rentrant dans les canons de la gestion informatique !

Entre le « siège » à Strasbourg et notre bureau à Bruxelles nous  
avons une simple liaison câble de Numéricâble (c'est le même  
réseau que Complétel...), officiellement 30 Méga/1 Méga d'un côté  
et de l'autre une fibre 6 Méga. Sans aucune difficulté, sans  
compression pour la VoIP et sans QoS, 3 communications téléphoniques  
et 5 personnes travaillant majoritairement dans Mail et Safari, avec  
accès à un serveur de fichiers...

Je ne peux pas vous faire de retour sur les taux de transferts et  
autres données chiffrées, par manque d'outils et surtout de temps. Je  
peux simplement indiquer que mes utilisateurs ne se plaignent pas de  
la qualité !

Le routeur le moins cher avec autant de pattes que l'on veut, c'est  
encore un vieux PC (Debian, chez nous).
J'avais pris une fibre car j'avais le serveur mail en local (il est  
depuis parti chez Google...) mais dans le fond, pourquoi payer plus  
cher des liaisons dites sécurisées, alors que l'on peu aussi prendre  
plusieurs ADSL chez plusieurs opérateurs et même un mélange ADSL et  
câble pour se protéger d'une coupure de l'un ou de l'autre. Le PC  
routeur avec 3, 4, 5 cartes réseau n'est pas si cher non plus. Pour  
terminer, configurer un routeur, à coup d'iptables et de route, on  
arrive à promener pas mal de choses dans pas mal de directions pour  
pas trop cher ! Si on veut absolument, on peut même assurer la  
sécurité des routeurs eux-même avec miroirs disques logiciels ou des  
installations sur CD ou clefs USB. On peut faire changer de route les  
communications...

Mais il faut pouvoir sortir des sentier battus. C'est comme Asterisk  
contre des boîtes noires Alcatel, Tenovis ou autre.
:-)
--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu

Le 8 juin 09 à 19:27, Jean-Luc Bailloeul a écrit :

>
> Le 8 juin 09 à 18:42, Fabrice Vincent a écrit :
>
>> On a une config très similaire ici: VPN MPLS entre 4 sites, avec  
>> QoS et
>> VoIP. On est chez COLT, les liens non dégroupés étant fourni par  
>> cegetel.
>>
>> Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop  
>> souvent à
>> notre goût... !
>> Plus précisément, depuis 4 ans, nous avons en moyenne une fois par  
>> an une
>> coupure longue de plusieurs heures pour l'ensemble des sites, ce  
>> qui me fait
>> penser que leur coeur de réseau manque de résilience...  :(
>> On a aussi de temps en temps une "mini" coupure d'une minute ou  
>> moins. :-/
> Pour ma part j'ai régulièrement, disons une fois par mois, un site  
> impacté par une coupure totale de plusieurs heures.
> la dernière, la semaine dernière, a duré 3 jours !
>>
>>
>> Bref, mon indice de satisfaction aurais tendance à être assez  
>> moyen. Mais
>> bon, je n'ai pas d'éléments de comparaison car je n'ai pas testé  
>> ailleurs...
> J'ai testé pour l'instant Oléane et Completel. Et pour l'instant,  
> il n'y a pas photo, Oléane était de bien meilleure qualité à tous  
> les niveaux : réseau, réactivité, gestion du domaine…
> Seul inconvénient : deux fois plus cher que les autres.
>>
>>
>> Ceci dit vu de loin l'herbe semble toujours plus verte dans le près  
>> d'en
>> face. Et une fois qu'on est en face, ben c'est souvent plus si  
>> parfait...
> oui, mais cela m'intéresse d'avoir des retours d'expériences  
> d'autres opérateurs.
> SFR, par exemple, me propose une solution identique à celle dont je  
> dispose, mais avec des outils de supervision supérieurs : extranet,  
> accès aux logs…
>>
>> Du coup, plutôt que tester tour a tour diverses offres de VPN  
>> opérateurs, je
>> suis en train de prospecter des solutions firewall capable de gérer  
>> un
>> maillage de VPN IPSec entre plusieurs sites, avec redondance de  
>> lignes sur
>> les sites principaux. Suivant la qualité que j'arrive à obtenir  
>> avec une
>> telle solution, je l'utiliserai soit en complément et en backup  
>> d'un VPN
>> opérateur, soit carrément en remplacement.
> Oui j'y ai pensé. mais j'ai envie de dormir la nuit, et de disposer  
> de quelques jours de vacances dans l'année :-)
> Le problème est de pouvoir porter ce VPN sur des liens de qualité.
> Les liens adsl non garantis ne sont pas envisageables pour une  
> utilisation de la ToIP, comme c'est le cas.
> Les liens SDSL garantis sont aussi chers que des VPNs clés en main.
> Me concernant, tout le système d'information est centralisé sur le  
> siège social, donc la qualité du réseau est primordiale.
> Cela dit, je serai intéressé de connaître où tu en es de cette  
> étude : routeurs ? opérateurs ?…
> Si l'on me démontre que c'est faisable et en production, que les  
> coûts d'installation, d'abonnement et de maintenance de ce genre de  
> solution est largement (mais vraiment largement) inférieure à une  
> solution clé en main, alors ça m'intéresse.
>>
>> Je suis en train d'affiner les specs de mon besoin (notamment liens  
>> VPN
>> inter-sites multiples avec répartition de charge et/ou failover,  
>> accès VPN
>> nomades par https, filtrage de flux, etc...).
>> Je ne manquerai pas de soumettre ce cahier des charge à la liste  
>> pour
>> recueillir vos avis et suggestions. D'ici là, si certains ont des  
>> liens ou
>> des retour d'expérience à me proposer sur le sujet, je suis  
>> preneur...
> Moi aussi. Je ne sais pas si vous avez remarqué, mais il y vraiment  
> peu de retours sur le sujet sur la toile.
>
> +
> Jean-Luc
>
>>
>>
>> A+
>> Fabrice
>>
>>
>>> De : Jean-Luc Bailloeul <jlbailloeul at irtsnpdc.fr>
>>> Répondre à : Administrateurs Systèmes sur Mac OS X <admin-ml at mosx. 
>>> org>
>>> Date : Fri, 5 Jun 2009 20:57:24 +0200
>>> À : Administrateurs OS X Systèmes sur Mac <admin-ml at mosx.org>
>>> Objet : [Admin-ml] Solutions VPNs
>>>
>>> Bonjour tertous,
>>>
>>> Le sujet a été quelque fois évoqué au travers des fils, mais  
>>> ayant eu
>>> en quelques semaines plus de problèmes sur mon réseau VPN que mon
>>> petit coeur ne saurait en supporter, je relance le débat, notamment
>>> pour les admins concernés par le VPN multisites.
>>> J'ai actuellement 6 sites en VPN sur une plateforme SDSL hébergée  
>>> par
>>> l'opérateur Completel. Cette plateforme est constituée de 5 liens  
>>> VPN
>>> 2 Mbs pour les sites distants et de deux liens redondants de 2 mbs  
>>> au
>>> siège social (sur deux DSLAMs d'opérateurs différents, mais  
>>> loué via
>>> completel).
>>> Ce VPN transporte la data, mais également la VoIP intersites, avec  
>>> la
>>> QoS ad hoc.
>>> J'ai entamé des discussions avec les opérateurs majeurs : OBS,  
>>> SFR,
>>> Complete et Bouygues… pour le renouvellement de ce VPN en début
>>> d'année prochaine, et j'aimerais avoir vos retours d'expérience  
>>> sur la
>>> question.
>>> Un des objectifs majeurs de mon étude porte sur la qualité de  
>>> service
>>> et la réduction des coûts, en bref, le meilleur rapport qualité  
>>> prix.
>>> Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait
>>> comprendre que la qualité sur le réseau est toujours en rapport  
>>> ou au
>>> dépend du prix.
>>> Re-bref, j'en appelles à vos expériences diverses et variées sur  
>>> le
>>> sujet, sachant que ma structure se situe dans le Nord-Pas de Calais,
>>> et pas forcément en agglomération.
>>>
>>> Merci de vos retours et avis,
>>>
>>> Cdt,
>>> Jean-Luc
>>> _______________________________________________
>>> Admin-ml mailing list
>>> Admin-ml at mosx.org
>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>> _______________________________________________
>> Admin-ml mailing list
>> Admin-ml at mosx.org
>> http://coruscant.mosx.org/mailman/listinfo/admin-ml
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml



Plus d'informations sur la liste de diffusion Admin-ml