Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Trafic entrant avec 2FAI et 1 proxy derrière 1 routeur Linux

Salut à tous!

Comme vous le verrez certainement, j'ai eu à poser mon problème déjà à la suite d'un autre du genre posé par Boubz, sur ce forum, et le conseil m'a été donné d'ouvrir un nouveau post pour obtenir des réponses.

Je vous prie de me venir en aide, merci avant tou.

En effet, j'ai un appliance Linux faisant office de proxy pour mon réseau interne. Cette machine permet également via le nat, à mes utilisateurs internes d'aller sur internet et à mes utilisateurs externes de se connecter aux serveurs internes suivant des règles définies sur le firewall/proxy.
Pour les connexions depuis l'extérieur, je dispose d'une plage d'adresses publique de mon FAI et pour chaque serveur interne accessible depuis l'extérieur, j'ai fait un DNAT sur une adresse publique spécifique.

Pour se connecter à internet, le firewall sert de mes passerelle pour les utilisateurs internes, et pour se connecter à mes serveurs depuis l'extérieur, mes utilisateurs disposent d'une adresse publique pour chaque serveur qui sera ensuite NATée sur l'adresse privée du serveur concerné.

J'ai une deuxième connexion internet aujourd'hui voici ma problématique:

- Je veux mettre en entrée de mon réseau un routeur Linux qui va gérer le loadbalancing/failover pour les connexion sortantes

- Derrière le routeur se trouvera mon firewall/proxy qui gère le réseau interne

-Comment pourrait-je permettre au routeur de router les requêtes des utilisateurs externes vers le proxy, et en suite du proxy vers les serveurs internes concernés?

- Pourrais-je toujours faire de la redirection d'adresses publiques avec désormais la carte externe de mon firewall sur une adresse privée? Ou alors à ce niveau c'est une redirection de port qui s'impose? Si oui petit détail

- Si je pourrai faire de la redirection d'adresses publiques pour les connexions depuis l'extérieur, est-ce que je pourrai utiliser mes deux plages d'adresses publiques? (Mon nouveau FAI m'as également donnée une plage d'adresses publiques)

- Enfin comment puis-je efficacement gérer les accès depuis l'extérieur avec mes deux connexions internet?

Vous avez ci-joint un petit schéma de l'architecture que je prévois, et j'attends vos objections et propositions.

Je précise que je n'ai aucun problème pour l'implémentation du loadbalancing/failover en sortie; j'ai déjà développé les scripts sur mon routeur Linux Debian, mais je ne sais pas comment le placer en production afin qu'il cohabite avec mon firewall.

[img:eec7de7c8a]http://img404.imageshack.us/img404/8311/topologiecible.png

Uploaded with ImageShack.us

Merci de m'éclairer.

Deux choix sont possibles.
Soit en mettant en place un routage correct sur toutes les machines.
Soit en mettant en place de la nat à tous les niveaux


Tu pourras !
Mais de toute manière, la redirection de port est plus propre et sécurisée, tu ne rediriges que les ports dont tu as besoin.
Et au passage, tu n'utilises qu'une adresse IP...


Oui, et tu pourras gérer une sorte de load balancing en round robin en jouant sur les enregistrements DNS.


DNS.


Tu le fais avec iproute2 ? tes liens ont la même taille ?
Bonjour Elalitte!

Merci pour ta promptitude!

Pour ta dernière question, oui j'ai fait le loadbalancing avec iproute2? Mais liens n'ont pas la même taille, le premier FAI est 9 fois plus rapide que le deuxième (512 ko contre 64ko), un extrait de mes tables de routages:
ip route add 61.16.130.96/27 dev eth1 src 61.16.130.98 table camtel
ip route add default via 61.16.130.97 table camtel
ip route add 200.15.110.64/27 dev eth2 src 200.15.110.101 table vsat
ip route add default via 200.15.110.90 table vsat
ip rule add from 61.16.130.98 table camtel
ip rule add from 200.15.110.101 table vsat
ip route add default scope global nexthop via 61.16.130.97 dev eth1 weight 8 nexthop via 200.15.110.90 dev eth2 weight 1

Et je fait ensuite du masquerading sur les interface eth1 et eth2. Là c'est au niveau du routeur debian.

Popur revenir au sujet, je n'ai pas en place un serveur DNS, et je ne maitrise pas assez le round robin.

- Tu as surement dû oublié de dire un mot sur l'architecture que j'ai proposée ici, prière de me donner ton approbation

- Si tu valide la schéma j'aimerais que pour l'option de redirection de mes adresses publiques, que tu m'édifie plus:
Quand tu parles de faire du routage propre sur toutes les machines, je sous-entends le routeur debian en entrée et le firewall derrière. Premièrement est-ce que cette approche me permet de faire des redirection de mes adresses publiques? Si oui comment je gère chacune des plages d'adresses de mes FAIs, je donne une adresse de chaque plage (FAI1 et FAI2) à mes utilisateurs externes? alors là je suis un peu confus parce que comme tu l'as vu plus haut dans mes règles de routage, les paquets venant de chacune des interfaces externe de mon routeur sont envoyés vers l'extérieur. De plus d'après mon architecture, mon proxy est maintenant sur le réseau 192.168.101.0/24 en externe.

Alors si je fais des redirections de mes adresses publiques comment j'indique au routeur d'envoyer les paquets venant de l'extérieur par l'une ou l'autre des interfaces externes vers le proxy? Et ensuite du proxy vers le serveur sollicité? Je ne vois encore très bien comment faire la redirection d'adresse publique sur le proxy dont l'adresse externe est privée. Je te prie de m'ouvrir davantage les yeux à ce niveau.

maintenant quand tu parles de NAT à tous les niveaux, c'est bien du DNAT non? Et alors sur les deux interfaces externes du routeur debian, et l'interface externe du proxy Endian?

Mes questions sont posées sur la base du schéma que j'ai proposé.

Tu as mentionné enfin que la solution la plus efficace que tu propose serait du DNS, dans ce cas je peux garder cette topologie présentée ici? Je te prie de me donner une petite liste exhaustive de ce dont j'ai besoin en terme de matériel, d'outils et de config avec cette dernière option. Ou simplement un tuto serait la bienvenue, mais j'avoue que j'en ai pas trouvé dans ce sens.

Merci infiniment pour ton aide précieuse, je pense que je fini par obtenir le résultat que je recherche, ça fera vraiment une référence.

A très bientôt

Ah, alors tu risques d'avoir des problèmes car iproute ne gère pas bien les lignes asymétriques. Dés que ta 64ko sera saturée, une connexion sur deux sera mauvaise.


Tu n'as pas besoin d'un serveur. Mais juste de l'accès aux enregistrements DNS de ton domaine si tu en as un. Par exemple tu achètes ton domaine toto.com, ton fournisseur te propose un service DNS te permettant de le rediriger vers la bonne adresse IP.
Le principe du round robin est de mettre deux enregistrements pour le même nom, un vers une IP, l'autre vers la seconde. Ainsi lors de chaque requête le serveur DNS répondra alternativement avec l'une ou l'autre des IPs. Tu peux aussi y mettre un poids normalement.


Elle me semble très bien !


Oui, il faut qu'ils connaissent tous les réseaux.


Oui, le routage n'a pas d'impact là dessus.
L'idéal pour tes adresses externes serait quand même le DNS, comme ça les externes n'ont à retenir qu'un nom.


Tant que tu fais les bonnes redirections (nat statique ou port forwarding) et que le routage est correct, tout devrait bien se passer.


nat statique ou redirection de ports. @IP1 -> @IP_proxy, @IP2 -> @IP_proxy



Qu'importe le fait que l'adresse soit privée ou publique, les routeurs n'y font pas attention. Tu indiques juste que les paquets pour ton adresse IP externe doivent être redirigés vers l'adresse IP interne du proxy.
Ensuite, le proxy (reverse proxy en fait) devra être configuré pour rediriger les requêtes vers ton serveur interne.


Oui, tout à fait.
Salut Elatitte!

Je te remercie de tout cœur pour ton aide.

Rien de vraiment technique, mais franchement tes réponses ne tendent qu'à me rassurer, et me conforte davantage.

Je me sens plus prêt à procéder au basculement (Mise en production de mon routage) avant de te faire signe en cas de blocage, mais je vais te poser deux questions avant de passer à autre chose.

- Tu sembles me dire que je ne devrais pas utiliser iproute2 pour le loadbalancing en sortie pour mon cas. Est parce que mes liens n'ont pas le même poids? Alors quel outil me proposes-tu pour cela?

- Pour revenir à la solution qui nous intéresse, si je comprends bien, c'est que je vais donner à mes utilisateurs externes un nom de domaine simplement, avec lequel ils effectueront toutes leurs requêtes vers mes serveurs internes?

- C'est bien à mon provider de gérer l'enregistrement, et donc de rediriger les requêtes vers les ip externes de mon routeur ?

- Dans ce cas, je n'utiliserai plus que mon nom de domaine, et non plus les adresses publiques que l'on ma vendues? Je veux dire que je n'aurai donc plus à assigner une ip publique spécifique (de chacune de mes deux plages) à chaque serveur interne derrière le firewall depuis l'extérieur (faire du DNAT sur les adresses publique en question)

- Je me demande aussi comment avec un seul nom de domaine, les gars feront leurs requêtes vers chacun des serveurs internes, qu'est ce qui permettra de savoir que l'utilisateur veut en effet accéder à tel ou tel autre serveur interne, avant même de le router jusque là?

- Si ma compréhension comme présentée ci-dessus est bonne, est-ce que cette option de DNS écarte l'option de routage partout et NAT à tous les niveaux à laquelle nous avons fait allusion? Ou alors je peux/dois utiliser les deux pour obtenir le résultat? (se connecter depuis l'extérieur à mes serveurs, et utiliser mes adresses publiques des plages offertes par mes FAIs avec du DNAT)

- Je te prie au cas où tu me réponds avant que j'aille peaufiner tout ceci, de bien vouloir me dire si dans ta vision des réponses que tu me donnes, tu inclues l'utilisation des adresses publiques que j'ai à ma disposition (Je ne parle pas des adresses 61.16.130.98 et 200.15.110.101 affectées aux interfaces externes de mon routeur d'entrée, mais de celles restantes sur les deux plages d'hôtes utilisables, que je compte utiliser pour le DNAT vers mes serveurs internes)

Merci encore Elatitte, tu m'es d'un apport précieux.
Avant de répondre exhaustivement, je te conseille de voir une petit cours que j'ai donné sur le DNS:
http://lalitte.com/anciensite/dns/

Puis de revenir avec tes questions.
Salut Elalitte!

Dommage pour moi que j'ai pas vu ta réponse tôt; mais je viens de l'acquérir et je sors tout fraîchement de ta salle de cours.

Je dois avouer que ton cours est très profond et digest en même temps; il m'aura permis de bien comprendre des problématique face auxquelles j'avais réellement jamais été.

Alors te confirmer mon assiduté au cours(lol), tu rectifieras certainement les points où ma compréhension est erronée.

- Je pense que ma question sur "comment les gars feront toutes leurs requête sur différents serveurs avec un seul nom de domaine.." n'est plus à poser, car ils utiliseront pour chaque serveur un FQDN, où le nom du serveur sera par exemple celui du service qu'il offre, etc...

- Quant à savoir qui va gérer les enregistrement comme demander dans ma première question, je pense pour mon ce n'est pas à moi d'implémenter le serveur de cache pour mes clients ou utilisateurs externes qui ont des provider ou peuvent le faire eux même.
Par contre je dois en principe installer un serveur de domaine pour mon domaine principale où je ferai les enregistrements, seulement dans ce dernier cas comme tu l'as mentionné dans ton post , je n'ai pas besoin de serveur mais juste de l'accès aux enregistrement DNS de mon domaine, et faire des redirections vers mes les deux adresses externes de mon routeur d'entrée, avec le service DNS proposé par mon provider.

Voilà en rapport avec mon problème, ce que j'ai retenu en bref, maintenant je peux reformuler mes questions, si le principe de DNS est acquis:

- Puisque tu dis que je n'ai pas besoin de serveur, je suppose que c'est mon fournisseur (Le registrar bien sûr???) qui va gérer l'enregistrement domaine pour mes deux adresses ip. Alors où je fais donc les enregistrement des serveurs de mon domaine (FQDN de chaque serveur)? puisqu'il faut bien un serveur de domaine publique pour les serveurs que j'héberge non?

- Je pense que si les requête vers mon domaine seront envoyées vers mon routeur (l'une ou l'autre des adresses ip), ça doit donc être à lui de répondre de manière récursive ou itérative aux requêtes sur les serveurs du domaine non?

- Si oui je demande à nouveau où je ferai les enregistrement de ces serveurs( FQDN >>> adrresse ip puiblique correspondante)? Le routeur sera lui même serveur de domaine alors?

- Maintenant je reviens à ma question de savoir si l'option de round robin DNS écarte l'option de routage partout et NAT à tous les niveaux à laquelle nous avons fait allusion? Ou alors je peux/dois utiliser les deux pour obtenir le résultat?

- Enfin je pense que j'ai assez bien cerné le principe de DNS, et j'aimerais dans la mesure du possible que tu me donnes la procédure en quelques lignes, de l'enregistrement de mon nom avec les deux ip de mon routeur, l'enregistrement de mes serveurs internes avec les ip publiques à DNATter, la redirection de ces adresses publiques vers les adresses locales même der serveurs, qui sont eux derrière le firewall. En précisant s'il te plait ce qui relève de mon ressort et de celui de mon provider/registrar.

Merci encore pour tes enseignements et ton aide.

Tout à fait !

- Quant à savoir qui va gérer les enregistrement comme demander dans ma première question, je pense pour mon ce n'est pas à moi d'implémenter le serveur de cache pour mes clients ou utilisateurs externes qui ont des provider ou peuvent le faire eux même.
Par contre je dois en principe installer un serveur de domaine pour mon domaine principale où je ferai les enregistrements, seulement dans ce dernier cas comme tu l'as mentionné dans ton post , je n'ai pas besoin de serveur mais juste de l'accès aux enregistrement DNS de mon domaine, et faire des redirections vers mes les deux adresses externes de mon routeur d'entrée, avec le service DNS proposé par mon provider.
Tout à fait, sauf que ce n'est pas ton provider (normalement celui qui te fournit ton accès Internet) mais ton registrar, celui qui te fournit ton nom de domaine (ca peut être la même organisation cependant)


Oui, ton registrar devrait normalement te proposer une interface de configuration en ligne. Tu peux t'adresser à lui pour savoir comment le faire.


Non, ton routeur n'est pas un serveur DNS ! son rôle est de router !
les requêtes dns vont arriver aux serveurs dns enregistrés par ton registrar. Normalement lui le gère, mais tu peux configurer pour que ce soient des serveurs chez toi qui soient responsables de ta zone DNS. Ainsi les requêtes arrivent à ton routeur sur le port 53 udp, ton routeur doit être configuré pour avoir du port forwarding qui redirige ce port vers tes serveurs dns de domaine.


Non non.


Le DNS est indépendant du routage est de la nat, il permet à un visiteur de connaître l'adresse IP associée à un fqdn, et donc d'acheminer ses requêtes vers tes serveurs.
Ensuite, c'est à toi sur ton réseau interne de faire en sorte que les requêtes qui arrivent à ton routeur d'entrée qui a une adresse publique, soient bien aiguillées vers tes serveurs en interne qui ont des adresses privées. Pour faire cela, il faut que la NAT et le routage soient bien configurés.


Pour le dns, il suffit que tu ailles sur la page de configuration du dns chez ton registrar et que tu associes les fqdns avec les @ip:
www.tondomaine.com <-> 80.76.23.75
etc.

Pour la NAT, il faut que tu utilises iptables, et là, cela demande encore pas mal de boulot et d'apprentissage, car iptables est complexe !
Tu auras une partie du cours et d'un TP que je fais ici:
<http://www.itinet.fr/elalitte/cours/S5/Filtrage/>
Il faut télécharger le(s) .mov.


De rien, ça fait plaisir d'avoir des élèves assidus !
Bonjour Elalitte!

Le principe a été acquis, maintenant pour ce qui relève des questions purement technique pour l'implémentation, comme je te disais au début de mon post, je vais y aller seul, puisque tout cela suit une logique bien détaillée, et nous en avons longuement parlé toi et moi.

Ceci dit, je ne pourrai pas là maintenant partir sur l'option de round robin dns, car ça dépend aussi de mon registrar; je vais donc devoir faire encore avec mes ip publiques pour le moment, que je ferai porter par mon routeur d'entrée; et ferai ensuite "du routage partout " et "de la nat à tous les niveaux"

Je pense que d'après ce qu'on s'est dit, la mise sur pied du round robin dns, n'entrainera pas de modifications majeures sur mes configs, le routage étant toujours indispensables, juste que là mes users externes fonctionneront à ce moment simplement avec le nom de domaine.

Si j'ai du souci dans la mise en production, je reviendrai vers toi avec des questions techniques à ce moment, mais plus précises.

On va donc mettre une petite pause sur ce post et aller sur le terrain d'abord.

Ps: Tu as oublié de me dire pourquoi tu ne me recommanderais pas iproute2 pour le loadbalancing dans tes derniers messages, et ce que tu utiliserais dans ce cas.

Merci et à bientôt.
En fait je recommande iproute2 qiu est la seule solution gratuite opensource sous linux.

Mais elle n'est pas bien adaptée aux liens de taille différente car si un lien est saturé, elle continue d'envoyer les paquets sur ce lien.
Cela est du au fait que le routage n'a pas de gestion des états des connexions (contrairement au filtrage par exemple)
Mais bon, c'est une autre histoire.

Cela devrait cependant convenir à tes besoins.
OK!

Comme tu dis la gestion de l'état des liaisons est une autre histoire.

Je pense toutefois qu'il existe des outils sous Linux pour ce faire, seulement on ne doit pas brûler les étapes, et je dois déjà résoudre la problématique de l'heure. Une fois que le résultat sera obtenu, je pourrai bien gérer les questions de QOS et autres.

Bonne journée Elalitte.
Bonjour Eric!

j'espère que tu vas bien;

Là ce n'est vraiment pas une requête dans le sens du topic que nous avons commencé ici.

En effet j'ai bien télécharger tes .Mov sur le filtrage, mais je n'arrive pas jusqu'ici à avoir le son, j'ai essayé les lecteurs et intégré les codec les plus universels, sous windows comme sous linux, mais j'ai les images et pas de son. J'ai même converti les vidéos aux formats libres(avi, mp4) mais ça passe pas.
J'aimerais juste savoir si tu as fait exprès d'enlever le son ou de pas le mettre, ou alors il y a quelque chose qui m'échappe?. Excuse moi de t'interpeler pour ça aussi, mais en fait puisque je connais ce que la richesse de tes explications peut me faire découvrir en plus, je souhaiterais avoir les images et le son. Peux-tu me dire comment procéder? Ou alors m'envoyer les deux fichiers (Introduction au filtrage et Tp_Filtrage_Iptables) avec le son?

Merci encore et bon après midi.

C'est simple, il n'y a pas de son !
En fait c'est juste un .mov généré à partir de mes slides sous mac.



Je vais essayer de faire une version avec le son, d'ici septembre je pense car pour nous les cours finissent fin juillet... et là c'est la période de rush
OK!

Rassurant, j'arrête donc de chercher à entendre le son.

On revient donc à notre problème d'origine dès que possible.

Merci
Salut Eric!

Ça fait vraiment longtemps depuis la dernière fois.

Le projet avait été abandonné pour d'autre priorités, et là je m'y suis mis depuis une semaine et j'ai fini par mettre mon système sur pied.

J'ai finalement fait porter toutes les charges à mon debian qui va gérer le routage, le filtrage et le vpn.

Pour ma problématique sur mes adresses publiques, j'ai implémenter le loadbalancing avec suivi de connexion et marquage des paquets grace à la table mangle, le routage avec iproute2 et j'ai écrit un script pour le failover.

Tout marche bien pour le moment, et je n'ai pas encore détecté d'anomalie, mes serveurs internes sont bien accéssibles de l'extérieur par chacune de leurs adresses publiques sur l'une ou l'autre des liaisons.

J'ai géré ma balance des charges sur mes liaisons qui nt des poids différents, avec le marquage des paquets de chaque connexion nouvelle ou déjà établie.

Je pense qu'avec ce que je viens de faire, je pourrai simplement plus tard enregistrer chacun de mes FQDNs (Un pour chaque serveur interne) avec lses deux adresse publiques correspondantes chez mon registrar.
Ainsi le round robin va fonctionner avec le routeur actuellement en place qui gère déjà la balance des charges sur mes liaisons , mais si tu pnses que je dois faire des config supplémentaires pour que e round robin marche, merci de me le notifier.

Ce qui me reste à faire maintenant c'est le VPN, qui doit re gérer par mon même routeur debian. Et dans ce cas il s'agit de mettre sur pied un VPN IPSec net-t-net.

Alors ma problématiqe est la configuration des deux adresses externes du routeur (elles sont en publique bien sûr), qui fait office de passerelle de mon côté.

Merci de bien vouloir m'élucider sur cette dernière question.

A très bientôt.
Pour le VPN, il faudrait que tu mettes en place deux tunnels.
Et tu gères au niveau des entrées l'utilisation de l'un ou de l'autre, en actif/passif par exemple.
Salut Eric!

Merci pour ta réponse!

Je pense avec ce que tu me dit, que la solution serait de coupler IPSec et L2TP; est-ce une bonne option? Ou alors ai-je besoin d'autres outils?

Dans tous les cas j'ai essayé de regarder sur ta voie, mais je ne vois pas toujours bien comment configurer les deux tunnels, je te prie de m'édifier un peu d'avantage sur la procédure.

C'est tout ce qui me reste pour boucler mon projet, je sais que tu es très profind dans tes explications théorique et je te prie de mettre un peu de technique dans tes explications. Là je coince un peu et j'arrive pas à avancer.

Merci Eric
Re-Salut Eric!

J'ai pensé pour mon pb, à créer deux tunels, un pour chaque interface.

Vu que du côté de la passerelle du client il n'y a qu'une seule adresse publique, chacun de mes tunels sera entre l'adresse publique du client et une de mes adresses publiques (Ex: IP1>>>>IPclient et IP2>>>>IPclient).


Maintnant comment je gère au niveau des entrées comme tu l'as mentionné? Comment immplémenté le mode passif/actif comme tu l'as mentionné?

Merci encore pour ton aide.
L'idée serait au niveau du routage du client de tout envoyer dans un tunnel.
Et si jamais le tunnel ne marche plus, un petit script automatique changera la table de routage pour modifier la route par défaut et la faire passer par le second tunnel.

C'est l'idée, à voir si cela peut marcher.
Bonjour Eric!

Comme tu le sais, de mon côté j'ai mis sur pied un script pour la haute disponiblité de mes liens. Donc de mon côté lorsque les deux liaisons sont up, c'est du loadbalancing, et quand une liaison est down le script bascule les connexions sur l'autre.

Alors si je te comprends bien, le failover pour le VPN IPSec est donc à faire du côté client? C'est à dire que c'est à lui d'utilisé la haute disponibilité des tuneles que je mets à ça disposition (le script donc tu parle ici), c'est bien ça?

Si non de mon côté, tu pense que le logique que j'ai énoncé dans mon dernier poste est bonne? : Configuration avec IPSec/L2TP avec PSK, et création de deux tunel dans mon ipsec.conf (Ex: IP1>>>>Passerelleclient et IP2>>>>Passerelleclient.

Merci encore pour ta collaboration et à très bientôt.
Oui, le client peut monter les deux tunnels et fait passer les flux par l'un des deux.

Ta solution me semble très bien !
OK Eric!

Merci, mais bon tu sais que mon routeur debian remplace le endian firewall existant, et là dessu on avait configuré IPSec simplement et non IPSec-L2TP.

Donc je vais simplement mettre en place et configurer ipsec-tools sur mon debian, avec les même paramètres, de sorte que le client de l'autre côté ne se rende pas compte du basculement.

J'espère qu'avec IPSec tout seul ça va marcher.

PS: Tu ne m'as rien dit sur mon implémentation loadbalancing/failover, et surtout si en faisant enrregistrer les FQDNs de mes serveurs internes avec les IPs publiques des plages, ls connexions de l'extérieur vont marcher sans problème puisque c'est le cas maintenant lorsque les clients utilisent les adresses ip publiques.


A bientôt pour la suite, et pour mon rapport sur la mise en place d'IPSec.
Bonsoir Eric!

J'ai créé deux tunels dans le fichier /etc/ipsec.conf, avec les directives "conn tunel1" et "tunel2"
Les configuration sont identique au niveau sous "conn tunel1" et "conn tunel2", la seule différence est au niveau de la passerelle en left"

J'ai égalment éditer le fichier /etc/ipsec.secrets où j'ai placé la clé partagée entre le site distant et notre site, j'ai mis la même clé et j'ai juste changé l'adresse de ma passerelle sur la deuxième ligne.

la commande ipsec verify me montre que tout marche bien, au niveau du vpn, de la config du pare feu et tout.

Mais quand je démarre mon système, dans les informations qui s'affiche, je ne vois aucune ligne faisant référence à mon deuxième tunel, je vois juste tunel1.

Est ce que je devais créer le deuxième tunel dans un aurte ficher? Poruquoi je ne vois pas les deux tunels montés au démarage de l'ordinateur ?

Est ce que le tunel2 fonctionne bien là? J'aimerais avoir si possible la commande pour voir les tunels montés.

Pour le moment je fais juste mes test en local avec la commande ipsec verify, le système ne peut pas encore être testé en production car il porte les même adresse que le Endian existant, et les services ne doivent pas être coupés ces jours.

Merci encore pour ton aide.
Je ne peux pas t'aider là dessus car je n'ai pas mis en place de VPN IPsec sous debian. J'utilise OpenVPN.
OK Eric, je vais me débrouiller pour avancer.

Et pour mon round robin, tu penses que ça fonctionnera vu que le système marche en utilisant les ip publique des deux plages?

Nous allons procédé aux enregistrements des FQDNs d'ici là, et je voudrais juste avoir ton avis à ce stade. J'ai déjà fait tout le routage et le filtrage sur mon debian, et je veux juste être sur que de l'extérieur on pourra utiliser les noms des différents serveurs tels qu'enregistrés chez mon registrar.

Merci encore et à très bientôt.
Oui, cela me semble une bonne solution. En tout cas chez moi ça marche !
Bonjour Eric!

Excuse moi de sortir un peu du cadre du sujet qui nous a réuni ici.

Mais en fait j'ai cherché par tous les moyens de faire un message privé, sans succès. Le lien vers les messages privés ne marche pas sur ce site, et sur ton site/wiki je n'ai pas trouvé ton adresse

En fait je suis en France, plus précisément à Paris depuis bientôt trois, pour une expertise en technologie de l'information.

Là je dois bosser sur une idée de projet, et j'ai pensé à toi, pour cela j'aimerais dans la mesure du possible que nous puissions en discuter hors du cadre de site.

Si oui dis moi comment faire.

Merci infiniment pour ta réponse
Bonjour Eric!

Excuse moi de sortir un peu du cadre du sujet qui nous a réuni ici.

Mais en fait j'ai cherché par tous les moyens de faire un message privé, sans succès. Le lien vers les messages privés ne marche pas sur ce site, et sur ton site/wiki je n'ai pas trouvé ton adresse

En fait je suis en France, plus précisément à Paris depuis bientôt trois, pour une expertise en technologie de l'information.

Là je dois bosser sur une idée de projet, et j'ai pensé à toi, pour cela j'aimerais dans la mesure du possible que nous puissions en discuter hors du cadre de site.

Si oui dis moi comment faire.

Merci infiniment pour ta réponse