VPN : Partager 1 connexion Internet sur 5 sites sans proxy ?

Bonjour,

la situation :
Dans le cadre d’un VPN Equant, le site principal fournit la connexion internet à 5 sites distants

l’année dernière, nous avions aquit un routeur Firewall Linksys RV042, mais il s’est avéré qu’il ne pouvait pas gérer plusieurs routes (et donc, il ne connait que le site principal)
j’avais donc mit en place un proxy avec “jana server” pour que les sites distants puissent accéder au net, mais ce n’est pas “clean”

Nous voudrions supprimer ce proxy
je pense donc qu’il faudrait que nous trouvions un routeur-firewall qui soit capable de gérer plusieurs routes

j’ai pensé notamment au Cisco 851 (semble relativement peu onéreux pour un cisco) mais je ne sais pas s’il répond au problème

schéma :

Routeur Equant ----- Sites distants
|
Switch du site principal ----- Firewall Linksys RV042 ---- Connexion SDSL
|
Serveur hébergeant Jana Server

Pourriez vous m’aiguiller vers un produit qui soit relativement simple à configurer (je n’ai jamais configuré de cisco) ?

Merci d’avance

Hum, donc tu as demandé aux routeurs de tes sites distants de tout ce qui est sur le port 80 soit routé sur ton site principal
Et que sur le routeur de ton site principal tout est redirigé vers le routeur/firewall cisco pour acceder à internet ?

Question : pourquoi ne pas avoir pris le pass custum chez Equant ? (centralisation d’internet)

Perso: nous allons mettre en parallèles ce système pour doubler la connexion internet. Mais on met une sortie sur chaque site.

Pourquoi centraliser la connexion internet de tous les sites distants sur un site ? Peux tu poser ta problématique.

@edit: ce routeur peux gérer 2 wan. Il n’est pas configurable ? Tu ne peux pas dire de router des adresses 192.168.2.x vers le routeur equant ? ( supposant que l’adressage local soit 192.168.1.x)

Je ne connais pas le “pass custom”, ça consiste en quoi exactement ?

si nous n’avons qu’une seule connexion internet pour tous les sites, c’est tout simplement une histoire de couts
ça nous évite d’avoir une ligne adsl sur chacun des sites
mais la connexion est une SDSL 2Mo donc ça va bien quand même

quand j’avais essayé de configurer le routeur, je me rappelle que j’avais passé un bon moment avec les gars d’orange business, linksys, notre prestataire de services, sans succès
c’est ce dernier qui m’avait alors conseillé de mettre en place un proxy

Je ne fais plus parti du personnel depuis un an, mais le responsable m’a demandé d’essayer de venir revoir un peu tout ça, j’y vais demain mais j’aurais bien aimé amener un embryon de solution

je n’ai pas accès au paramétrage des routeurs du VPN, c’est géré par Orange business
je n’ai accès qu’à celui du routeur linksys
à l’origine, on avait fait mettre un serveur linux qui faisait routeur-firewall, on avait rentré toutes nos routes et ça fonctionnait bien mais ça faisait un gros système pour pas grand chose, c’est pour ça que l’on avait mit en place le Linksys RV042

de mémoire :

site principal
RV042 : IP = 10.0.0.253
Routeur VPN = 10.0.0.254

site distant 1
Routeur VPN = 10.1.0.254

en gros, quand 10.1.0.1 va sur internet, la requête part bien vers le RV042 (10.0.0.253) parcequ’Orange a dû faire en sorte que ce soit le cas
Mais, le RV042 ne connait pas la route de retour pour renvoyer les informations vers le 10.1.0.1

Donc en fait, il suffirait de pouvoir indiquer une “route de retour” au routeur, chose que nous avions pu faire sur le linux mais pas sur le RV042

Est ce que tous les cisco permettent de faire ça ?
car à ce moment là je leur fait acheter le cisco 851 et puis je me débrouillerais pour le configurer
ça me fait penser que quand j’avais eu linksys, le technicien m’avait dit que ce que je voulais faire nécessitait un matériel de type professionnel (comme cisco) et que linksys était seulement étudié pour les besoins des particuliers

il est pas capable de faire du NAT ton rv042 la? Parce qu’un routeur a qui on peut pas rajouter de route, je sais pas ce que c’est…

NB: je connais pas le vpn equant mais ca me parait incroyable que ce machin la, sur 5 sites, soit moins cher que 5 connexions adsl… Mais bon™

LoneWolf
Enfin je dis ca, je dis rien

Au niveau cout, je ne peux pas dire mais bon il y a aussi 5 cartes business everywhere (3G)
au final ça fait 10 sites distants, ça devient peut être plus interessant

pour le rv042, j’ai trouvé ça sur un forum : it will only do the auto created single static route in its own subnet.
ça semble aller dans le sens du problème que j’ai rencontré

[quote=« silka, post:2, topic: 47763 »]Hum, donc tu as demandé aux routeurs de tes sites distants de tout ce qui est sur le port 80 soit routé sur ton site principal
Et que sur le routeur de ton site principal tout est redirigé vers le routeur/firewall cisco pour acceder à internet ?[/quote]

T’ain, serieux, ca fait mal aux yeux de voir des trucs comme ca, serieux…

Quand on s’y connais pas vraiment en réseau, s’abstenir.

EDIT : j’oubliais les raisons de mon intervention : Un routeur (un vrai routeur de base, pas une passerelle/nat), il sais pas ce que c’est un port 80. Enfin, il sais tout connement pas ce que c’est un port. Le routeur, il vois des paquets IP. Le contenu (segments TCP/datagrame UDP) il s’en fout completement.

Le prends pas mal, silka, mais ca fait plusieurs fois que je vois des approximations et/ou conneries (pas que de toi, hein)… et quand on est dans le métier, ca fait (très) peur.

Bref…

Imaginons que les sites distant aient un addressage en 192.168.X.0
Imaginons que le site principal ait pour addressage 10.X.X.X, que le routeur Equant ait pour @IP LAN 10.0.0.254, et que le routeur de sortie internet 10.0.0.253.

• il faut que le routeur de sortie internet fasse de la translation d’addresse (NAT/NAPT)
• il faut que le routeur de sortie internet aie un/des routes vers les réseaux distant pointant vers le routeur Equant (10.X.X.X).
• il faut que le routeur équant aie une route 0 vers le routeur internet (10.0.0.253) et que cette route 0 soit annoncée dans tout le VPN (ca, il faut peut-être le demander à OBS).

Sinon, tu peux aussi voir si ca n’est pas interessant d’avoir une sortie internet en coeur de réseau (je ne sais pas combien ca coute/si ca existe chez orange).

[quote=“LoneWolf, post:4, topic: 47763”]il est pas capable de faire du NAT ton rv042 la? Parce qu’un routeur a qui on peut pas rajouter de route, je sais pas ce que c’est…

NB: je connais pas le vpn equant mais ca me parait incroyable que ce machin la, sur 5 sites, soit moins cher que 5 connexions adsl… Mais bon™

LoneWolf
Enfin je dis ca, je dis rien :)[/quote]

Sauf que 5 connexions ADSL, c’est pas un VPN IP… et là, il controle d’un coup (et peux firewaller/filtrer/proxyfier …) la connexion comme il lui chante.

Tzim -> Tu me conseillerais un équipement réseau en particulier pour permettre de faire ce que tu décris ? (faut il juste rechercher la fonctionnalité NAT/NAPT pour être sûr et certain du résultat (pas envie de leur faire encore acheter un boitier qui ne réponde pas au besoin) ?)

car j’ai regardé les fonctionnalités des derniers firmwares et à priori le RV042 ne peut définitivement pas faire ça

C’est pour une association donc il y a une contrainte de cout
mais le RV042 pourrait (au moins) servir de firewall, auquel cas ils auraient juste besoin d’un bon routeur

voici les caractéristiques du RV042 :
Protection par firewall, switching, DMZ port, compatible DHCP, prise en charge NAT, VPN, équilibrage de charge, auto-uplink (MDI/MDI-X auto), Stateful Packet Inspection (SPI), protection contre les attaques de Déni de Service, serveur DNS dynamique, administrable

donc à priori il fait le NAT mais pas le NAPT
mais j’ai + l’impression que son problème vient plutot du fait qu’il ne permet pas de rajouter des routes autres que les routes qu’il se crée lui même
et j’ai peur que si je vais par exemple vers du netgear ou autre je rencontre le même os…alors cisco power ?

[quote=“Kurdt, post:8, topic: 47763”]Tzim -> Tu me conseillerais un équipement réseau en particulier pour permettre de faire ce que tu décris ? (faut il juste rechercher la fonctionnalité NAT/NAPT pour être sûr et certain du résultat (pas envie de leur faire encore acheter un boitier qui ne réponde pas au besoin) ?)

car j’ai regardé les fonctionnalités des derniers firmwares et à priori le RV042 ne peut définitivement pas faire ça[/quote]

Euh, le NAT (ou NAPT), c’est la fonction de base des boiboites qui permettent de partager l’Internet (quand tu n’as qu’une seule addresse IP publique), donc ca m’étonnerais que le RV042 ne sache pas faire. Quant a l’ajout de routes dedans, il faut voir, mais je serais très étonné que ca soit pas possible vu la gamme de produit…

[quote=“Kurdt, post:8, topic: 47763”]mais j’ai + l’impression que son problème vient plutot du fait qu’il ne permet pas de rajouter des routes autres que les routes qu’il se crée lui même
et j’ai peur que si je vais par exemple vers du netgear ou autre je rencontre le même os…alors cisco power ?[/quote]

La page 39 du manuel (sur le site de support de linksys) t’indique comment rajouter une route statique dans l’onglet setup->Advnaced Routing->Static Routing

[quote]Static Routing
You will need to configure Static Routing if there are multiple routers installed on your network. The static routing
function determines the path that data follows over your network before and after it passes through the Router.
You can use static routing to allow different IP domain users to access the Internet through this device. This is an
advanced feature. Please proceed with caution.
This Router is also capable of dynamic routing (see the Dynamic Routing tab). In many cases, it is better to use
dynamic routing because the function will allow the Router to automatically adjust to physical changes in the
network’s layout. In order to use static routing, the Router’s DHCP settings must be disabled.
To set up static routing, you should add routing entries in the Router’s table that tell the device where to send all
incoming packets. All of your network routers should direct the default route entry to the Linksys Router.
Enter the following data to create a static route entry:

1. Destination IP: Enter the network address of the remote LAN segment. For a standard Class C IP domain, the
   network address is the first three fields of the Destination LAN IP, while the last field should be zero.
2. Subnet Mask: Enter the Subnet Mask used on the destination LAN IP domain. For Class C IP domains, the
   Subnet Mask is 255.255.255.0.
3. Default Gateway: If this Router is used to connect your network to the Internet, then your gateway IP is the
   Router’s IP Address. If you have another router handling your network’s Internet connection, enter the IP
   Address of that router instead.
4. Hop Count (max. 15): This value gives the number of nodes that a data packet passes through before reaching
   its destination. A node is any device on the network, such as switches, PCs, etc.
5. Interface: (LAN, WAN1, WAN2/DMZ) Interface tells you whether your network is on the LAN or the WAN, or the
   Internet. If you’re connecting to a sub-network, select LAN. If you’re connecting to another network through
   the Internet, select WAN.[/quote]

Il faut que tu ajoutes la route suivante :
Destination : IP du Réseau(x) distant
Subnet Mask : Masque du réseau(x) distant
Default Gateway : 10.0.0.254
Hop Count : 2
Interface : LAN

Merci, je vais tenter de faire ce que tu décris

mais ça m’étonne que l’an passé, le technicien de linksys n’ait pas pu m’aiguiller vers ça
moi aussi je pensais vraiment pas avoir ce problème avec cet équipement, j’y suis allé les yeux fermé

enfin bon j’essaye et je vous tiendrais au courant du résultat

Merci à tous

Tzim les routeurs/passerelle oleane/equant est transparant. c’est pour cela que j’ai dit ca. C’est ce qu’ils font.Car de toute facon on a pas la main directement sur les passerelles de sorties. Mais en equant on peut demander la redirection.
Nous avons cette solution c’est pour cela.

Pass custum : 300 €/mois avec relais SMTP, hebergement nom de domaine, fax in mail. Donc si pas besoin de faire du relais SMTP tu peux deja enlever 220 €/mois de mémoire
En equant le pass custum c’est une sortie unique vers internet pour tout tes sites. Filtrage anti spam/anti virus.
Filtrage du web.

Par contre, ils disent :
3. Default Gateway: If this Router is used to connect your network to the Internet, then your gateway IP is the
Router’s IP Address. If you have another router handling your network’s Internet connection, enter the IP
Address of that router instead.

tu mets le 10.0.0.254 (routeur du VPN) en gateway
n’est ce pas plutot le 10.0.0.253 (RV042) ??

Tzim → Le paramétrage que tu suggérais est celui qui existe déjà

j’avais eu l’idée de mettre le routeur en 255.0.0.0 pour qu’il voit toute la plage 10.xxxxx
mais on ne peut pas mettre + que 255.255.255.0 …

bref, poubelle le routeur :crying:

[quote=« silka, post:12, topic: 47763 »]Pass custum : 300 €/mois avec relais SMTP, hebergement nom de domaine, fax in mail. Donc si pas besoin de faire du relais SMTP tu peux deja enlever 220 €/mois de mémoire
En equant le pass custum c’est une sortie unique vers internet pour tout tes sites. Filtrage anti spam/anti virus.
Filtrage du web.[/quote]

Tu demande pas la redirection, mais un routage (y’a pas de translation dans le VPN)…
Sinon, t’ain c’est cher leur sortie internet !

[quote=« Kurdt, post:13, topic: 47763 »]Par contre, ils disent :
3. Default Gateway: If this Router is used to connect your network to the Internet, then your gateway IP is the
Router’s IP Address. If you have another router handling your network’s Internet connection, enter the IP
Address of that router instead.

tu mets le 10.0.0.254 (routeur du VPN) en gateway
n’est ce pas plutot le 10.0.0.253 (RV042) ??[/quote]

Nan, c’est une erreur dans la doc. Le default gateway pour un sous réseau donné, c’est l’addresse du routeur vers lequel envoyer les paquets. Donc, pour les réseaux distants, la gateway est bien le routeur du vpn.

[quote=« Kurdt, post:14, topic: 47763 »]Tzim → Le paramétrage que tu suggérais est celui qui existe déjà

j’avais eu l’idée de mettre le routeur en 255.0.0.0 pour qu’il voit toute la plage 10.xxxxx
mais on ne peut pas mettre + que 255.255.255.0 …

bref, poubelle le routeur :crying:[/quote]

T’as essayé avec une route par site ou réseau ? (et eventuellement demané à equant de rajouter la route 0 dans le VPN ?

Tzim , tu payes un service, intrusion 0 remise en oeuvre H+4
Lorsque tu as ta propre connexion , bah pour faire bouger ton orange/neuf etc. C’est pas pareil.

Mais sachant que maintenant le plus important c’est les mails et non les site de production, on va doubler sur chaque site la connexion internet, en créant notre propre sortie.

Tzim : on doit avoir de la translation, on a une couche Business everywhere pour les nomades.

Oui, sauf que sur une sortie en coeur de VPN, ca leur coute pas tant que ca (surtout que c’est largement mutualisé). Enfin, nous c’est tellement peu cher qu’on l’offre dès que le VPN est un poil conséquent (sans vouloir faire de pub). Après, je veux bien que si le client change d’avis tout les 4 matins pour ses règles de NAT/Firewalling, ca peux couter cher

Non en fait j’ai capitulé car Ils vont surement re-passer par les firewalls d’orange business

à l’époque j’avais mit en place le RV car ils avaient un serveur web/mail/ftp et je voulais pouvoir gérer moi même le parefeu

mais ils vont faire heberger tout ça ailleurs donc plus d’utilité :crying:

si ça avait été simple à corriger ils l’auraient gardé car ça reste génant d’appeler Orange pour ouvrir ou fermer un port, genre « ouvre moi ton port vnc 5 minutes »

enfin bon tant pis
Merci quand même pour votre aide !
Kurdt