Bonjour,
J'ai crée un environnement (de labo pour l'instant) dans lequel un réseau de serveur est protégé par deux firewalls redondant. Chaque serveur et les firewalls tournent sous Debian Lenny. Les serveurs sont donc connectés à deux réseaux, le réseau de management et le réseau de production. Le management doit être joint via une adresse ip publique et donc le traffic doit passer dans un VPN.
Le VPN doit donc être absolument redondant, si il se casse la tronche, je perd la main sur mes serveurs. Je veut donc avoir un VPN sur chaque firewall. Les firewalls utilise Keepalived et conntrackd, l'un est backup et l'autre master. Le système est conçu (et testé) pour qu'on ne perde pas sa connexion en cas de changement de firewall.
Étant donné cet environnement, que me conseilleriez vous comme solution de VPN ? OpenVPN, OpenSWAN, pptpd ? Je cherche surtout maintenant à partir sur la bonne piste, aussi, si vous avez des liens vers un howto, ce serait génial.
Merci d'avance,
Forum général.cherche-logiciel Système de vpn redondant
6
nov.
2009
# Tout simplement.
Posté par Grunt . Évalué à 1.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Tout simplement.
Posté par PLuG . Évalué à 1.
[^] # Re: Tout simplement.
Posté par maxix . Évalué à 2.
Il existe aussi un mode de connexion avec openvpn ou l'établissement de la connexion est mutuel (ie pas besoin d'attendre le timeout pour que la connexion se relance, pas de schéma client-serveur), mais la conf sera plus barbare.
# Pas OpenVPN
Posté par Barnabé . Évalué à 0.
Je ne confierais pas une partie aussi sensible d'une infrastructure à un projet dont la dernière release stable date de 2006, dont la release suivante est codée par un gars tout seul, et dont le bug tracker est introuvable.
[^] # Re: Pas OpenVPN
Posté par Barnabé . Évalué à 3.
Il a un gros avantage sur OpenVPN : il n'est pas centralisé. Il établit des liens automatiquement entre les membres du VPN et établit les routes dans le VPN, ce qui permet une redondance naturelle. Il est au choix de niveau 2 ou de niveau 3. Son défaut est une gestion des certificats trop jeune, mais cela ne pénalise pas un réseau dont tous les nœuds sont administrés par la même personne.
Pour le tutoriel : http://www.linux.com/archive/feature/131343
[^] # Re: Pas OpenVPN
Posté par Henry-Nicolas Tourneur (site web personnel) . Évalué à 1.
Je vais donc m'empresser d'aller voire du côté de tinc.
Je regarderai ça lundi au boulot, mais au moins j'ai une bonne orientation maintenant, merci.
[^] # Re: Pas OpenVPN
Posté par Yves Agostini (site web personnel) . Évalué à 5.
http://sourceforge.net/tracker/?group_id=48978&atid=4547(...)
et les mailing listes semblent très actives pour un projet mourant
[^] # Re: Pas OpenVPN
Posté par Barnabé . Évalué à 1.
Pour l'activité du projet, je persiste.
$ svn log http://svn.openvpn.net/projects/openvpn/trunk/openvpn | head -2 | tail -1
r1435 | james | 2006-11-08 02:08:55 +0100 (mer. 08 nov. 2006) | 3 lignes
Pour la future release, on se fait une bonne idée de l'activité avec
svn log --stop-on-copy http://svn.openvpn.net/projects/openvpn/branches/BETA21/open(...) | grep -A 1 -- --- | grep ^r
# Sasyncd
Posté par Hobgoblins Master (Mastodon) . Évalué à 2.
Je pense qu'ipsec est une bonne solution, même si sasyncd ne semble pas avoir été porté sous linux, vu ta conf, il devrait juste y avoir une renégo du tunnel lors de la bascule (c'est à tester, peut-être à forcer dans un script lancé par keepalived).
# http://e-x-a.org/?view=cloudvpn
Posté par Stephane COLIN (site web personnel) . Évalué à 1.
http://linuxfr.org/forums/41/27470.html
A++
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.