Forum général.général Solution "audit" réseau et/ou prestation

Posté par .
Tags : aucun
2
28
oct.
2010
Bonjour à tous,

Nous sommes une petite association avec pas mal d'équipement informatique pour notre taille (20 aine de serveurs OS win / linux, 75 postes clients principalement winXP) réparti sur deux sites.

Depuis quelques temps, nous rencontrons pas mal de problèmes que nous attribuons (peut être à tord) au réseau. Les deux sites sont reliés par une connexion "vpn sécurisé point à point" de chez FT de 2 Mb d'un coté et de 1 Mb de l'autre.

Nos problèmes :
- Nous faisons passer de la visio sur cette fameuse connexion, ainsi qu'une synchronisation entre deux serveurs de fichiers, sans rien prioriser pour le moment. Quand ya plus de place, ça passe plus. Logiquement quand la connexion est sollicité pour une grosse synchronisation de fichiers, la visio en prend un coup. Ce qui n'est par contre pas normal c'est que la visio est parfois inutilisable ( perte d'image, artéfact sonores et tout le tralala ) même quand il ne se passe rien d'autres sur le tuyau.
- Nous avons un serveur de fichier dans chaque site qui se synchronisent à travers la connexion FT. Ils nous remontent au moins une fois par jour un message d’échec de connexion avec le serveur d'en face.
- Nos utilisateurs subissent des déconnections sur leurs postes client : comme si le câble était débranché qui durent en générale quelques minutes. Ca arrive 1 ou 2 fois par semaine.

C'est une collection de problème qui n'ont peut être rien à voir les uns avec les autres. D'après FT il n'y a pas de problème sur notre ligne. La bande passante consommé par la visio est de 256 Kb max.

Nous cherchons une solution à base de logiciels libres, nous aimerions éviter les "boites noirs" et nous ne sommes pas fermé à une prestation à condition qu'on nous forme sur la solution pour pouvoir l'utiliser ensuite.

On nous a déjà proposé Securactive NSS ( qui n'est pas libre ).

Il n'est pas vraiment question de chambouler toute l'architecture pour le moment, merci d'éviter les "pourquoi un vpn chez FT !? Autant le faire vous même sur votre connexion ADSL !" qui sera peut être la solution si on se rend compte qu'on a une coupure par jour sur notre vpn orange de la mort.
"Dis moi ce dont tu as besoin, je te dirais comment t'en passer" s'abstenir ! On essaie de faire marcher l'existant :-)

Merci pour votre aide, bonne fin de journée :)

Raph
  • # livebox et deconnexion une fois par jour

    Posté par . Évalué à 1.

    il fut un temps ou les livebox coupaient la connexion toutes les 24h (plus ou moins regulierement)

    je ne sais pas si c'est toujours le cas, mais c'est pour ca qu'on avait preferé prendre un autre FAI, ou simplement un autre modem/routeur.

    je ne sais pas si le VPN Orange utilise ou pas une livebox, mais imaginons que ce soit le cas,
    et tu as alors possibilité d'avoir 2 coupures par jour (une par extremité).

    ensuite suivant le prix du VPN Orange, et la distance à couvrir, il y a peut-etre d'autres solutions a etudier.
    • [^] # Re: livebox et deconnexion une fois par jour

      Posté par . Évalué à 1.

      Les solutions vpn MPLS d'orange sont livrés avec un routeur. On paye, entre autre, pour la haute disponibilité. Ils peuvent être un peu charlatant, mais de la à nous filer un matos qui reboot toutes les 24h ... :-)
      Comme précisé dans mon message d'origine, il n'est pas encore question de tout changer, mais plutôt de trouver l'origine des problèmes.
      • [^] # Re: livebox et deconnexion une fois par jour

        Posté par . Évalué à 2.

        Comme précisé dans mon message d'origine, il n'est pas encore question de tout changer, mais plutôt de trouver l'origine des problèmes.
        Payer un technicien Orange pour qu'il vérifie le paramétrage du VPN ?
        • [^] # Re: livebox et deconnexion une fois par jour

          Posté par . Évalué à 3.

          Payer un technicien Orange pour qu'il vérifie le paramétrage du VPN ?

          Les mêmes qui mettent les livebox pro en wep ou font un point d'accès ouvert pour les clients et laissent admin/admin en auth ?
    • [^] # Re: livebox et deconnexion une fois par jour

      Posté par . Évalué à 2.

      il fut un temps ou les livebox coupaient la connexion toutes les 24h (plus ou moins regulierement)

      Faux. C'est uniquement le bail DHCP qui expire et donc l'adresse IP qui change. C'est valable pour tous les FAI sans IP fixe.
      • [^] # Re: livebox et deconnexion une fois par jour

        Posté par . Évalué à 3.

        c'est bien une coupure de ligne à 24h pile, avec un clic caractéristique de perte de ligne de ma livebox, et l'adresse IP ne change pas en général (il doit bien y avoir renouvellement, mais cette partie est transparente)
  • # VPN, quelle techno ?

    Posté par . Évalué à 3.

    Bonjour,

    Quand tu parles de VPN securisé point-à-point de chez FT, c'est quoi ? Une connexion IP/MPLS ou un VPN type IPSEC sur l'Internet ?

    La techno fait une grand différence et peut être la source de tes ennuis (si c'est un VPN sur le Net).

    Pour voir ce qu'il se passe, je peux conseiller Nagios et Cacti qui avec l'emploi judicieux de SNMP et de scripts maison t'éclaireront sur les éventuels problèmes de fiabilité. l'outil Iperf peut t'être utile aussi pour vérifier les débits.

    Bref, il y a plein d'outils que tu peux utiliser.

    Bon courage
    • [^] # Re: VPN, quelle techno ?

      Posté par . Évalué à 1.

      Merci pour les conseils, je ne savais pas que Nagios pouvait nous aider dans ce cas (je ne connais pas l'outil).

      Il s'agit d'une connexion IP/MPLS chez FT.

      J'aimais bien la solution securactive nss : on branche la boite sur un switch en haut de la cascade, on le configure pour dupliquer tout le trafic qu'il voit passer et de la balancer sur le port de la boite. La boite fait des tonnes de logs et de stats et on interprète après quelques semaines.
      • [^] # Re: VPN, quelle techno ?

        Posté par . Évalué à 1.

        Pour faire un gros log, tu peux configurer un port d'un switch (si c'est du Cisco, les autres je ne sais pas mais ça doit être possible) en mode monitor et tu plug un ordi avec wireshark sur ce port. Cela te fait une sonde à peu de frais...
  • # Commencer par faire son audit à soi !

    Posté par (page perso) . Évalué à 5.

    Alors pour commencer faire un audit soi-même....D'après la description ca pue la congestion de routeur coté FT...

    Il y a un outil génial sous linux pour détecter ce genre de truc et tapper sur la tête de son FAI : mtr.
    Il est installé de base si la distro est pas trop vielle. Tu en fais tourner un a gauche, un a droite, sur 24h et ca devrait donner une bonne idée ( peut être même au bout de 2h ) !
    Pour l'affichage choisie "RS" pour avoit le nombre de paquet plutôt qu'un %...

    Après tu peux affiner, utiliser des outils plus avancés, mais c'est déjà un premier gros pas...

    Fuse : j'en Use et Abuse !

  • # differenciation trafic vers internet/ trafic vers l'autre site

    Posté par . Évalué à 2.

    d'apres ce qui a été echangé comme infos ci-dessus,

    comment se fait la distinction entre le trafic BureauA<->internet
    et le trafic BureauA<->BureauB

    tu as un routeur à toi avec deux cartes reseaux dont une avec une connexion internet autre que le IP/MPLS ?
    comme ca :

    Internet pour A
    |
    Routeur Bureau A <--> PCs du bureauA
    |
    Routeur MPLS
    |
    VPN
    |
    Routeur MPLS
    |
    Routeur Bureau B <--> PCs du bureauB
    |
    Internet pour B


    ou bien tout le monde passe par la meme sortie internet ?

    Internet (pour A et B)
    |
    Routeur Bureau A <--> PCs du bureauA
    |
    Routeur MPLS
    |
    VPN
    |
    Routeur MPLS <--> Routeur Bureau B <--> PCs du bureauB


    dans le cas ou tu as des routeurs perso avant d'aller sur internet ou vers le MPLS, tu peux aussi mettre iptraf ou iftop sur le routeur du Bureau pour monitorer qui fait quoi pendant les periodes de blocages
  • # KISS

    Posté par (page perso) . Évalué à 1.

    Tu peux activer un port mirroring sur tes switchs
    et envoyer ça vers une sonde ntop,

    => prendre un pinguin avec 2 cartes réseaux, en prendre une pour se connecter !, l'autre pour recevoir le traffic du port mirroré (celui du routeur)

    => pour le sniff : mettre juste l'interface du linux en Up et pas d'ip dessus


    => après un petit tcpdump sur le flux mirroré, de temps en temps fait pas de mal aussi !

    Nicolas

    PS: si pas de mirroring dispo dans tes switchs, bah prendre un pinguin et faire un pont ethernet avec, que tu places entre le routeur et le switch ..., et au pire du pire, placer un HUB
    PS2: oui j'utilise des mots pas
  • # Et après ???

    Posté par . Évalué à 2.

    si tu veux prioritiser facilement tes flux, il te suffit d'utiliser la commande tc, avec l'utilisation d'une prio (un très bon howto pour tout ça, assez long à lire toutefois : http://www.linux-france.org/prj/inetdoc/guides/Advanced-rout(...) )

    (on utilise souvent des priorité pour séparés les fluxs ayant des contraintes fortes : d'abord téléphonie/audio , ensuite vidéo/visio, et enfin data
    Les autres partages de bandes passantes sont souvent utilisés par des réservations et quota (file htb/sfq/... etc...))
    ).

    Il te "suffit" de mettre un pc en coupure entre ton routeur mpls et et ton sous réseau pour le faire.

    Ps : on ne sait bien prioritiser que les flux sortants.
    Les flux rentrants étant plus ennuyant.
    Il faudrait donc, pour mettre cette solution en place, deux "pc" : chacun derrière un routeur mpls.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.