Citation :
Les clients sont pour l'instant programmés pour accéder aux programmes serveurs par une ip privé (pour leur serveur local) + IP Public (avec un PAT).
|
Ok, je vois. Bah, c'est une solution...
Citation :
Alors que perso, j'aurais mit un VPN et 2 ip privée.
|
Ouaip... Une autre solution, dans le cas où il n'y a besoin de rediriger que quelques ports connus, c'est d'utiliser un truc comme STunnel (des binaires existent pour Windows) : on peut crypter les communications et on n'a plus besoin de faire du PAT sur les routeurs Linux/Windows (ce sont eux qui exécutent STunnel et qui redirigent les requêtes vers les serveurs internes)
Citation :
Donc chaque client qui lance une requete en local aucun prob, mais quand leur requete arrive sur le site distant, il ouvre une connection qu'il ne ferme pas !!!!
|
Je crois que ça n'est pas vraiment que la connexion est ouverte (voir sur les serveurs : certaines de ces connexions n'existent plus, non ?), c'est surtout que le routeur retient les connexions qui ont été établies à un moment donné et les garde en mémoire un certain temps, c'est tout.
Citation :
Au finish, à 12h00 j'ai plus de 1500 connections ouvertes...
|
Bah... Je ne sais plus quel est le maximum d'entrées pour le module conntrack avec les noyaux 2.4 ; ça n'est pas 16 ou 32000 ? je trouve plus l'info... Et même de toutes façons, il me semble que si la table est pleine, le noyau va se débrouiller pour supprimer les entrées les plus anciennes. Puisque c'est un routeur, c'est son rôle de faire ce genre de suivi, donc pas de problème a priori.
Par contre s'il y a des problèmes de performance, il faut voir que chaque entrée consomme un certaine quantité de RAM (entre 512 octets et 8 ko, à vérifier là aussi), donc il est souhaitable d'avoir 256 Mo de RAM si cette table grandit.
Un autre problème peut survenir si la table est remplie _et_ que _toutes_ les connexions sont effectivement utilisées : les utilisateurs dont la connexion aura été supprimée sur le routeur vont perdre l'accès au site distant... (ça, ça se voit facilement, les utilisateurs vont venir se plaindre que "ça marche pas" et que l'équipe réseau n'en rame pas une...)