Voilà, j'ai un client qui a plusieurs machines, et un réseau.
Il possède également trois noms de domaine avec un serveur chez OVH.
Il utilise son propre NS + le NS OVH configuré en failover. Il possède un bloc /28 chez OVH (16 ip)
Ses noms de domaine sont de la forme NDD.tld1, NDD.tld2, NDD.tld3
Sa machine est configurée comme suis sous Xenserver :
host, enregistrée dans le NS OVH en tant que host.nomdelamachineovh.tldovh host.NDD.tld1 (reverse sur ip0) host.NDD.tld2 host.NDD.tld3  (accessible via port knocking + fail2ban en ssh uniquement, seules autorisée les addresses ip administratives OVH + ses deux IP fixes)
ns, enregistrée dans le NS OVH en tant que ns.nomdelamachineovh.tldovh ns.NDD.tld1 (reverse sur ip1) ns.NDD.tld2 ns.NDD.tld3  (accessible via port knocking + fail2ban en ssh et interface portail captif webmin, seules autorisée les addresses ip administratives OVH + ses deux IP fixes)
mail, enregistrée dans son NS et le NS OVH en tant que mail.nomdelamachineovh.tldovh mail.NDD.tld1 (reverse sur ip2) mail.NDD.tld2 mail.NDD.tld3  (accessible via port knocking + fail2ban en ssh pour la configuration, webmail disponible via squirrel, une redirection vers son ERP en local, seules autorisée les addresses ip administratives OVH + ses deux IP fixes pour l'accès ssh)
www1, enregistrée dans son NS et le NS OVH en tant que mail.nomdelamachineovh.tldovh mail.NDD.tld1 (reverse sur ip3) mail.NDD.tld2 mail.NDD.tld3  (accessible via port knocking + fail2ban en SSH, port knocking + fail2ban pour sftp, interface portail captif webmin, seules autorisée les addresses ip administratives OVH + ses deux IP fixes pour l'administration)
sql1, enregistrée dans son NS et le NS OVH en tant que sql1.nomdelamachineovh.tldovh sql1.NDD.tld1 (reverse sur ip4) sql1.NDD.tld2 sql1.NDD.tld3  (accessible via port knocking + fail2ban en SSH, port knocking + fail2ban pour sftp, interface portail captif webmin, lien configuré pour montage nfs sur www1 et son ERP local avec authentification asymétrique forte, seules autorisée les addresses ip administratives OVH + ses deux IP fixes pour l'administration)
Il a une machine cloudnas non virtualisée chez OVH enregistrée en tant que cloudnas.nomdelamachineovh.tldovh cloudnas.NDD.tld1 (reverse sur ip5) cloudnas.NDD.tld2 cloudnas.NDD.tld3  (portail captif webmin uniquement, lien configuré pour montage nfs sur www1 avec authentification asymétrique forte, seules autorisée les addresses ip administratives OVH + ses deux IP fixes pour l'administration)
 
Chez lui en local, il a deux FAI "résidentiels" avec ip fixe, sur l'un il peu configurer le reverse (free) sur l'autre non (orange).
Sur son réseau il a plusieurs machines, et il aimerait pouvoir contacter ses machines depuis l'extérieur en leurs attribuant un nom sur son domaine, qui corresponde a son leurs noms physique (nommachine.NDD.tld(x) ) le tout de manière sécurisée.
Il aimerait aussi virer la référence a ses IP fixes pour l'administratif de ses serveurs. Il aimerait transférer son ERP sur un hébergement extérieur. (actuellement en local, SQL via sql1), il aimerait une configuration moins portée sur le réseau et passer via bus internes pour les services sur la même machine physique (actuellement ses montages passant par l'internet, ça lui ampute sa bande passante)
Niveau interaction des services :
host, mail et ns envoient leurs log via demon syslogng vers une machine en local avec une configuration crade de chez crade (pof = la configuration de sa machine locale, et les box des FAI, si tout était sur le même domaine, ça serait plus transparent), rsync pour sauvegarde vers cloudnas.
www1 discute avec sql1 (nfs, a changer vers un bus de communication interne) et cloudnas (nfs interweb via SSH + authentification forte), log via syslog, rsync vers cloudnas pour sauvegarde.
sql1 discute avec cloudnas et www1, log via syslog, rsync vers cloudnas pour sauvegarde.
cloudnas discute avec un nas en local chez lui via rsync pour sauvegarde, son nas en local ressort tout sur bande.
 
Donc moi j'avais dans l'idée de :
-prendre une seconde machine chez un hébergeur quelconque et revoir son "plan machine" avec 2 machines hosts (host1 et host2), en services dessus j'aurais  sur host1 ns, mail, vpn, sur host2 www1, sql1, erp, je conserve cloudnas en l'état. Je coupe ssh + webmin depuis l'extérieur sur toutes les machines et je fait tout passer en local (avec conservation quand même des scripts de port knock + F2B), je garde le rsync vers cloudnas (mais via vpn cette fois ci), host1 et 2 ne seront accessible que via une adresse vpn, je laisse un accès administratif pour OVH sur le vpn. www1, sql1 et erp discuteront via xenserver
En local je passe tout sur un DC qui gérera le link avec vpn et je configure des noms dans le NS, reverse free pointé sur son DC local et une DMZ avec son DC + gros routeur qui va bien.
Mon soucis ici c'est d'avoir un routeur qui va bien pour gérer la DMZ, le VPN passthrough et le teaming/failover de ses deux lignes résidentielles.  
Faire une configuration "user friendly" (le client a des connaissances mais pas tant que ça) et surtout RFC friendly
Faire une configuration au moins aussi sécurisée que celle de mon client
 
En dernier recours si on y arrive pas avec des connexions résidentielles, le client accepterais de passer sur un fournisseur pro a condition de conserver une fibre optique + failover vdsl2 comme il a actuellement avec des gros liens sans que ça lui coûte un bras en débit/QOS
 
Précision : ce client a une boite d'infographie/webdesign et bosse@home, moi qui m'occupe de son "garage" depuis ses débuts, d'ou le fait qu'il soit en connexion résidentielles mais avec du matos pro, si vous estimez que ça n'a rien a faire en cat pro, je comprendrai (mais bon, vue la problématique <_< )
 
Les questions vous paraissent elles farfelues, vous feriez comment a ma place ?

Bon à la première lecture, les yeux encore collés du matin, et pas du tout sûr d'avoir compris le besoin : tous les serveurs chez Online (par exemple), connexions entre eux via RPN http://www.online.net/fr/serveur-dedie/rpn pour être tranquille (plus flexible sans dialoguer sur un réseau public) et tous les services en SSL/TLS, VPN si tu veux rajouter une couche (pas forcément nécessaire si tes services sont bien configurés).

Comme ça tu élimines les soucis de BP entre les machines, « juste » à garder deux connexions @home pour éviter de plus pouvoir bosser. L'autre avantage c'est qu'il pourra bosser de partout. Laisser un backup@home histoire d'être serein à 100%.

Une fois la conf en place, le client il modifie souvent son archi ? Si non, je vois pas de problème.

vrack chez OVH avec le block ripe, ça reviens au même qu'un RPN et j'ai mes services "pépères" en 10gbits.
Comme ça j'ai réseau externe, réseau VPN <=> vrack, avec la machine vpn en frontend pour son @home
les rsync passent par vpn pour l'extérieur, va "juste" falloir que je me démerde a changer les scripts et la config de routage.
Reste la question du routeur @home, et là ...  
Faut trouver un routeur dual wan, avec du gigabit minimum sur au moins 1 port wan, et un troughput VPN costaud, ça donne quoi un asr1001 ?

J'ai pas lu ton pavé mais pour cette question, ça donne qu'on l'utilise pour de l'ipsec chez nous
Pas moi qui en ai fait l'engineering ni les tests de perf, faudrait que je regarde s'il atteint le giga sans soucis, je te redis ça lundi si j'y pense

Ben me faudrait savoir si il absorbe 2 liens WAN (un VDSL et un FTTH), avec les box en mode bridge et sous quels protocoles (pas envie de faire du routage sur les box), savoir si il est capable de faire du failover. Et savoir si il atteins le giga sur de l'ipsec.
Question bonus : est-ce qu'il existe des modèles moins dispendieux qui répondent a ces critères ?