Salut à tous,
Un de mes clients (PME de 30 personnes) a actuellement une liaison SDSL 8 Mb (SFR). Dans l'absolu elle ne fonctionne pas trop mal, mais il est arrivé quelque fois qu'elle coupe plus ou moins longtemps, et avec la dépendance que les entreprises ont aujourd'hui vis à vis de leur connexion Internet, inutile de dire que c'est la cata à chaque fois.
Nous avons donc pris la décision de prendre une connexion Internet de secours, à base d'un ADSL2+ (Orange Business). Pour le moment, en cas de coupure de SFR, la bascule est faite manuellement, ce qui fonctionne bien sûr très bien, mais je cherche à éviter toute manipulation manuelle pour cela, n'étant pas sur site tous les jours, et les users n'étant pas tout à fait aptes à cela .
Coup de chance, le Firewall existant gère le double WAN, il s'agit d'un Fortinet Fortigate 60B. Je configure les deux interfaces (un sur le routeur SDSL SFR, et une avec un modem ADSL2+ en PPOE), pas de soucis pour ça. Et là j'arrive dans le menu "ECMP Load Balancing Method" du Fortinet, avec 3 choix possibles :
1) Source IP Based : apparemment le Fortinet réparti les connexions sortantes sur les deux WAN, à chaque fois qu'un nouvel ordi local initie une connexion vers l'extérieur, avec donc 50/50 sur les 2 WAN. Pas intéressant dans mon cas car je veux que tout sorte par le WAN 1, sauf coupure totale du WAN 2.
2) Weighted Based : le trafic passe par tel ou tel WAN en fonction des règles définies et du "coûts" que l'on indique pour chaque route. Cette option ne semble pas adaptée non plus dans mon cas, je ne me vois pas faire des quantités des règles et indiquer des "coûts" sur les liaisons.
3) Spill-over : le Fortinet réparti le trafic suivant l'utilisation des WAN. Pareil, je ne vois pas trop comment m'en sortir avec cette option, je ne veux pas que des connexions sortantes passent tout à coup par le WAN 2 parce que qq'un télécharge un fichier sur la WAN 1.
Bref soit qqch m'échappe, soit je ne suis pas au bon endroit. Comment dire "tout passe par le WAN 1 sauf s'il est DOWN auquel cas on passe par le WAN 2 tant qu'il est DOWN" ?
Une fois ce problème résolu, j'ai déjà pas mal d'autres questions qui se bousculent : dans mon serveur DNS, j'ai indiqué comme redirecteurs les serveurs DNS de SFR. Mais si pendant une coupure SFR on passe par la liaison orange pour accéder à un nouveau site, mon serveur DNS local va envoyer la demande aux DNS SFR, qui ne répondront probablement pas à une demande provenant de Orange ? Auquel cas plus de nouvelles résolutions ? Il convient donc dans ce cas d'utiliser des DNS "ouverts", type OpenDNS ou les DNS Google ?
Deuxième point, la détection de WAN tombé, "Dead Gateway Detection". Par défaut j'avais mis le "saut suivant" comme adresse pour le PING qui vérifie que la connexion est UP. Problème, la passerelle peut très bien répondre sans que la liaison derrière ensuite fonctionne bien, c'est déjà arrivé plusieurs fois avec SFR, et ça ne me permet donc pas de détecter une coupure. La solution est donc de pinguer un serveur distant type google ou autre ? Ou c'est une mauvaise idée ?
De même par défaut il faut 5 coupures avec 5 secondes d'intervalle à chaque fois avant de décréter qu'un liaison est down, sauf que lors de ma dernière perturbation de service, dû à un engorgement du réseau opérateur, j'avais 1 ping sur 2 qui passait, ce qui empêchait de surfer, mais jamais le Firewall n'aurait pu détecter que la connexion était vraiment DOWN avec ce moyen... Je suppose qu'il n'y a pas de solution miracle pour ce cas particulier ?
Et enfin dernier point auquel je pense pour le moment dans ma réflexion profonde sur le double WAN : certains personnes de l'extérieur se connectent chez nous à un serveur FTP hébergé en interne, ou encore à un VPN. Comment se libérer de la contrainte de l'IP publique qui change si on passe d'une liaison à l'autre ? Un Dyn-dns se met-il à jour assez rapidement pour parer à ce type de bascule de connexion ? Ou y'a-t-il d'autres méthodes ?
Merci d'avoir lu jusqu'ici
---------------
Mario Kart for Ever