Salut à tous!
Je signale déjà que je depuis un certains temps je ne reçois plus de réponses à mes sujets postés. Pourtant notre forum regorge d'expert dans le domaine où je suis coincé.
Je vous prie vraiment de m'aider cette fois comme par le passé.
En fait , j'ai Endian firewall comme pare feu interne sur mon réseau, qui gère en même temps les connexions VPN (OpenVPN).
Alors ma problématique est la suivante:
Nous avons aujourd'hui deux FAIs, donc deux liaisons internet, avec une principale et une de secours. Seulement mon but est que les deux liaisons soient utilisées en temps réel, au lieu d'attendre qu'une se coupe avant qu'on active l'autre.
J'ai ainsi envisagé mettre sur pied une infrastructure de haute disponibilité et d'équilibrage des charges sur les liaisons internet qui n'ont pas en fait la même bande passante.
J'ai donc installé une Debian toute fraîche et j'y ai configuré le routage séparé, les routes par défaut et le loadbalancing; avec un script pour le failover, qui balance automatiquement tout le trafic sur une seule liaison en cas de rupture de la première. J'ai testé le fonctionnement de mon routeur et tout marche bien, maintenant je dois le mettre en production en tenant compte de l'existant.
Alors:
-J'ai mon serveur Endian déjà configuré comme proxy, qui gère la sécurité des utilisateurs internes sur un réseau 192.168.100.0/24 et fait aussi office de serveur VPN pour mes utilisateurs externes.
-La carte externe du serveur Endian est pour le moment sur un adresse publique car c'est lui qui gère également les connexion des utilisateurs vers internet (Le routeur Debian n'étant pas encore en production, juste en test)
-Je dispose également d'une plage d'adresses publiques qui m'a été donné par le 1er FAI pour mes serveurs internes derrière mon Endian accessibles depuis l'extérieur, et donc pour chaque serveur local possédant une adresse privée, j'ai fait un DNAT sur une adresse publique que mes utilisateurs utilisent depuis l'extérieur pour accéder au serveur.
-Aujourd'hui j'ai un deuxième fournisseur d'accès internet avec une nouvelle et deuxième plage d'adresses publiques.
-J'aimerais ainsi mettre mon routeur Debian à l'entrée de mon réseau qui fera du lodbalancing sur mes deux liaisons internet. Il aura ainsi deux interfaces externes
-Je n'ai pas de réel problème pour configurer le NAT, ou le loadbalancing/failover(j'ai déjà un script à cet effet qui fonctionne bien), mais mon problème c'est comment placer mon routeur et mon firewall Endian sur mon réseau pour que, tout comme les utilisateurs internes utiliseront les deux liaisons pour aller sur le net, que mes clients externes accèdent à mes serveurs internes en passant par l'une ou l'autre des interfaces externes de mon routeur.
Je veux en fait que les règles d'accès au serveurs internes derrière le pare-feu Endian soient régies par celui-ci(Endian), et que le routeur se charge simplement de véhiculer le trafic entrant et sortant, bien entendu il devra être sécurisé car sera en permanence attaqué. Mais il doit pouvoir faire passer les requêtes des clients externes, jusqu'au pare-feu qui les achemine ensuite vers les serveurs sollicités, que la requête vienne d'un client http, ftp ou vpn.
Alors voici mes question chers membres?
-Pourrai-je avec cette nouvelle configuration, toujours assigner mes adresses publiques à mes serveurs locaux par DNAT?
-Où et comment dois-je faire mes redirections? Qu'est ce que je fais sur le routeur, et qu'est ce que je fait sur le firewall Endian?
-Comment je les dispose? Dois-je mettre une ou des adresses publiques sur le firewall Endian?(Puisqu'il fait aussi NAT et si le routeur est entrée comme je prévois il aura deux adresses publiques pour les deux FAIs)
-Si avec votre approbation je peux utiliser le routeur Debian et le firewall Endian, comment je permet la connexion de mes clients VPN au serveur VPN qu'est Endian?
(Avec Endian seul, le client a l'adresse privée de la machine locale et l'adresse publique du serveur Endian comme serveur VPN, mais là j'aurai non seulement deux connexion internet mais un routeur devant le serveur vpn)
-Si vous trouvez mieux de tout faire sur une seule machine (routage, NAT, proxy), et donc de maintenir uniquement Endian où je ferai mon loadbalcing, il aura désormais deux interfaces externes vers les FAIs. Comment je gère dans ce cas les connexions entrantes via les deux interfaces externes, les vpn etc....
Je dois mentionner que mon casse-tête est aussi et surtout c'est comment utiliser les deux adresses réseaux publiques pour les connexions depuis l'extérieur; pour le trafic sortant ce n'est pas un souci.
Je vous prie de m'édifier sur la question, je suis un peu confus devant la complexité du problème et quant l'option à adopter, mais je sais qu'en principe ça devrait marcher, j'ai toutefois besoin de ton coup d'éclair.
Je ne demande pas forcément les commandes à exécuter, je veux simplement une explication théorique et technique, me donnant la meilleur option pour utiliser mes ressources internet (les deux liaisons), et permettre un accès sécurisé à mes postes depuis l'extérieur.
Je m'excuse pour la longueur de mon message précédent. J'espère que tu pourras m'apporter à ton niveau ton aide.
J'ai joint un schéma pour vous présenter l'architecture réseau que j'envisage en mettant mon routeur Debian à l'entrée. je ne sais pas si elle cadre avec la situation que j'ai exposée ici, et je vous prie de me donner vos avis et de me faire vos propositions.
Uploaded with ImageShack.us
Merci infiniment de me dire quelque chose chers membres.