IPLB et deux serveurs VPN

Bonjour,

Il n'est pas possible de placer des serveurs derrière une IPLB à travers un VPN. Cependant, il sera bientôt possible de placer des serveurs présent dans un VRack. Vous pourrez alors utiliser certains de vos serveurs pour servir de 'pont' entre IPLB et votre VPN.

D'accord merci,

il n'est pas possible de placer en tête de réseau (dans vRACK) les deux vpn reliés à IPLB ? (une fois la mise à jour entre vRACK et IPLB faite)

Quel est ton but avec le VPN sur une IP LB ?
Assurer la redondance au cas où un host du vpn tombe ? Assurer une répartition de charge ?

Dans ton VPN chaque host aura forcément sa propre IP qui déterminera ensuite le routage...
Enfin tout dépend du type de vpn que tu veux mettre en place.

Quelle est la solution VPN que tu souhaites mettre en oeuvre ?

Mon but est d'assurer la redondance au cas ou un host vpn tombe et assurer aussi un répartition de charge.

Je pensais prendre Openvpn... (après si il y a une solution gratuite qui est mieux adaptée, je suis preneur).

Je présume que le but est de connecter ton LAN avec le vrack des serveurs.
Pour ce genre de config j'utilise tinc qui est parfait pour interconnecter des réseaux.
Il est possible de déclarer plusieurs "serveurs" auxquels se connecter, ce qui fait que dans ton cas tu déclares les 2 serveurs et même si l'un est down le vpn se connectera.

Par contre ça ne fera pas le boulot de répartition de charge.
Pour cela il faudrait d'avantage regarder au niveau de la config réseau. Définir 2 routes pour le même sous réseau via les IP des deux serveurs. De là les paquets IP prendront les routes disponibles.

Il doit y avoir des solutions logicielles pour équilibrer les flux entre 2 GW pour un même sous réseau. Mais le facteur limitant sera de toute façon la connexion internet du LAN, pas la connexion des serveurs.

Mais en gros si j'ai bien suivis on a :
Lan <> VRACK.
Et la communication entre les deux se fait via un VPN qui aura son propre plan d'adressage.

En cas de plusieurs LAN différents tinc gère ça très bien. Chaque "noeuds" du vpn déclare son propre réseau disponible localement. Et les connexions se font en direct (du genre si LAN A veux parler à LAN B pas besoin de passer par les serveurs OVH).

Par contre tinc ne gère pas le routage, il ne fait que créer une carte réseau virtuelle, à toi ensuite de définir les routes qui vont bien.

Il est possible aussi de déclarer le même sous réseau entre le LAN et le VRACK et de configurer tinc en mode "switch", et là même les paquets en broadcast passeront dans le VPN, comme un lan local.
Dans ces conditions pas besoin de route à définir puisque le VPN se comporte comme un simple switch par contre il faut configurer un pont entre la connexion LAN et le VPN.

Merci de la réponse, avec TINC si je comprend bien, je n'ai pas besoin de mettre un serveur VPN entre le serveur d'authentification et le client ? j'installe TINC sur mes deux serveurs d'authentification pour la haute dispo ?

Du coup de connecte tout le reste du vRack au serveurs d'authentification ?

et pour le mode switch : il faut configurer le pont entre la connexion LAN et VPN sur quelle partie du réseau ?

ps : Je suis débutant, j'ai donc des questions parfois simple pour un expert.

Si je comprends bien tu as un VRACK chez OVH et un LAN local.
Tu veux pouvoir accéder à ce VRACK depuis ton LAN.

De là il te faut effectivement un VPN.

Donc on a le LAN qui a son propre plan IP. Le VPN a son plan IP. Le Vrack a son plan IP.

Sur les serveurs membres du VRACK tu en configures 2 avec tinc.
Sur ton LAN il te faut une machine / routeur qui a aussi tinc (ou alors installer tinc sur tous les postes du lan). Un petit raspberry peux faire l'affaire, tout dépend du volume de communication.
On peux se passer de ce routeur si tu installes tinc sur tous les postes du lan. Mais pas forcément pratique à faire vivre en cas de visiteurs externes par exemple.

Sur les machines membres de ton VRACK tu déclares 2 routes :
- Une route vers le plan IP du VPN qui passe par les 2 serveurs qui ont tinc d'installé (tu déclares l'ip du vrack comme passerelle). Les machines qui ont tinc ne sont pas concernées par cette route.
- Une route vers le plan IP de ton LAN qui passe par l'IP VPN du routeur sur ton LAN. (le routeur qui a tinc).

Sur le routeur du LAN tu dois déclarer 1 route. Celle du plan IP du vrack qui passe par l'un des deux serveurs qui a tinc d'installé (tu utilises l'IP sur le VPN comme GW).

Si le routeur qui a tinc n'est pas la passerelle par défaut, tu dois déclarer 2 routes sur ta box qui fait passerelle internet.
Une route vers le plan IP sur le VPN qui passe par l'IP LAN du routeur VPN dans ton LAN.
Une route vers le plan IP Vrack qui passe par l'IP VPN des deux serveurs ovh avec tinc.



Si tu pars en mode swtich. L'avantage étant que ton réseau se comportera comme un seul réseau physique. Attention ce n'est pas forcément conseillé car tous les paquets vont passer, y comprit les broadcast, les paquets DHCP, etc.
Mais dans ce cas là, sur ton routeur dans ton LAN avec tinc. Tu configures un pont réseau entre la connexion du VPN et la connexion du LAN. Et tu attribues une IP de ton lan à ce pont.
Sur les deux serveurs qui ont tinc d'installé, tu fais un pont entre tinc et la connexion sur le vrack.
Et tu attribues une IP du vrack a ce pont.

De là pas de problème de routage, vu que c'est le même plan IP entre le vrack et le lan (attention à bien avoir une IP unique pour chaque équipement). Bon je n'ai pas testé le vrack, donc je ne sais pas trop comment il va se comporter avec ça.


Tout du moins c'est comme ça que je ferai, peut être qu'il existe des solutions plus simple.
Tout dépend du nombre de machines sur le lan et dans le vrack. Si c'est fixe ou si ça doit évoluer dans le temps.
Tu peux aussi installer tinc sur tous les serveurs et ne pas utiliser le vrack.

Bref il y'a tout un tas de variantes possibles...

Mais dans tous les cas pas besoin d'avoir des serveurs qui ne font que gérer le VPN... Sachant que tinc fonctionne sur linux ou windows (même mac je crois).

Ha vi j'oubliais, évidemment il faut activer l'ip fowarding sur les machines qui gèrent le routage (les serveurs avec tinc et le routeur sur le lan).

Bon ça peux paraitre compliqué mais en fait c'est vraiment du routage de base, tinc ne faisant essentiellement que créer une carte réseau virtuelle et cryper les communications sur cette carte. A toi de gérer la partie filtrage / routage derrière.

Ton idée a l'air pas mal, mais ne convient pas du tout pour l'utilisation que je veux faire :

des ordinateurs feront des vas et viens : (tout sera automatisé par un site web et il faudrait que l'utilisateur ai un minimum de choses à faire)

en gros il faut que deux sites distant soient reliés et que en même temps que n'importe quel collaborateur puisse intégrer le réseau en suivant une procédure assez simple.

Je pense que la solution serait d'utiliser tinc en switch mais il ne faut pas que ce soit compliqué de créer un pont entre les deux réseaux et que ce soit assez simple à enlever pour éviter de faire du support aux personnes qui ne collaborent plus.

L'utilisateur pourrais installer lui même le VPN, l'intégrer au domaine qui lui ai réserver, le serveur DHCP lui donnerais une IP et dès qu'il se connecte avec sa session il aura les documents du groupe, et il peut avoir aussi accès a sa machine locale avec internet sans passer pour le réseau pro...

Les deux DNS serait les deux serveurs d'authentification (un principale et un secondaire).

ben si ça convient parfaitement.
N'utilise pas le mode switch dans ton cas.

Mais tu as 3 LAN au final.
Les 2 LAN locaux puis le VRACK (tu as d'autres serveurs en dehors des deux serveurs dans le vrack ?)

Tu configures un petit routeur tinc sur chaque LAN.

Et à ce moment là quand un user arrive sur ton LAN il récupère une IP du LAN local via le DHCP et peux se connecter à l'autre LAN sans soucis. Et se connecter aux serveurs bien entendu.

Mais comme dit, pas de mode switch. Car les paquets dhcp d'un lan vont aller mettre le bazar sur l'autre lan...

Comment sont gérées les connexions au net depuis les 2 lan ?
De simple box ?

Je pense ne pas prendre de vRack...

Je vais prendre deux serveurs avec des VM dedans et configurer mes deux VM d'authentification (le AD de Linux...) qui seront les "Hôtes" du VPN. chaque VM auront leurs hôte en serveur VPN principale et l'autre hôte en auxiliaire.

ensuite chaque users devront installer les logiciels et configurer le réseau (domaine, paramètres du VPN).

avec ce système il y a besoin de modifier les box internet ? (ce sont des box standard);

il se peut que dans le futur il y ai des serveurs externes.

(désolé des fautes, je suis dans une position hyper désagréable)

Si le but est d'accéder uniquement aux serveurs depuis le poste client alors une install sur le poste client suffit.
Mais configurer le vpn sur chaque poste par l'utilisateur me semble impossible (du moins avec tinc). Car il y'a un échange de clé à faire...

Si il faut accéder aux 2 lan depuis les clients ça ne marchera pas non plus...

Concernant les box il faut voir si on peux y ajouter des routes statiques. Si ce n'est pas possible il faut ajouter les routes sur les postes clients, ou changer la default gateway.

Oui, le but est d'accéder uniquement aux serveurs.

et pour l'échange de clés,l'utilisateur se connecte à l'intranet, demande la clé (la clé sera nommée avec le nom de la session) et un bouton télécharger apparaîtra et il pourra les récupérer.

(commande envoyée au serveur en ssh avec récupération de la clé selon l'identifiant de l'utilisateur)

Je peux mettre quoi en Gateway, car je veux éviter à tout prix de toucher à la box.

Il faut aussi envoyer la clé de l'utilisateur sur le serveur (c'est un échange de fichier). Clé qui devra être crée au préalable.

Pas de GW si chaque utilisateur a le VPN et si tous les serveurs auxquels ils doivent se connecter ont le VPN.

Mais si la question n'est plus de connecter plusieurs réseau ensembles, mais uniquement d'accéder à un serveur via un VPN alors je ne pense pas que tinc soit le plus adapté. OpenVPN le sera peut être un peu +. Mais je n'ai pas trop d'expérience sur cette solution logicielle.

Oui, mais je ne sais pas si OpenVPN peut paramétrer deux serveurs pour pouvoir gérer la haute disponibilité.

Vi, mais travailler sur des réseaux sans toucher aux routeurs c'est compliqué aussi...
Moi à ta place je poserai un raspberry sur chaque lan pour faire le routage entre le vpn et les lans.
Après tu peux toujours ajouter une route statique sur chaque poste client via tes scripts pour pouvoir accéder au vpn ou à un autre lan.
Ainsi pas de config du vpn sur les postes clients et c'est beaucoup plus simple.

Mais pour ça il faut que ce soit toujours les mêmes lan. Si il y'a des utilisateurs itinérants qui doivent se connecter depuis un hotel ou de chez eux ils devront avoir le vpn d'installé sur leur poste.

Quand à openvpn aucune idée de son fonctionnement précis.

Open VPN : il n'y a pas d'échange de clés (http://blog.nicolargo.com/2010/10/installation-dun-serveur-openvpn-sous-debianubuntu.html) juste des fichier a placer chez le client et les routes sont intégrées au serveur.

C'est parfait pour moi mise à part la haute disponibilité...

Dans ce cas il faut se pencher sur openvpn
https://www.1computing.net/wiki/index.php/OpenVPN/High-Availabilitycomputing.net/wiki/index.php/OpenVPN/High-Availability

Adding additional --remote lines to the OpenVPN client config will allow the client to cycle through possible servers.

J'ai trouvé !

Je vais utiliser openVPN (serveur) sur mes deux serveurs d'authentification (samba) avec le Logiciel HeartBeat qui permet la haute disponibilité (et la possibilité d'ajouter d'autres serveurs d'authentification et VPN en cas de développement croissant d'activités au seins de l'entreprise)

Et le reste des machines virtuelles seront déployées sur le VPN.

Et ce qui concerne le client il devra télécharger sur l'intranet un fichier zip et lancer un exécutable qui installera plusieurs logiciels (OpenVPN, OCS...) a la fin de la procédure d'installation client il téléchargera les clés qui lui sont fournis par le serveur via un script automatisé (il faudra les places dans le fichier de configuration d'openVPN)

J'essaierais d'automatiser un maximum l'installation coté client.

https://doc.1fr.org/tutoriel/mirroring_sur_deux_serveursfr.org/tutoriel/mirroring_sur_deux_serveurs

ps: je vais test en ajoutant une ligne remote pour voir si c'est bien gérer derrière, parce que je ne pense pas que le "serveur secondaire" face parti du même VPN, on dirais plus un VPN de secours. Et aussi voir comment sont géré les certificats : par exemple si le serveur vpn1 tombe, le deux prend le relai mais sans certificats...

En tout cas merci pour ton aide !