Un peu d'aide sur le choix du matos à prendre pour

Tu peux très bien faire communiquer tes VMs via un VPN, pas besoin du vrack.
Surtout que là les 2 vms sont sur le même serveur.
L'intérêt du vrack c'est d'avoir une carte dédié.

Merci pour ta réponse. J'ai bien vu le mode bridge IP pour permettre aux 2 Vms de communiquer avec internet. Mais comment je fais pour les relier entre elles? Je ne vois pas trop comment les mettre sous le même réseau... une autre carte réseau?

Ben les vms ont chacune leur IP publique via une IP FO.
Elles vont communiquer comme ça.
Mais pour les services Windows il faut les faire communiquer via un VPN c'est + sûr.

je suis en train de faire des tests.
Je peux aussi creer un commutateur virtuel interne pour qu'elle puisse dialoguer entre elles et un commutateur externe pour internet et le vpn non? Le commutateur externe sera sur l'ip FO

ça reste sur la même interface physique, tu fais comme tu veux...

Bonjour @HerveS9

Quelques éléments pouvant t'aider.

2 VM Windows serveurs (AD+RDS) sur 1 seul serveur

Jusque là ok, rien de sorcier...

le vrack est-il obligatoire pour faire le réseau entre les 2 VM?

Nope. Tes deux VM sont sur le même host physique. Du coup, tu peux les faire communiquer entre elles au travers d'un vRouter.
tu as toi même répondu à ta question :

Je peux aussi créer un commutateur virtuel interne pour qu'elle puisse dialoguer entre elles

Le vrack te serais utile si tu avais 2 serveurs physique distinct (ou instance public Cloud), pour les faire communiquer entre eux sur un réseau privé.

Sauvegarde par Backup OVH des 2 VM

Je suppose que tu fais un snap ou un backup et que tu l'exporte sur le backup FTP du dédié ?

J'ai bien vu le mode bridge IP pour permettre aux 2 Vms de communiquer avec internet. Mais comment je fais pour les relier entre elles? Je ne vois pas trop comment les mettre sous le même réseau... une autre carte réseau?

Idéalement, pour l'IP publique des VM, tu prends 2 IP failovers que tu configurent en bridge sur leurs interface publique (celle qui est physiquement raccordée à l'interface pub de ton dédié) :
https://docs.ovh.com/fr/dedicated/network-bridging/

pour la partie privée, dans ton hyperviseur, tu créé une seconde interface réseau que tu associe à un routeur privée interne.

Jalinn

Merci pour vos réponses, je vous explique ce que j'ai fait dans mon test pour le moment...

j'ai donc installé 2 VM en Windows Server 2012 sur un commutateur virtuel interne que j'ai associé à la passerelle du dédié. Aucun problème, j'ai bien pu installer les rôles sur les 2 serveurs, tout fonctionne correctement.

Que me conseillez-vous de mettre comme VPN sur mes 2 VM maintenant (gratuit ou payant)?

Pour la sauvegarde, je ne fais rien encore. Je veux essayer la Sauvegarde par OVH. Sur une autre VM ailleurs, je fais un snap que je récupère avec Barracuda Backup en local.

Perso en VPN j'utilise tinc : http://1vpn.org/vpn.org/
Multi plateforme, stable, vraiment très bien.

Mais ne se configure pas en 3 clics...
La config est très simple quand on a comprit comment ça marche :)

merci pour l'info, je vais regarder ce VPN que je ne connais pas

effectivement, pas si évident que cela à configurer, j'avoue que je patauge un peu... et l'aide sur le site officiel pour l'installation sur Windows n'est pas assez détaillé.
Sich, vous voudriez pas faire un petit tuto vu que vous dites que c'est très simple? :)

Sous Windows c'est assez pénible à configurer.

De mémoire, il faut installer le VPN, idéalement dans un nom de dossier sans espace, du genre c:\tinc

Je crois qu'il y'a un dossier tap dans l'install.
Il faut aller dedans et lancer add-tap (x64).

Cela va créer une carte rzo, il faut la configurer dans la config rzo prévue (du genre 10.0.0.1 / 255.255.255.0 par exemple. Nommer cette carte rzo "vpn" par exemple.

Il faut créer un dossier, par exemple vpn dans c:\tinc\vpn.
Et un dossier hosts dans le dossier vpn crée + tôt.
La carte rzo virtuelle crée + tôt doit porter le nom du dossier, ici dans l'exemple c'est vpn.

Il faut ensuite créer différentes config dans c:\tinc\vpn
- tinc.conf qui contient :
Name = host1
Interface = vpn
ConnectTo = host2

dans vpn\hosts un fichier host1 qui contient :
Subnet = 10.0.0.1/32
Compression = 0
Address =
Port = 655

puis en console avec droit d'admin faire :
c:\tinc\tinc.exe -n vpn -K

et valider 2x, ça va créer une clé privé dans c:\tinc\vpn\
Et compléter le fichier hosts1 dans hosts avec la clé publique.

Ensuite faire pareil sur le 2° "noeud" du VPN, mais utiliser host2, ip 10.0.0.2 et mettre un connect to host1.

dès que les 2 noeuds sont configurés et ont chacun leur clé privé / publique il faut copier le fichier host1 sur le pc host2 et inversement.
Pour que dans chaque install on ait dans le dossier hosts les 2 fichiers.

Puis sur les 2 dans un premier temps faire en admin :
c:\tinc\tinc.exe -n vpn -d3 -D

Histoire d'avoir la console et de voir ce qui se passe...
Dans la console on devrait voir les 2 vpn se connecter...

La carte rzo virtuelle devrait être UP et doit être pingable.
Il faut tester ensuite de pinger l'autre node sur le VPN pour voir si ça passe au travers.
En faisant les ping on devrait voir passer les paquets dans la console.

Si tout est ok un c:\tinc\tinc.exe -n vpn devrait installer un service pour faire tourner ça en automatique.

Mais tout ceci est de mémoire, je n'ai pas installé tinc sur Windows depuis pas mal de temps. Essaie de croiser les infos avec la doc...

merci beaucoup pour ton aide !

Dans mon labo, j'ai donc 2 VM en réseau local interne avec hyper-v avec windows Server et un domaine installé et une 2ème carte réseau avec des ip F.O
Mon vpn, je voudrais l'installer sur le 2ème windows server, pour que des clients externes puissent, après avoir installer un serveur RDP, le joindre de façon sécurisé en bureau à distance pour utiliser une appli métier.

Est ce qu'avec Tinc, je peux utiliser la même clé pour chaque serveur et est ce qu'ils pourront être connecté en même temps?

je suis assez novice en VPN, donc j'imagine que je dois utiliser les ip F.O pour configurer chaque noeud du vpn

merci encore

Alors en fait avec Tinc il n'y a pas de notion de client / serveur.
Chaque "node" est au même niveau que les autres.

Dans ton cas tu dois déterminer un réseau commun à toutes tes nodes.
Tu dois déterminer 1 ou 2 serveurs qui seront indiqué dans ConnectTo.
Mais en fait n'importe quelle node qui arrive à rejoindre le réseau connaitra tout le réseau car les nodes s'échangent les infos entres elles.

Si tu veux que tes clients puissent rejoindre ton réseau dans le VPN tu as besoin de plusieurs choses :
- Donner le fichier host au client du serveur qui sert de "serveur" dans le réseau.
- Récupérer le fichier host du client (celui qu'il va se créer de son côté) et le mettre dans le dossier hosts chez toi.
- Ouvrir le port 655 au moins sur le serveur pour que les personnes puissent s'y connecter.
- Après éventuellement configurer les parefeu pour que les clients ne puissent pas accéder au nodes des autres clients. Mais ça c'est au client de considérer la carte 'vpn' comme un réseau externe.

Car en fait comme je l'ai dit avec Tinc ce n'est pas un VPN à la "openvpn" avec un serveur bien distinct et des clients bien séparés. Si tu configures tout le monde sur le même réseau ben les nodes peuvent communiquer entres elles. C'est d'ailleurs ce qui est bien avec ce VPN.

Si jamais tu veux isoler tes clients tu dois créer des réseaux séparés sur le serveur, et là si tu as bcp de clients ça va vite être le bordel...

Le problème que tu vas avoir c'est pour configurer tinc chez les clients, sauf si tu le fais toi même :)
Bon le bon côté j'ai un jour configuré tinc pour une réseau d'agence immobilière... Une fois configuré ça tourne tout seul... C'est tellement stable...
Le service démarre comme n'importe quelle interface réseau et du moment qu'il arrive à se connecter au serveur ça fonctionne tout seul...


Il faut savoir que Tinc fonctionne avec une authentification par échange de clés. Par conséquent chaque node doit avoir sa propre clé qui détermine son identité...

Hello Sich,

un grand merci pour toutes tes explications. j'ai réussi hier à configurer un client/serveur avec un accès en RDP vers le serveur en 10.0.0.x. Effectivement, vu qu'il y aura une 15ène de clients, ça va devenir vite le bordel si il faut mettre 15 cartes rézo virtuelles sur le serveur !

Petite question quand même, tu dis qu'avec Tinc, tout le monde peut voir tout le monde, ça veut dire que tout le monde doit avoir la clé de tout le monde?
Que se passe t-il s'il n'y a que le serveur qui a toutes les clés?

Seul le serveur a besoin de toutes les clés, mais tous les clients ont besoin de la clé du serveur.
Par contre une fois intégré au réseau les nodes s'échangent les infos et peuvent communiquer directement entres elles.

En fait il faut simplement qu'une nouvelle node se connecte a une node déjà intégrée au réseau, et elle a accès au reste du réseau ensuite.

Par exemple avec plusieurs nodes.
A et B se connecte à C.
C et se D se connectent entres eux.
E et F se connectent à D.

Toutes les nodes pourront communiquer ensembles ensuite.
Tout du moins tinc va pouvoir échanger des infos avec les autres noeuds du réseau. Après il faut également que la config réseau soit ok de partout.

Mais pour ça qu'il est préférable dans ton contexte de considérer le VPN comme un réseau public et d'y activer un parefeu, c'est + sûr.
Et toi de n'ouvrir que les ports nécessaires sur le serveur.