Tolérance de panne sur accès Internet.

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Tolérance de panne sur accès Internet.

Philippe Schwarz
Bonsoir,
voila mon objectif :
Rendre l'accès internet de mon établissement un peu plus tolérant aux
pannes de FAI :
Architecture actuelle: plusieurs centaines de client sur un LAN,
quelques serveurs sur une DMZ, puis un routeur avec ligne ADSL sans GTR.

Il s'agit de remplacer le contrat ADSL sans GTR par un contrat avec GTR.
Comme j'ai un peu de sous, je souhaiterais passer à 2 lignes ADSL chez
le même FAI (voir + loin pourquoi) avec deux routeurs ADSL et une
machine avec 3 pattes :
1 patte sur chaque routeur et une sur la DMZ.
(le s.p.o.f. constitué par le routeur serait susceptible d'évoluer avec
carp/pfsync sur deux machines).

Je ne vois aucun souci coté client, mais plutôt côté DMZ :
Que se passe-t-il en cas de perte d'une ligne ?
Plus précisement:
Comment se passe le routage avec 1 puis 2 lignes?
Comment se passe l'adressage DNS ?

A priori je pense ne pas avoir de souci pour le routage :
http://openbsd.org/faq/pf/pools.html#outgoing

Je ne pense pas en avoir non plus pour l'adressage:
Comme il s'agit de deux lignes chez le même FAI, je peux avoir des plans
d'adressage en IPv4 publiques contigûs.(C'est pour ca que je prend le
même FAI) et avoir le même bloc d'IP routé par le FAI quelle que soit la
ligne qui marche; pas de chagement d'IP, pas de changement
d'enregistrement DNS.

Bref, je pense que ca devrait marcher.....

Pas besoin d'ifstated, pas d'ospf,...ca semble simple.....Trop ?

Quelqu'un voit-il une faille dans la démarche ?

Merci d'avance.
Cordialement.

--

- Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
- Ex Mission académique TICE,Rectorat de Créteil
Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Julien Cabillot
Je suis pas un expert mais ya un truc à noter je crois: c'est que tu
souhaites prendre 2 abonnements adsl chez le même fournisseur pour être plus
tolérant aux pannes, mais le soucis c'est que c'est 2 lignes vont surement
faire le même trajet, même gaine, même infrastructure une fois chez le FAI.
Le seul point qui sera réellement "protégé" c'est celui du modem, si le
modem tombe en panne l'autre prends le relai. Donc mon avis c'est, en
fonction de tes besoins: 2 abonnements GTR chez des fournisseurs différents,
soit un abonnement GTR + un abonnement "grand public" en secours.

Ensuite:
>Je ne pense pas en avoir non plus pour l'adressage:
>Comme il s'agit de deux lignes chez le même FAI, je peux avoir des plans
>d'adressage en IPv4 publiques contigûs.(C'est pour ca que je prend le
>même FAI) et avoir le même bloc d'IP routé par le FAI quelle que soit la
>ligne qui marche; pas de chagement d'IP, pas de changement
>d'enregistrement DNS.

Y a quelque chose qui me titille, tu parle d'un bloc d'adresse IP routé par
ton FAI vers toi ... ok, mais là ton FAI avec 2 lignes différentes ne sera
pas ou router les paquets qui te sont destinés.
A mon avis sans protocole de routage, c'est pas possible.


(je suis encore étudiant dans le domaine des réseaux, j'ai pas encore eu
l'occasion de mettre ce genre de trucs en pratique, donc je me trompe peut
etre hein)

On 5/10/07, Philippe Schwarz <[hidden email]> wrote:

>
> Bonsoir,
> voila mon objectif :
> Rendre l'accès internet de mon établissement un peu plus tolérant aux
> pannes de FAI :
> Architecture actuelle: plusieurs centaines de client sur un LAN,
> quelques serveurs sur une DMZ, puis un routeur avec ligne ADSL sans GTR.
>
> Il s'agit de remplacer le contrat ADSL sans GTR par un contrat avec GTR.
> Comme j'ai un peu de sous, je souhaiterais passer à 2 lignes ADSL chez
> le même FAI (voir + loin pourquoi) avec deux routeurs ADSL et une
> machine avec 3 pattes :
> 1 patte sur chaque routeur et une sur la DMZ.
> (le s.p.o.f. constitué par le routeur serait susceptible d'évoluer avec
> carp/pfsync sur deux machines).
>
> Je ne vois aucun souci coté client, mais plutôt côté DMZ :
> Que se passe-t-il en cas de perte d'une ligne ?
> Plus précisement:
> Comment se passe le routage avec 1 puis 2 lignes?
> Comment se passe l'adressage DNS ?
>
> A priori je pense ne pas avoir de souci pour le routage :
> http://openbsd.org/faq/pf/pools.html#outgoing
>
> Je ne pense pas en avoir non plus pour l'adressage:
> Comme il s'agit de deux lignes chez le même FAI, je peux avoir des plans
> d'adressage en IPv4 publiques contigûs.(C'est pour ca que je prend le
> même FAI) et avoir le même bloc d'IP routé par le FAI quelle que soit la
> ligne qui marche; pas de chagement d'IP, pas de changement
> d'enregistrement DNS.
>
> Bref, je pense que ca devrait marcher.....
>
> Pas besoin d'ifstated, pas d'ospf,...ca semble simple.....Trop ?
>
> Quelqu'un voit-il une faille dans la démarche ?
>
> Merci d'avance.
> Cordialement.
>
> --
>
> - Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
> - Ex Mission académique TICE,Rectorat de Créteil
>



--
Julien Cabillot
Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Guillaume "Zifro" DESRAT
In reply to this post by Philippe Schwarz
Première question : tu es admin dans un lycée et on ne t'impose pas la
passerelle Amon ? Elle n'existe plus ?

Sinon, à la lecture de ton mail, je ne pense pas qu'il y ait de
problème concernant la DMZ, si tu as des règles pour y accéder depuis
chacune de tes lignes externes.
Ou alors j'ai raté quelquechose ?

Peut-être que tu aurais intérêt à fusionner tes deux interfaces
réseaux connectées à Internet, avec trunk(4). Mais, je dis peut-être
une bêtise, car est-ce que cela fonctionne pour les connexions à
Internet ?



--
Guillaume DESRAT / Zifro AKA guillaumed
http://zlab.fr/
Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Philippe Schwarz
Je répond aux deux mails précédents :
Guillaume "Zifro" DESRAT a écrit :

> Première question : tu es admin dans un lycée et on ne t'impose pas la
> passerelle Amon ? Elle n'existe plus ?
>
> Sinon, à la lecture de ton mail, je ne pense pas qu'il y ait de
> problème concernant la DMZ, si tu as des règles pour y accéder depuis
> chacune de tes lignes externes.
> Ou alors j'ai raté quelquechose ?
>
> Peut-être que tu aurais intérêt à fusionner tes deux interfaces
> réseaux connectées à Internet, avec trunk(4). Mais, je dis peut-être
> une bêtise, car est-ce que cela fonctionne pour les connexions à
> Internet ?
>
La passerelle Amon existe toujours(!) pour les réseaux administratifs.
pour les réseaux pédagogiques, sur l'académie de Créteil (entre autres)
c'est le serveur SLIS qui gère ça. Une zone de routage avec un bloc 8IP
publiques est entre le routeur ADSL et ces deux passerelles qui sont en //.

trunk(4) ? Ok je vais regarder merci.

> Je suis pas un expert mais ya un truc à noter je crois: c'est que tu
> souhaites prendre 2 abonnements adsl chez le même fournisseur pour être
> plus
> tolérant aux pannes, mais le soucis c'est que c'est 2 lignes vont surement
> faire le même trajet, même gaine, même infrastructure une fois chez le
FAI.
> Le seul point qui sera réellement "protégé" c'est celui du modem, si le
> modem tombe en panne l'autre prends le relai. Donc mon avis c'est, en
> fonction de tes besoins: 2 abonnements GTR chez des fournisseurs
> différents,
> soit un abonnement GTR + un abonnement "grand public" en secours.
Absolument d'accord là dessus; c'est le problème!
Sauf que si je prend 2 FAI différents, je ne vois pas comment obtenir le
MEME bloc de 8 IP afin de faire le routage et le nommage DNS de manière
identique sur les deux lignes; ca me semble impossible.
>
 Ensuite:
> Y a quelque chose qui me titille, tu parle d'un bloc d'adresse IP
routé par
> ton FAI vers toi ... ok, mais là ton FAI avec 2 lignes différentes ne sera
> pas ou router les paquets qui te sont destinés.
C'est bien ma question...
> A mon avis sans protocole de routage, c'est pas possible.
C'est bien possible...

Si tu as raison, cela signifie que à chaque ligne est associé un bloc
d'IP publiques routées exclusivement par cette ligne.
Conséquence, si la ligne tombe et que les paquets passent par l'autre
ligne, ils ne seront pas routés...
En utilisant l'aliasing IP et les CNAME DNS je devrais m'en sortir, non ??

Merci de votre aide.


--
Cordialement.
- Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
- Ex Mission académique TICE,Rectorat de Créteil
Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Bruno COSTA
Mes reponses plus bas  : )


----- Original Message -----
From: "Philippe Schwarz" <[hidden email]>
To: <[hidden email]>
Sent: Thursday, May 10, 2007 8:48 AM
Subject: Re: [obsdfr-misc] Tolérance de panne sur accès Internet.


> Je répond aux deux mails précédents :
> Guillaume "Zifro" DESRAT a écrit :
>> Première question : tu es admin dans un lycée et on ne t'impose pas la
>> passerelle Amon ? Elle n'existe plus ?
>>
>> Sinon, à la lecture de ton mail, je ne pense pas qu'il y ait de
>> problème concernant la DMZ, si tu as des règles pour y accéder depuis
>> chacune de tes lignes externes.
>> Ou alors j'ai raté quelquechose ?
>>
>> Peut-être que tu aurais intérêt à fusionner tes deux interfaces
>> réseaux connectées à Internet, avec trunk(4). Mais, je dis peut-être
>> une bêtise, car est-ce que cela fonctionne pour les connexions à
>> Internet ?
>>
> La passerelle Amon existe toujours(!) pour les réseaux administratifs.
> pour les réseaux pédagogiques, sur l'académie de Créteil (entre autres)
> c'est le serveur SLIS qui gère ça. Une zone de routage avec un bloc 8IP
> publiques est entre le routeur ADSL et ces deux passerelles qui sont en
> //.
>
> trunk(4) ? Ok je vais regarder merci.
>
>> Je suis pas un expert mais ya un truc à noter je crois: c'est que tu
>> souhaites prendre 2 abonnements adsl chez le même fournisseur pour être
>> plus
>> tolérant aux pannes, mais le soucis c'est que c'est 2 lignes vont
>> surement
>> faire le même trajet, même gaine, même infrastructure une fois chez le
> FAI.
>> Le seul point qui sera réellement "protégé" c'est celui du modem, si le
>> modem tombe en panne l'autre prends le relai. Donc mon avis c'est, en
>> fonction de tes besoins: 2 abonnements GTR chez des fournisseurs
>> différents,
>> soit un abonnement GTR + un abonnement "grand public" en secours.
> Absolument d'accord là dessus; c'est le problème!
> Sauf que si je prend 2 FAI différents, je ne vois pas comment obtenir le
> MEME bloc de 8 IP afin de faire le routage et le nommage DNS de manière
> identique sur les deux lignes; ca me semble impossible.
>>
> Ensuite:
>> Y a quelque chose qui me titille, tu parle d'un bloc d'adresse IP
> routé par
>> ton FAI vers toi ... ok, mais là ton FAI avec 2 lignes différentes ne
>> sera
>> pas ou router les paquets qui te sont destinés.
> C'est bien ma question...
>> A mon avis sans protocole de routage, c'est pas possible.
> C'est bien possible...
>
> Si tu as raison, cela signifie que à chaque ligne est associé un bloc
> d'IP publiques routées exclusivement par cette ligne.
> Conséquence, si la ligne tombe et que les paquets passent par l'autre
> ligne, ils ne seront pas routés...
> En utilisant l'aliasing IP et les CNAME DNS je devrais m'en sortir, non ??


L utilisation de CNAME/MX est une bonne idée cela donne deja de la Haute
Disponibilité. (je l utilise pour les serveurs Web et Mail )

Le Must restant de mettre en place du BGP entre les deux FAI et pour cela
Acheter une AS (Automous Système) publique

Je suis pas super doué dans le domaine mais récemment il y a eu un articles
dans linux mag sur le sujet



J'ai actuellement un lien Free et un lien Wanadoo (sans GTR) a la boite ou
je travail.

J espère pouvoir mettre cela en place avec des OpenBSD 4.1



Le but  serrait de faire ça :
http://www.nabble.com/BGP-+-Multiple-Providers-+-Redundant-Firewalls-t3688346.html



J ai un Amis qui travaille pour une grosse société qui a mis en place ce
genre d'archi avec du Cisco



Voila j espère vous avoir aider un peu :)



Bruno C.

Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Cedric Brisseau
In reply to this post by Philippe Schwarz
Bruno COSTA a écrit :

>
> L utilisation de CNAME/MX est une bonne idée cela donne deja de la Haute Disponibilité. (je l utilise pour les serveurs Web et Mail )
>
> Le Must restant de mettre en place du BGP entre les deux FAI et pour cela Acheter une AS (Automous Système) publique
>
> Je suis pas super doué dans le domaine mais récemment il y a eu un articles dans linux mag sur le sujet
>
>
>
> J'ai actuellement un lien Free et un lien Wanadoo (sans GTR) a la boite ou je travail.
>
> J espère pouvoir mettre cela en place avec des OpenBSD 4.1
>
>
>
> Le but  serrait de faire ça : http://www.nabble.com/BGP-+-Multiple-Providers-+-Redundant-Firewalls-t3688346.html
>
>
>
> J ai un Amis qui travaille pour une grosse société qui a mis en place ce genre d'archi avec du Cisco
>
>
>
> Voila j espère vous avoir aider un peu :)
>
>
>
> Bruno C.
>

Salut,

J'ai en place une configuration similaire : 1 réseau local, une DMZ,
le tout sur internet avec deux liens ADSL du même FAI. Je fais du load
balancing comme indiqué dans la FAQ de PF pour les connexions
sortantes et un script vérifiant l'état des lignes ADSL permet de
basculer sur la/les lignes bonnes en cas de coupures.

Seulement je ne vois pas comment assurer de la haute disponibilité
pour des serveurs web (donc les connexions entrantes) avec des CNAME.
Un enregistrement CNAME pointe vers un enregistrement A qui pointe
vers une IP. Ta passerelle qui aura ses deux liens internet aura
forcément deux IP publiques différentes et tu es obligé de leur
assigner des enregistrements A différents et donc des CNAME
différents. Il est possible d'accèder à ta passerelle de l'extérieur
par les deux lignes, mais par des noms DNS différents.

J'ai peut-être mal compris le problème ? Tu as d'autres solutions que
d'utiliser BGP ?

Cédric
Reply | Threaded
Open this post in threaded view
|

Re: Tolérance de panne sur accès Internet.

Philippe Schwarz
Cedric Brisseau a écrit :

> Bruno COSTA a écrit :
>>
>> L utilisation de CNAME/MX est une bonne idée cela donne deja de la
>> Haute Disponibilité. (je l utilise pour les serveurs Web et Mail )
>>
> Salut,
>
> J'ai en place une configuration similaire : 1 réseau local, une DMZ,
> le tout sur internet avec deux liens ADSL du même FAI. Je fais du load
> balancing comme indiqué dans la FAQ de PF pour les connexions
> sortantes et un script vérifiant l'état des lignes ADSL permet de
> basculer sur la/les lignes bonnes en cas de coupures.
>
> Seulement je ne vois pas comment assurer de la haute disponibilité
> pour des serveurs web (donc les connexions entrantes) avec des CNAME.
> Un enregistrement CNAME pointe vers un enregistrement A qui pointe
> vers une IP. Ta passerelle qui aura ses deux liens internet aura
> forcément deux IP publiques différentes et tu es obligé de leur
> assigner des enregistrements A différents et donc des CNAME
> différents. Il est possible d'accèder à ta passerelle de l'extérieur
> par les deux lignes, mais par des noms DNS différents.
>
> J'ai peut-être mal compris le problème ? Tu as d'autres solutions que
> d'utiliser BGP ?
>
> Cédric
>
>
Effectivement, ceci semble bien mieux adapté :
http://www.openbsd.org/papers/linuxtag06-network/index.html
mais il faut se mettre à travailler sur deux protocoles qui me sont
inconnus. C'est intellectuelement intéressant, mais après avoir un peu
phosphoré et avoir demandé quelques infos, je pense faire un peu comme ça:


Soit le réseau 1.1.1.1/29 par le FAI 1
et le réseau 2.2.2.2/29 par le FAI 2.
mon DNS aura cete tête là :
web IN A 1.1.1.4
        IN A 2.2.2.4

(rien à voir avec un CNAME, je vous l'accorde..)
Comme ça, selon la résolution DNS du client (côté LAN comme côté WAN) il
tombera sur l'un ou  l'autre des deux serveurs web.

Et comme mon unique serveur web aura simultanément les deux adresses
avec un IP alias, j'aurai accès à ce serveur quelle que soit la ligne en
état.

Avec un duo carp/pfsync en soekris ça devrait aller. (cf mail suivant)

Merci pour les infos.

--
Cordialement.
- Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
- Ex Mission académique TICE,Rectorat de Créteil


Reply | Threaded
Open this post in threaded view
|

RE: Tolérance de panne sur accès Internet.

Xavier Mertens
Une alternative au BGP et la gamme des produits Radware[1] (Linkproof).
Ils sont basé sur le DNS et le check des lignes.

Soit 2 lignes ISP différentes, le Linkproof fait un healthcheck régulier des
lignes et
répond aux requêtes DNS avec un tout petit TTL (5 à 15"). Si un des ISP est
"down", il ne
répondra plus qu'avec l'IP de l'ISP "up".

Le problème avec les 2 records "IN" c'est que 50% de tes clients ne seront
plus servis par
le server web si un des ISP est "down". :(

Le Linkproof est une appliance relativement chère (même TRES chère) mais il
doit y avoir
moyen de bidouiller un linkproff "open" avec des scripts.

Soit:

1. monitorer les 2 ISP (ex: ping de ton next-hop)
2. Si un des ISP ne réponds plus, changer la zone DNS et retirer le record A
associé
3. Lorsqu'il revient "up", remettre le record A

Just my two cents... ;-)

[1] www.radware.com

Xavier

-----Original Message-----
From: Philippe Schwarz [mailto:[hidden email]]
Sent: dimanche 20 mai 2007 22:54
To: [hidden email]
Subject: Re: [obsdfr-misc] Tolérance de panne sur accès Internet.

Cedric Brisseau a écrit :

> Bruno COSTA a écrit :
>>
>> L utilisation de CNAME/MX est une bonne idée cela donne deja de la
>> Haute Disponibilité. (je l utilise pour les serveurs Web et Mail )
>>
> Salut,
>
> J'ai en place une configuration similaire : 1 réseau local, une DMZ,
> le tout sur internet avec deux liens ADSL du même FAI. Je fais du load
> balancing comme indiqué dans la FAQ de PF pour les connexions
> sortantes et un script vérifiant l'état des lignes ADSL permet de
> basculer sur la/les lignes bonnes en cas de coupures.
>
> Seulement je ne vois pas comment assurer de la haute disponibilité
> pour des serveurs web (donc les connexions entrantes) avec des CNAME.
> Un enregistrement CNAME pointe vers un enregistrement A qui pointe
> vers une IP. Ta passerelle qui aura ses deux liens internet aura
> forcément deux IP publiques différentes et tu es obligé de leur
> assigner des enregistrements A différents et donc des CNAME
> différents. Il est possible d'accèder à ta passerelle de l'extérieur
> par les deux lignes, mais par des noms DNS différents.
>
> J'ai peut-être mal compris le problème ? Tu as d'autres solutions que
> d'utiliser BGP ?
>
> Cédric
>
>
Effectivement, ceci semble bien mieux adapté :
http://www.openbsd.org/papers/linuxtag06-network/index.html
mais il faut se mettre à travailler sur deux protocoles qui me sont
inconnus. C'est intellectuelement intéressant, mais après avoir un peu
phosphoré et avoir demandé quelques infos, je pense faire un peu comme ça:


Soit le réseau 1.1.1.1/29 par le FAI 1
et le réseau 2.2.2.2/29 par le FAI 2.
mon DNS aura cete tête là :
web IN A 1.1.1.4
        IN A 2.2.2.4

(rien à voir avec un CNAME, je vous l'accorde..) Comme ça, selon la
résolution DNS du client (côté LAN comme côté WAN) il tombera sur l'un ou
l'autre des deux serveurs web.

Et comme mon unique serveur web aura simultanément les deux adresses avec un
IP alias, j'aurai accès à ce serveur quelle que soit la ligne en état.

Avec un duo carp/pfsync en soekris ça devrait aller. (cf mail suivant)

Merci pour les infos.

--
Cordialement.
- Lycée Alfred Nobel,Clichy sous bois http://www.lyceenobel.org
- Ex Mission académique TICE,Rectorat de Créteil