Discussion :

[aziatedu13]

Bonjour,

Je réfléchis à la question d'une infrastructure mono-foret mono domaine pour le siège d'une entreprise et de diverse agence.

j'ai bien compris la configuration des sites et service, des subnets etc... mais ce que je n'ai pas compris, car pas du tout expert réseaux...,
c'est comment relier les différents site via le Wan ?

Avec un VPN ? Avec du routage ?

Exemple :

Adresse Public Siege : 61.5.207.1
Adresse Public Agence A : 61.5.209.1
Adresse Public AGENCE B : 61.5.210.1


Adresse LOCAL DC Siege : 172.16.10.1
Adresse LOCAL DC Agence A : 172.16.20.1
Adresse LOCAL DC Agence B : 172.16.30.1

Site & Service Ad
Subnet DC Siege : 172.16.10.0
Subnet DC AGENCE A : 172.16.20.0
Subnet DC AGENCE B: 172.16.30.0


Par quel bout dois je prendre le problème....

Je m'embrouille un peu avec AD multi site, et VPN, parce que multi-site = subnet différent, mais VPN c'est comme si on était sur le même réseau....

Si vous avez des bon conseils, je prend volontier !!

Merci.

[pro132000]

salut, pour essayer de t'aider, le VPN te permet de créer une liaison directe (tunnel) mais virtuelle entre tes sites (emplacement physiques) donc il te permet de les relier à travers internet en te permettant une intercommunication entre eux. ce qui fait que pour assurer une liaison entre tes sites, il te faut un VPN. pour assurer la communication étant donné que tes sites sont dans des réseaux differents (Subnet DC Siege : 172.16.10.0, Subnet DC AGENCE A : 172.16.20.0, Subnet DC AGENCE B 172.16.30.0) il te faut aussi faire du routage. lorsqu'on dit qu'avec du VPN on a l'impression d'etre sur le meme reseau, c'est parce que les liaisons sont etablies de "facon directe". donc c'est un peu comme si tu etais dans un meme batiment et avec tes 3 sous-reseaux pour chaque siege, donc ici dis toi que tes sites ne sont pas eloignes les uns des autres.


Dans une configuration AD, on a tendance à faire correspondre un site à un emplacement physique identifié par des adresses et plages sous-réseaux car cela permet en effet à l'administrateur de mieux comprendre son schéma de travail. les objets sites d'AD servent à gérer la réplication et la localisation des services et non à interconnecter (établir la communication) des sites (emplacement physique) distants.

Donc grosso modo tu auras

Agence A <======VPN========>Siège<======VPN=======> Agence B

|======================VPN======================|


cordialement

[aziatedu13]

merci pour ces précisions.

Ok, donc j'ai bien compris qu'il fallait un VPN entre chaque agence et le Siège.
Mais je ne vois pas la partie routage.
je configure des routes , mais comment ?
Les vpn seront intégré dans les routeurs CISCO qui recevrons internet.



Qu'elle sont les passerelles en vu de la configuration VPN.
Les extrémités des tunnels seront sur le réseaux 10.0.0.0


Extrémité Siege (vers A ) IP = 10.0.0.1
Extrémité Siege (Vers B) IP = 10.0.0.2
Extrémité Agence A IP = 10.0.0.3
Extrémité Agence B IP = 10.0.0.4


Par exemple :
Sur le routeur SIEGE,
je crée la route

172.16.20.0 => Passerelle ? ( 10.0.0.1)????
172.16.30.0 => Passerelle ? ( 10.0.0.2)????

Sur le Routeur Agence A

172.16.10.0 => passerelle ? ( 10.0.0.3)????


Sur le Routeur Agence B

172.16.10.0 => passerelle ? ( 10.0.0.4)????

Voila, je ne suis pas du tout sur de tout ça, car peux expérimenté en réseau....

Et les règles de Firewall...alors là je n'y connais encore moins rien...
Y en a t-il a mettre en place ? Pourquoi ???

Merci de votre aide.

Cordialement.

[pro132000]

salut desole pour le silence. Pour le VPN, tu as en fait 3 solutions possibles:
-passer par ton provider qui te mettra en place un vpn mpls. ce qui te facilitera la tache et tout le monde sera connecte dessus.

-soit tu fais un vpn ou tes 02 agences sont reliees a ton siege central sauf que ici, la bande passante de ton reseau coeur (siege) sera enormement consommee pour un trafic qui ne lui sera pas toujours destine.Ici tu auras plutot un probleme de routage a gerer. c'est ce schema

Agence A <======VPN========>Siège<======VPN=======> Agence B

-soit tu fais un vpn ipsec full meshed qui ressemble a la topologie que je t'ai proposee avant qui propose plus haut.

Agence A <======VPN========>Siège<======VPN=======> Agence B

|======================VPN======================|

dans cette topologie, il faudra t'aider des differentes documentations sur la configuration du vpn. les etapes importantes sont
-creer une acl pour l'etablissement du tunnel
-creer une politique IKE
-creer une politique IPsec et la cle pre-partagee
-definir le trafic qui va utiliser le tunnel vpn et le crypter
-creer une crypto map qui va definir le chemin qu'emprunte le tunnel et l'appliquer.

Extrémité Siege (vers A ) IP = 10.0.0.1
Extrémité Siege (Vers B) IP = 10.0.0.2
Extrémité Agence A IP = 10.0.0.3
Extrémité Agence B IP = 10.0.0.4

ce sont des adresses sur les interfaces de ton routeur ou alors ce sont des exemples que tu prennais?

Par exemple :
Sur le routeur SIEGE,
je crée la route

172.16.20.0 => Passerelle ? ( 10.0.0.1)????
172.16.30.0 => Passerelle ? ( 10.0.0.2)????

Sur le Routeur Agence A

172.16.10.0 => passerelle ? ( 10.0.0.3)????


Sur le Routeur Agence B

172.16.10.0 => passerelle ? ( 10.0.0.4)????

sur tu utilise la 2e topologie, il est clair que tu devra implementer un protocole de routage pour que le reseau A puisse connaitre le reseau B et vice-versa. par contre avec la 3e topologie, tu interconnectes les differentes agences entre-elles directement donc lors des etapes de configuration des tunnels vpn la communication va se faire.

[aziatedu13]

Bonjour,

et merci pour tous tes conseils.

Effectivement, ce sont des IP fictives pour l'explication de mon problème.

je n'ai encore aucune infrastructure, je suis a peine à penser le problème.

J'étais partie sur le solution 2, avec du routage, mais tu m'as bien expliqué que ce n'était pas la meilleur, au moins en terme d'administration du routage inter subnet.

La solution 3 m'a l'air pas mal, je crois comprendre qu'il n'y a pas de routage à faire .

J'ai trouvé le matériel qui pourrait faire ça :
des CISCO RV325.

La doc technique explique bien ce que tu as dit :
page 83.

http://www.cisco.com/c/dam/en/us/td/...v32x_ag_fr.pdf

Il ont le VPN IPSEC d'intégré, et les interfaces d'administration sont hyper facile.

Il y a même un page simulant l'interface du matériel , qui reprend exactement les points clés que tu m'as cité.

MENU sur la gauche, VPN


https://www.cisco.com/assets/sol/sb/...09/default.htm


Il y a un truk dont je ne suis pas sur :

- on configure les différents sous réseaux qui auront droit d'utiliser ce Tunnel VPN , mais qu'elle est le principe de ça ?

Je comprend ça :

On configure sur l'extrémité A, qu'elle sous réseau coté A, peux emprunter le Tunnel pour accéder au coté B,
On configure sur l'extrémité A, qu'elles sous réseau coté B, peuvent rentrer via le Tunnel pour accéder au coté A,

On configure sur l'extrémité B, qu'elle sous réseau coté B, peuvent emprunter le Tunnel pour accéder au coté A,
On configure sur l'extrémité B, qu'elles sous réseau du coté A, peuvent rentrer via le Tunnel pour accéder au coté B,

[aziatedu13]

Bonjour,

Je viens de m’apercevoir qu'avec ce que j'ai dit précédemment, il n'y a pas vraiment de VPN multi-site.
C'est plutot que tous les sites sont reliés au Site central.

Si je veux que tous les sites puissent tous se contacter, il faut que je créé tous les liens possibles entre les différents site...

Site A vers Siege
Site A vers Site B
Site B vers Siege

Est ce possible de créer une configuration unique qui détermine un tunnel VPN, et qu'elle adresse de site en font partie ?

Merci.

[pro132000]

Bonjour,

Je viens de m’apercevoir qu'avec ce que j'ai dit précédemment, il n'y a pas vraiment de VPN multi-site.
C'est plutot que tous les sites sont reliés au Site central.

Si je veux que tous les sites puissent tous se contacter, il faut que je créé tous les liens possibles entre les différents site...

Site A vers Siege
Site A vers Site B
Site B vers Siege

Merci.

salut, desole pour le retard. cette configuration revient en effet a une config full-meshed donc tous les liens possibles en effet.

Est ce possible de créer une configuration unique qui détermine un tunnel VPN, et qu'elle adresse de site en font partie ?

pour une config unique, je ne pense pas sauf si tu vas auprès de ton fournisseur d’accès pour qu'il te configure un VPN-MPLS.dans ce cas, il fera toute la configuration pour toi. tu devras payer le service rendu.

je t'ai trouvé ce lien sur forum qui resoud un problème de vpn avec trois sites distants comme le tien. tu peux t'en inspirer pour avoir une idée de configuration.

pour éviter un tas de config, tu peux juste interconnecter ton siège a chaque agence (agence A et agence B) par vpn mais la charge du siège sera saturée car elle devra des fois gérer un trafic qui ne lui pas destine (agence A vers agence B et vice versa) ce qui n'est pas optimal.

je te propose de lire le tp réalisé et de faire part si quelque chose t'embete