Discussion :

[francky23012301]

Bonjour à tous,

Ma société va changer son infrastructure réseau et notre prestataire va mettre en place une solution sur laquelle je me pose quelques questions.
Nous avons plusieurs sites distincts qui vont être montés en MPLS SFR .

1)Première question : La présence d'une box opérateur est-elle obligatoire pour chaque site ?
En effet dans la solution proposée nous allons avoir 3 routeurs dont une box opérateur. Je n'ai pas envie d'avoir une usine à gaz sur chaque site (10 personnes/site).

2)Deuxième question : Nous allons avoir deux fibres (primaire et secondaire). Faut-il mieux deux routeurs pour chaque fibre ou un routeur avec deux entrées WAN est-il préférable ?

3)Troisième question : je souhaitais que les deux routeurs soient configurés en pare-feu. Réponse du prestataire : trop compliqué à gérer et inutile. Etes-vous d'accord avec ça.
La problématique est que je n'aurais pas la main sur le pare-feu coté opérateur pour le MPLS ni de logs.

4)Je voulais permettre du télétravail donc aussi de l'IpSec. Réponse du prestataire : c'est inutile vous avez du MPLS et l'IpSec se "casse" facilement. Etes-vous d'accord avec ça et peut-on faire du télétravail avec du MPLS sans difficulté derrière et aurais-je la main sur cette gestion (création de compte/mot de passe et surveillance) ?

5)Le MPLS est du VPN mais peut-on accéder à un poste sans passer par le MPLS depuis l'extérieur ?

Merci à vous

[Invité]

1)Première question : La présence d'une box opérateur est-elle obligatoire pour chaque site ?
En effet dans la solution proposée nous allons avoir 3 routeurs dont une box opérateur. Je n'ai pas envie d'avoir une usine à gaz sur chaque site (10 personnes/site).

La box opérateur sur les sites distants, c'est pour fournir une évasion vers l'Internet locale. En revanche, tu auras moins de contrôle puisque le filtrage sera fait par la box (et non pas par ton firewall si tu as un accès Internet "corporate").

2)Deuxième question : Nous allons avoir deux fibres (primaire et secondaire). Faut-il mieux deux routeurs pour chaque fibre ou un routeur avec deux entrées WAN est-il préférable ?

Mieux vaut 2 routeurs distincts (un nominal et un secondaire) pour la résilience de ton accès au MPLS.

3)Troisième question : je souhaitais que les deux routeurs soient configurés en pare-feu. Réponse du prestataire : trop compliqué à gérer et inutile. Etes-vous d'accord avec ça.
La problématique est que je n'aurais pas la main sur le pare-feu coté opérateur pour le MPLS ni de logs.

Pour configurer un routeur en pare-feu digne de ce nom, il lui faut un code destiné à ça. Par exemple, chez Cisco, il faut un IOS Firewall. Si c'est un "simple" routeur avec des access-lists, c'est de la sécurité "stateless". Le firewalling nécessite un équipement "stateful".

4)Je voulais permettre du télétravail donc aussi de l'IpSec. Réponse du prestataire : c'est inutile vous avez du MPLS et l'IpSec se "casse" facilement. Etes-vous d'accord avec ça et peut-on faire du télétravail avec du MPLS sans difficulté derrière et aurais-je la main sur cette gestion (création de compte/mot de passe et surveillance) ?

5)Le MPLS est du VPN mais peut-on accéder à un poste sans passer par le MPLS depuis l'extérieur ?

Le prestataire me semble un brin paresseux...
L'IPSec, ça ne se casse pas aussi facilement que ça tout de même...
Et en fonction de l'endroit où se trouve l'individu, parfois tu n'auras pas le choix, il faudra bien monter un tunnel. Les 2 solutions en vogue sont l'IPSec et le VPN-SSL et la pratique courante est de déployer un terminateur IPSec/SSL. Si tu as un firewall dans ton infra (je suppose que tu as un site principal), regarde s'il ne peut pas fournir un soft pour des clients VPN-SSL : les utilisateurs distants montent le tunnel sur le firewall, puis ensuite c'est du simple routage pour accéder aux ressources de ton entreprise. D'autre part, quasiment tous les firewalls qui fournissent des solutions VPN-SSL sont capable d'aller taper dans un Active Directory en LDAP, la gestion des utilisateurs est donc plutôt facile à faire.

-VX

[francky23012301]

Merci pour tour retour