Discussion :

[diabolos29]

Bonjour,

Dans mon cadre professionnel, je suis amené à revoir la configuration d'un site distant de quelques kilomètres. Ce site est actuellement relié à notre site principal par un pont radio et se trouve donc déjà dans notre MAN. Ce lien n'étant pas très performant, nous comptons le remplacer par un abonnement FTTH opérateur couplé à une GW Checkpoint. Sur notre site principal, nous disposons d'un FW Checkpoint et le lien avec nos GW est réalisé au travers d'un lien VPN IPsec.

Nous avons déjà une telle topologie pour relier différents autres sites distants et ça fonctionne bien. Toutefois, jusqu'à présent, les sites distants ont leur propre réseau LAN (un seul par site) et le FW fait ce qu'il faut pour gérer les flux depuis ou à destination de ces GW.

Là, et c'est sur ce point que je commence à sécher, je souhaiterais diffuser les VLAN du site principal aussi sur le site distant (j'en ai environ une demie-douzaine à partager). Alors forcement, je ne peux normalement pas le faire directement dans la mesure où les VLAN, c'est de la couche 2 et qu'il y a du routage IP (couche 3) entre mes deux sites.

En cherchant de l'information et en discutant, j'ai commencé à m'intéresser au VxLAN. C'est clairement ça qu'il me faudrait mais malheureusement, mes switchs physiques ne gèrent pas ce protocole (j'ai cru un certain temps que ça pourrait le faire mais non, mes différents modèles font l'impasse dessus). De ce que je comprend, un lien MPLS pourrait aussi répondre à mon besoin mais sauf erreur de ma part, ça suppose un abonnement opérateur supplémentaire (ce que je souhaite éviter) et du matériel adéquate (que je n'ai pas à ma disposition).

Là, j'en suis au stade où je ne vois plus trop quelle approche prendre. J'ai du mal à penser que mon cas de figure soit si exotique que ça mais pour autant, je ne parviens pas encore à trouver de solution à mon problème.

À noter que je ne suis pas un pur admin réseau même si ça devient une part de plus en plus importante de mon activité et que j'aime ça. Il se peut donc que je passe à côté de quelque chose d'évident.
Merci de vos retours

[becket]

Salut,

La topologie la plus évidente selon moi vu le cahier des charges, c'est un openvpn en mode tap ( bridge mode )

[diabolos29]

Bonjour et merci du retour.

Je vais déjà tester ça sur mon lab perso histoire de jouer un peu avec avant de voir si effectivement je peux le déployer. Le mode tap d'openvpn semble correspondre à ce que je souhaite obtenir.