Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Mettre un proxy derrière un routeur Linux ayant 2 uplinks!
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
sympaval
n00b
n00b


Joined: 06 Jun 2010
Posts: 6

PostPosted: Mon Jun 07, 2010 4:20 pm    Post subject: Mettre un proxy derrière un routeur Linux ayant 2 uplinks! Reply with quote

Salut à tous!

Comme vous le verrez certainement, j'ai eu à poser mon problème déjà à la suite d'un autre du genre posé par Tony, sur ce forum, et je pense vu le fait que son problème ait déjà été résolu, que je devrais ouvrir un nouveau post pour avoir plus de chance d'obtenir de l'aide.

Je vous prie de me venir en aide, merci avant tout.

En effet, j'ai un appliance Linux faisant office de proxy pour mon réseau interne. Cette machine permet également via le nat, à mes utilisateurs internes d'aller sur internet et à mes utilisateurs externes de se connecter aux serveurs internes suivant des règles définies sur le firewall/proxy.
Pour les connexions depuis l'extérieur, je dispose d'une plage d'adresses publique de mon FAI et pour chaque serveur interne accessible depuis l'extérieur, j'ai fait un DNAT sur une adresse publique spécifique.

Pour se connecter à internet, le firewall sert de mes passerelle pour les utilisateurs internes, et pour se connecter à mes serveurs depuis l'extérieur, mes utilisateurs disposent d'une adresse publique pour chaque serveur qui sera ensuite NATée sur l'adresse privée du serveur concerné.

J'ai une deuxième connexion internet aujourd'hui voici ma problématique:

- Je veux mettre en entrée de mon réseau un routeur Linux qui va gérer le loadbalancing/failover pour les connexion sortantes

- Derrière le routeur se trouvera mon firewall/proxy qui gère le réseau interne

-Comment pourrait-je permettre au routeur de router les requêtes des utilisateurs externes vers le proxy, et en suite du proxy vers les serveurs internes concernés?

- Pourrais-je toujours faire de la redirection d'adresses publiques avec désormais la carte externe de mon firewall sur une adresse privée? Ou alors à ce niveau c'est une redirection de port qui s'impose? Si oui petit détail

- Si je pourrai faire de la redirection d'adresses publiques pour les connexions depuis l'extérieur, est-ce que je pourrai utiliser mes deux plages d'adresses publiques? (Mon nouveau FAI m'as également donnée une plage d'adresses publiques)

- Enfin comment puis-je efficacement gérer les accès depuis l'extérieur avec mes deux connexions internet?

Vous avez ci-joint un petit schéma de l'architecture que je prévois, et j'attends vos objections et propositions.

Je précise que je n'ai aucun problème pour l'implémentation du loadbalancing/failover en sortie; j'ai déjà développé les scripts sur mon routeur Linux Debian, mais je ne sais pas comment le placer en production afin qu'il cohabite avec mon firewall.

[IMG]http://img404.imageshack.us/img404/8311/topologiecible.png[/IMG]

Uploaded with ImageShack.us

Merci et à très bientôt!


Last edited by sympaval on Tue Jun 08, 2010 10:36 am; edited 1 time in total
Back to top
View user's profile Send private message
El_Goretto
Moderator
Moderator


Joined: 29 May 2004
Posts: 3098
Location: Paris

PostPosted: Mon Jun 07, 2010 5:08 pm    Post subject: Reply with quote

Peux-tu alors STP supprimer ton post dans l'autre thread? Ca évitera de diviser les réponses éventuelles, tout comme une involontaire pollution de l'autre thread original.
_________________
-Gentoo hardened [EoL]: µ-serv Gen8 G1610T, 8Go ECC ; NF9D-2700, 4Go
-FreeBSD 11/Vimage/Jails: DS61, i3 2100T, 16Go ; FreeNAS: µ-serv N40L, 8Go ECC
-Réseau: ERL-3 + ESL-24 + GS108Tv2
-NAS: RN312
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa

PostPosted: Mon Jun 07, 2010 7:17 pm    Post subject: Reply with quote

Et peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci :)
Back to top
View user's profile Send private message
sympaval
n00b
n00b


Joined: 06 Jun 2010
Posts: 6

PostPosted: Tue Jun 08, 2010 8:34 am    Post subject: Reply with quote

Le gars je m'excuse vraiment si j'ai violé des règles.

Je na sais pas vraiment de quoi vous parlez quand vous parlez de conformité.

Par contre pour la suppression de mon post, je suis d'accord malgré que de l'autre côté tony a déjà donné une première réponse, même si ma problématique n'est pas résolue.

Je vous prie d'aviser s'il y a du souci en ce qui me concerne, en me disant exactement où j'ai commis la bêtise dans mon post. Je respecte énormément le forum et je ne ferais rien d'inconvenant express.

Merci pour votre attention
Back to top
View user's profile Send private message
sympaval
n00b
n00b


Joined: 06 Jun 2010
Posts: 6

PostPosted: Tue Jun 08, 2010 8:58 am    Post subject: Reply with quote

J'ai constaté que pour supprimer mos post de l'autre côté je devais commencer par le dernier que j'ai envoyé à Tony en qui m'a répondu.

Tony Clifton wrote:
Effectivement, tu peux réaliser sans problème ton partage de charge. Le fonctionnement est assez simple : tu fais ton partage de charge avec iproute2 et ensuite iptables se charge de ne pas mélanger tout ça, à grand coup de marquage de paquet. Tu peux donc marquer tes paquets en PREROUTING, POSTROUTING, INPUT... afin de contrôler ton réseau comme tu le désir.

Par contre je comprends pas trop pourquoi tu veux ajouter un nouveau routeur, il suffit simplement de connecter ton nouveau lien internet à ton routeur existant et de lui apprendre a gérer tout ça.


C'est pour quoi je reporte la réponse ici

sympaval wrote:
Salut Tony!

je comprends que je peux utiliser directement le routeur firewall existant. Mais j'ai deux souci:

-Premièrement, le firewall est une appliance (Endian) , comme tu l'as vu sur le schéma, qui prépackagé et avec une gestion via interface graphique que je ne préfère pas très souvent. du coup je risque ne pas pouvoir établir mes règles avec précision, et si quelque chose ne marche pas, je peux rencontrer des soucis dans le dépannage.

- L'autre chose c'est que si tu bien regardé mon schéma, j'ai deux réseaux locaux, et le firewall?proxy ne s'applique qu'à un seul qui doit être accessible de manière sécurisée depuis l'extérieur. C'est celui là qui est derrière le firewall (192.168.100.0/24). Le LAN 192.168.101.0/24 a un fonctionnement normal et se trouve sur l'interface externe de mon firewall/proxy Endian et c'est le routeur debian qui va gérer la sécurité à ce niveau.

- Donc si je peux me faire comprendre, mon but est de mettre le firewall derrière le routeur avec une interface externe en ip privée, et que mes utilisateurs externes puisse accéder de l'extérieur aux serveurs derrière le firewall. C'est un peu à la manière des cisco pix qu'on met souvent à l'entrée des réseaux, mais là mon architecture et mon implémentation sont basées sur linux, et je bloque un peu.

-Je vous prie donc de regarder encore un plus en profondeur, et de dire comment je peux gérer l'accès à mes serveurs derrière mon firewall en faisant des redirections des deux plages d'adresses publiques correspondant aux deux cartes externes de mon routeur debian d'entrée.

Enfin je vous prierai avec les autres désireux de m'aider, de continuer plutôt sur ce thread https://forums.gentoo.org/viewtopic-p-6308846.html#6308846 afin qu'on se disperse pas, et que celui-ci garde son étiquette de résolu, qui aiderait bien de personne exactement dans la même situation. C'est pourquoi j'ai supprimé le premier post plus haut avant ta réponse.
J'attends donc patiemment les réponses de El_Goretto et de Geekounet.

Merci pour votre attention.
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa

PostPosted: Tue Jun 08, 2010 9:39 am    Post subject: Reply with quote

sympaval wrote:
Le gars je m'excuse vraiment si j'ai violé des règles.

Je na sais pas vraiment de quoi vous parlez quand vous parlez de conformité.


Suffit de lire le lien que je t'ai donné pour lire les règles, et d'éditer ton premier post pour changer le titre et le rendre conforme.

Pour la suppression de post, c'est normal que tu ne puisses pas s'il y a eu une réponse par la suite.
Back to top
View user's profile Send private message
sympaval
n00b
n00b


Joined: 06 Jun 2010
Posts: 6

PostPosted: Tue Jun 08, 2010 10:40 am    Post subject: Reply with quote

OK Gekounet!

J'ai modifié le titre, en espérant qu'il maintenant conforme, puis-je maintenant bénéficier de votre aide proprement dite pour mon problème?


Merci d'avance.
Back to top
View user's profile Send private message
sympaval
n00b
n00b


Joined: 06 Jun 2010
Posts: 6

PostPosted: Mon Sep 13, 2010 4:50 pm    Post subject: Reply with quote

Bonjour à tout le monde,

Je reviens avec mon pb après un petit silence.

En effet j'ai finalement comme Tonny me le conseillait pour un routeur debian que j'ai mis sur pied pour gérer mes deux liaisons internet.

le routage et le filtrage ont été bien implémentés sur le routeur, et le loadbalancing marche super bien. Les connexions rentrantes et sortantes se passent bien.

Alors mon problème actuellement est que mon routeur doit aussi faire aussi office de serveur VPN avec IPSec en net-to-net. Alors dans ce cas comment je configure les deux adresses publiques de mon routeur pour la passerelle.

La solution serait à mon niveau de mettre en place deux tunels, et de gérer au niveau des entrées, l'utilisation de l'un ou de l'autre, actif/passif par exemple. Là ce n'est qu'uen vue théorique que j'ai .

Si cette approche est bonne pour utiliser les deux adresse publiques de mon routeur pour le serveur von, j'aimerais que vous m'assistiez un peu pour les détails techniques.

Comment je configure IPSec/LT2P dans ce cas pour gérer les deux tunels?

Merci pour votre aide et votre générosité
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3772
Location: Wellington, Aotearoa

PostPosted: Thu Sep 16, 2010 8:04 am    Post subject: Reply with quote

Est-ce que tu peux modifier le titre comme je l'avais demandé auparavant stp ? :)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum