Routeurs dual WAN d'aujourd'hui et d'hier - les solutions@home

[TheMartel]

OUaip

En parlant de dual wan/pfsence, je suis tombé là dessus sur le sit officiel;
The Live CD includes an installer option to install pfSense to the hard drive on your system. This is the preferred means of running pfSense. The entire hard drive must be overwritten, dual booting with another OS is not supported.
Du coup ça va passer quand meme sur un systeme virtuel?
Je veux insttaler mon server@home avec
-esxi
--Xpenology
--Pfsence
--W7
...

[kalistyan]

Bien entendu, mon pfsense est virtualisé.

[dsebire]

@themartel: c'est le disque virtuel qui va etre formatté, pas le datastore

[kalistyan]

Je plussoie.

[TheMartel]

@themartel: c'est le disque virtuel qui va etre formatté, pas le datastore

ok
c'est con comme parfois des phrases débiles peuvent faire douter un esprit faible

[Albator78]

Salut, depuis le dernier message, moi aussi je suis passé en fibre optique 200mbits.
Adieu donc le routeur Alix limité à 100Mbits, il me faut des interfaces giga.

Pour mémoire, les Alix sont basés sur des processeurs AMD Geode à ~500 Mhz. Il semblerait qu'à fréquence équivalente, ça soit +/- l'équivalent en puissance d'un Atom simple coeur (mais avec une carte mère plus vieille, mémoire moins rapide, etc ...).

En plus du routage giga, j'ai aussi des besoin que hélas pfsense ne gère pas :'-(
IPV6, routage multicast, point d'accès wifi N (Freebsd limité au G ...)

Comme j'ai un switch administrable, j'ai tenté plusieurs manips avec l'Alix en installant Linux Debian Squeeze dessus (agrégation de liens 3*100mbits par LACP, routage par vlan au lieu de par interface physique), mais il est rapidement apparu que Debian est LARGEMENT moins performance que Pfsense pour faire du routage/parefeu. Avec pfsense, pas de problème pour router/filtrer à 100mbps, avec Debian, c'est 100% de CPU vers ~75mbps, et pourtant, j'ai très peu de règles iptables... les distribs optimisés firewall semblent donc réellement optimisées

J'ai regardé du coté des routeurs hardware, mais j'ai renoncé car j'ai un à priori négatif sur les routeurs "bon marché": débit physique de 1gbps par interface, mais débit de routage ultra bridé par faible cpu/ram ...

Coté mini-pc, on en trouve plusieurs avec 2 interfaces ethernet, mais rarement (jamais...) avec 3 !

Je me suis donc rabattu sur un routage "mono interface": je gère 3 VLAN (taggés par le switch) routés entre eux par un mini-pc en gigabit..
Pour ce faire, j'utilise un intel Nuc 847 (Celeron 847, 1.1Ghz Sandy Bridge dual core), et j'ai installé CentOS 6 (pas vraiment optimisé pour faire du routage ...)
Le choix de ce matériel tient surtout à mon exigence d'un chipset ethernet de marque Intel, qui tient le vrai débit d'1 Gbps, pas comme la plupart des chips realtek 8111/8169 qu'on trouve partout.
Cette config tient correctement le routage en 1gbps (merci le full duplex, merci le chip Intel aussi) malgré l'évidente non-optimisation du système d'exploitation. C'est dire la différence de puissance avec l'Alix

Sinon, j'avais aussi testé le même principe sur un mini-pc avec Atom D525 (dual core 1.6ghz; une seule interface giga de marque Intel), et ça semblait le faire aussi.
En attendant la fibre optique > 1 Gbps...

[TheMartel]

Un petit article sur lequelle je suis tombé par hazard;
http://philippe.scoffoni.net/tpe-et-pme ... -pas-cher/
Et du meme auteur; "Pourquoi faire gaffe aux box opérateurs" en gros;
http://philippe.scoffoni.net/tpe-pme-bo ... ue-danger/

Et le switch entrée de gamme conseillé par lui:
http://www.tp-link.fr/products/details/ ... L-R470T%2B
Jusqu'a 4 WAN, malheureusement que en 100mbit, et pour a peine 50€ sur LDLC par exemple... Niquel pour les petites adsl quoi

[jsonline]

Et le switch entrée de gamme conseillé par lui:
http://www.tp-link.fr/products/details/ ... L-R470T%2B
Jusqu'a 4 WAN, malheureusement que en 100mbit, et pour a peine 50€ sur LDLC par exemple... Niquel pour les petites adsl quoi

Super rapport qualité prix c'est vrai... mais bon pas de wifi sur un routeur en 2013... personnellement je ne me vois pas acheter cela.

[Zedoune]

J'ai acheté un TP-LINK au boulot, c'est de la chiotte en dual Wan, par contre en modem simple ça marche bien, mais bon faut pas s'attendre à un truc extraordinaire.

[TheMartel]

Super rapport qualité prix c'est vrai... mais bon pas de wifi sur un routeur en 2013... personnellement je ne me vois pas acheter cela.

De toute manière il te faut un switch derrière.
Pour moi, c'est soit un pfsence avec tout inclu, soit au contraire que des appareils spécialisés;
- modem
- routeur
- switch
- AP Wifi.
Plus de souplesse, moins de pertes en cas de panne. Et plus evolutif.
Typiquement, switch en giga et routeur en 100, plus que du 100 en routeur ça ne sert que pour les gens ayant accès à de la fibre. AP wifi, car les besoin d’accès mobile sont rarement au même endroit que les accès fixe, surtout pour ceux qui ont des besoins en multiwan; par exemple, wifi dans le salon mais accès fixe dans la cave au niveau des baies
J'aurais donc tendance a dire tant mieux...

[TheMartel]

J'ai acheté un TP-LINK au boulot, c'est de la chiotte en dual Wan, par contre en modem simple ça marche bien, mais bon faut pas s'attendre à un truc extraordinaire.

Tu as pris quoi?
Les option de dual wan sont comment? Quand tu dis chiotte, c'est rapport a quoi, avec quelles connections?
PS; j'ai beaucoup d'a priori sur ces marques, mais j'essaie de paser outre, de temps a autre leurs produit sont bien foutus. J'ai un pote avec un tplink en 10/100 qui résiste dans la même baie ou il a du changer déjà deux fois son linksys...

[Zedoune]

Tu as pris quoi?
Les option de dual wan sont comment? Quand tu dis chiotte, c'est rapport a quoi, avec quelles connections?
PS; j'ai beaucoup d'a priori sur ces marques, mais j'essaie de paser outre, de temps a autre leurs produit sont bien foutus. J'ai un pote avec un tplink en 10/100 qui résiste dans la même baie ou il a du changer déjà deux fois son linksys...

http://www.ldlc.com/fiche/PB00125366.html

Ben quand tu fais des VPN avec du dual link par exemple, tu peux accéder aux VPN uniquement connectés via la connexion à laquelle ta machine est attribuée (ici on a 2 connexions et en gros certaines machines du réseau utilise une connexion haute dispo, et les autres machines de la fibre). On a du créer des règles très bizarres aussi pour faire marcher des VPN avec des adresses étranges (trop compliqué à expliquer ) La gestion des logs est à chier (en général, quand je fais du VPN, je regarde sur l'autre routeur les logs parce que là ça dit "phase 1, marche pas")

Il fonctionne, mais niveau administration c'est pas tip top..

[TheMartel]

Ok, c'est surtout la partie VPN qui pèche quoi. Mais il me semble qu'avec du dual wan c'est jamais simple... VPN géré par le routeur au fait?

Après, c'est pas le même budget/type de client, celui que j'avais mis en lien c'est vraiment leur entrée de gamme... Mais autant les connaissant ça veux pas forcement dire grand chose.

[Zedoune]

Oui je gère les VPN depuis le routeur, sinon j'ose même pas imaginer le bordel

[dsebire]

aller ! un de plus pour Zyxel !
pour une raison inconnue, lorsque je regle la MTU sur le routeur de maniere a avoir des paquets non fragmentés (1464 dans mon cas, optimisation BP), je perd l'accès a la moitié du WEB !
dropbox inaccessible, tous les sites cosofts aussi (et d'autres mais j'ai pas noté)
lorsque je remet la valeur par defaut 1500, j'ai evidement des paquets fragmentés, mais je retrouve l'accès aux sites

si je met 1400, donc valeur très infereure au paquets supportés par la connexion, a marche pas non plus.

je sais pas si c'est le routeur qui pete un cable si je met autre chose que la valeur par defaut ou quoi mais bref, c'est bien moisi !!!

ps firmware a jour, 3.3

[TheMartel]

aller ! un de plus pour Zyxel !
pour une raison inconnue, lorsque je regle la MTU sur le routeur de maniere a avoir des paquets non fragmentés (1464 dans mon cas, optimisation BP), je perd l'accès a la moitié du WEB !
dropbox inaccessible, tous les sites cosofts aussi (et d'autres mais j'ai pas noté)
lorsque je remet la valeur par defaut 1500, j'ai evidement des paquets fragmentés, mais je retrouve l'accès aux sites

si je met 1400, donc valeur très infereure au paquets supportés par la connexion, a marche pas non plus.

je sais pas si c'est le routeur qui pete un cable si je met autre chose que la valeur par defaut ou quoi mais bref, c'est bien moisi !!!

ps firmware a jour, 3.3

c'est que les site des firmes US qui sont impactés? Faut pas se poser de questions, zytel c'est chinois...

[dsebire]

il me semble qu'il y avait aussi du français dans le tas... mais pt'etre des morceaux hebergés aux us

[TheMartel]

ct une joke, je vois mal zytel faire du filtrage ip sur des produits vendus dans le monde entier
mais ça serait une drôle de coïncidence que ce soit plus les sites us que les autres qui soient affectés...

[dsebire]

ah mais tu as pt'etre dit ça comme une blague, mais ça n'a rien d'irrealiste. ya pt'etre un routeur ou une conf sur certains sites qui font qu'ils apprecient pas la maniere dont le zyxel fragmente ou pas les paquets

[augur1]

Une backdoor dans les routeurs de D-Link
=> http://www.tomshardware.fr/articles/bac ... 45971.html

Le fonctionnement de cette porte dérobée est simple, et elle est présente dans les firmwares au moins depuis 2010 : il suffit de remplacer l'User Agent du navigateur (l'identifiant qu'il envoie au serveur) par la chaîne « xmlset_roodkcableoj28840ybtide » (soit « edit by 04882 joel backdoor_teslmx », Joel étant a priori l'auteur de la porte dérobée).

[TheMartel]

nice

[TheMartel]

Agrégation de lien pour de vrai, a travers un VPN vers un serveur avec une/des ip publique(s):


https://github.com/zehome/MLVPN
http://blog.geekass.net/2012/01/22/agre ... liens-vpn/

[vhnet]

merci TheMartel pour la pub

[TheMartel]

merci TheMartel pour la pub

bah c'est pas toi qui devait nous faire un tuto sur le forum, qu'on attend toujours ?