Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Le 08/10/2021 à 19:54, Toussaint OTTAVI a écrit : Le 08/10/2021 à 19:48, ic a écrit : Ou alors tu mets un boîtier dont c’est le job de faire du VPN… Je crois que c'était l'objet de la demande initiale :-) parfaitement. j'avais pas pensé au coup du watchdog, effectivement. je n'ai que peu d'IP publiques. mettre une VM pour gérer le VPN ne changera pas le schmilblick. Bref, je suis de toute manière parti sur un MicroTik. Merci pour vos réactions diverses et variées. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> On 8 Oct 2021, at 19:48, ic wrote: > Sinon tu mets un minuteur castorama qui va rebooter la machine toutes les > deux heures au cas où. > Ou alors tu mets un boîtier dont c’est le job de faire du VPN… Lol. Je ne vois pas l’intérêt d’acheter un boîtier en plus, à part dépenser du fric pour rien. Franchement, une machine Linux ou BSD qui plante, c’est devenu ultra-rare. C’est pas le cas de MacOS, ces derniers temps. V. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
T’as combien d’actions Cisco, exactement, en fait ? :) Sinon, RouterOS en VM, 50$, et ça bouge pas. Bon ok j’avoue, peut-être un reboot par an mais on peut facilement faire un watchdog depuis RouterOS lui-même. D’ailleurs: Amen au language de scripting de RouterOS! Il est pas des plus intuitifs, mais c’est une machine de guerre ce truc. > Le 8 oct. 2021 à 19:55, Michel Py via frnog a écrit : > >> Pierre DOLIDON >> Je suis à la recherche de routeur VPN IPSEC. > > Combien d'IP publiques est-ce que tu as ? > Moi je fais Cisco ISR ou ASR, ça ne plante jamais. > > Michel. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> Pierre DOLIDON > Je suis à la recherche de routeur VPN IPSEC. Combien d'IP publiques est-ce que tu as ? Moi je fais Cisco ISR ou ASR, ça ne plante jamais. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Le 08/10/2021 à 19:48, ic a écrit : Ou alors tu mets un boîtier dont c’est le job de faire du VPN… Je crois que c'était l'objet de la demande initiale :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> On 8 Oct 2021, at 18:44, Vincent Habchi wrote: > > Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le > redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal > plante, oui, là tu es mal. D’où l’intérêt du VNC. Sinon tu mets un minuteur castorama qui va rebooter la machine toutes les deux heures au cas où. Ou alors tu mets un boîtier dont c’est le job de faire du VPN… --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Oui je crois qu’on se mélange un peu les pédales :) Mais donc: si le baremetal plante, tu peux toujours le rebooter localement grâce à un watchdog qui va rebooter par un ssh sur l’IDRAC (je le redis, au cas où je l’ai mal formulé toute à l’heure). > Le 8 oct. 2021 à 18:44, Vincent Habchi a écrit : > >> On 8 Oct 2021, at 18:34, David Ponzone wrote: >> >> >> Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à >> gérer, parce que je vois pas le rapport avec l’iDRAC. >> Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font >> bien plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se >> viande, ça sera pour une raison qui ne se règlera pas avec un reboot, sauf >> si….à suivre >> >> Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, >> avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il >> fait un ssh sur l’iDrac et tu lances le reboot. >> > > Effectivement, à la réflexion ça me paraît curieux. > > Je m’attendais à ce que le serveur baremetal serve le VPN (Strongswan) au > travers duquel tu accèdes à l’iDRAC comme si tu étais sur ton réseau privé. > Chez moi ça fonctionne comme ça. J’ai pas d’iDRAC, mais les clients accèdent > aux shares SAMBA par ce biais. > > Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le > redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal > plante, oui, là tu es mal. D’où l’intérêt du VNC. > > V. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> On 8 Oct 2021, at 18:34, David Ponzone wrote: > > > Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à gérer, > parce que je vois pas le rapport avec l’iDRAC. > Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font > bien plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se > viande, ça sera pour une raison qui ne se règlera pas avec un reboot, sauf > si….à suivre > > Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, > avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il fait > un ssh sur l’iDrac et tu lances le reboot. > Effectivement, à la réflexion ça me paraît curieux. Je m’attendais à ce que le serveur baremetal serve le VPN (Strongswan) au travers duquel tu accèdes à l’iDRAC comme si tu étais sur ton réseau privé. Chez moi ça fonctionne comme ça. J’ai pas d’iDRAC, mais les clients accèdent aux shares SAMBA par ce biais. Effectivement, si le VPN plante, tu perds l’iDRAC, mais tu peux toujours le redémarrer en te connectant sur ton baremetal en SSH. Après, si le baremetal plante, oui, là tu es mal. D’où l’intérêt du VNC. V. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> Le 8 oct. 2021 à 18:12, Pierre DOLIDON a écrit : > > j'ai ça aussi actuellement. > et c'est justement le problème, le serveur baremetal qui héberge le > strongswan à un réseau privé, un public, et une patte idrac (sur le réseau > privé, desservi par le VPN donc). > Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme un > con, car je peux plus redémarrer le serveur hébergeant le VPN. Je voulais > m'affranchir de ça. > Je crois que j’ai du mal à comprendre quel cas de figure tu cherches à gérer, parce que je vois pas le rapport avec l’iDRAC. Et aussi, je me demande pourquoi il se vianderait. J’ai des linux qui font bien plus que terminer des VPN, et qui ont plus de 5 ans d’uptime. S’il se viande, ça sera pour une raison qui ne se règlera pas avec un reboot, sauf si….à suivre Mais si ton besoin est de redémarrer ton baremetal (il tourne sous Hyper-V, avoue!), tu peux monitorer ton VPN depuis Strongswan, et si ça tombe, il fait un ssh sur l’iDrac et tu lances le reboot. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> On 8 Oct 2021, at 18:12, Pierre DOLIDON wrote: > > j'ai ça aussi actuellement. > et c'est justement le problème, le serveur baremetal qui héberge le > strongswan à un réseau privé, un public, et une patte idrac (sur le réseau > privé, desservi par le VPN donc). > Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme un > con, car je peux plus redémarrer le serveur hébergeant le VPN. Je voulais > m'affranchir de ça. Ah. Tu n’as pas songé à équiper ton serveur d’un boîtier VNC ? V. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Le 08/10/2021 à 18:15, Daniel via frnog a écrit : Bonjour Le 08/10/2021 à 17:49, Vincent Habchi a écrit : Salut, Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière un NAT en v4 et v6 (pf). Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas). Question relative au VPN: je vois passer peu de discussions VPN dans lesquelles Wireguard est nommé ? Une raison ? parcequ'il y a marqué IPSEC dans le titre ? De mon côté j'ai remplacé OpenVPN par Wireguard sur les réseaux comme sur les clients (Android, MacOS, Chromebook, Linux et Windows) et suis très satisfait. D'où mon interrogation. Bonne fin de semaine -- Daniel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Bonjour Le 08/10/2021 à 17:49, Vincent Habchi a écrit : Salut, Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière un NAT en v4 et v6 (pf). Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas). Question relative au VPN: je vois passer peu de discussions VPN dans lesquelles Wireguard est nommé ? Une raison ? De mon côté j'ai remplacé OpenVPN par Wireguard sur les réseaux comme sur les clients (Android, MacOS, Chromebook, Linux et Windows) et suis très satisfait. D'où mon interrogation. Bonne fin de semaine -- Daniel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
j'ai ça aussi actuellement. et c'est justement le problème, le serveur baremetal qui héberge le strongswan à un réseau privé, un public, et une patte idrac (sur le réseau privé, desservi par le VPN donc). Si il se viande, je perds l'idrac, et donc le VPN, et donc je suis comme un con, car je peux plus redémarrer le serveur hébergeant le VPN. Je voulais m'affranchir de ça. Le 08/10/2021 à 17:49, Vincent Habchi a écrit : Salut, Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière un NAT en v4 et v6 (pf). Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas). Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Salut, Perso, pour ne pas faire comme les autres, j’utilise Strongswan avec derrière un NAT en v4 et v6 (pf). Ça fonctionne merveilleusement bien pour un investissement nul, si tu as déjà une machine qui tourne l’OS qui va bien (FreeBSD dans mon cas). Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> Olivier Lange a écrit : > Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un > boîtier, qu'il peut > trouver sur Amazon, et devoir se battre, à un moment, ça me fatigue. Du coup, > je vends au > prix public, par contre je mets un taux horaire qui est justifié par > l'expérience. Je plussoie, et en fait je facture mon temps pour l'acheter sur Amazon ou ailleurs. Il y a un très bon argument commercial à expliquer au client : tu n'es pas tenté de vendre de la daube à haute marge au lien de vendre le produit qui marche rien mais sur lequel du ne peux gagner que des clopinettes. Ce que je vends, c'est l'expertise technique, pas pousser du carton. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
On a perdu de temps en temps quelques CISCO RV132 / RV134 en vol (et bien sur à 150 km de distance), la conf était perdue, il a fallu la réinjecter sur site. Depuis on a arrêté mais peut-être que les RV340 sont plus stables.. Le ven. 8 oct. 2021 à 14:58, Niffo a écrit : > Le vendredi 08 octobre 2021 à 12:31 +0200, Pierre DOLIDON a écrit : > > > Bonjour la liste. > > Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, > > mais > > je suis un peu perdu sur la quantité d'offre, et j'apprécierai vos > > retours. > > je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco > > RV340) > > Justement, ici c'est Cisco RV340 (moins de 200€). Ca juste marche, > interface user friendly et tu auras même du VPN en Gigabit. > > > -- > Nicolas "Niffo" GRESSARD > N.G.C.D.I - Infogérance et hébergement > https://www.ngcdi.fr > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Le vendredi 08 octobre 2021 à 12:31 +0200, Pierre DOLIDON a écrit : > Bonjour la liste. > Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, > mais > je suis un peu perdu sur la quantité d'offre, et j'apprécierai vos > retours. > je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco > RV340) Justement, ici c'est Cisco RV340 (moins de 200€). Ca juste marche, interface user friendly et tu auras même du VPN en Gigabit. -- Nicolas "Niffo" GRESSARD N.G.C.D.I - Infogérance et hébergement https://www.ngcdi.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Merci pour vos différends retours ! Le 08/10/2021 à 13:29, Olivier Lange a écrit : Oui et non. Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un boîtier, qu'il peut trouver sur Amazon, et devoir se battre, à un moment, ça me fatigue. Du coup, je vends au prix public, par contre je mets un taux horaire qui est justifié par l'expérience. Certains trouvent ça trop cher, tant mieux, ça évitera d'avoir des ennuis après. Et du coup, tu peux même lui proposer un second hAPac2 préconfiguré, à côté, "au cas ou ca lache". Olivier Le ven. 8 oct. 2021 à 07:09, David Ponzone a écrit : Oui bien sûr mais ça dépend du cas d’usage et du profile du client final. Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que toi tu lui vends un service premium, il peut ne pas comprendre qu’il ne paie pas pour le matériel mais pour le service fourni incluant le support :) Avec un CCR à 1000€, ça évite les questions. Le 8 oct. 2021 à 12:55, ic a écrit : On 8 Oct 2021, at 12:41, David Ponzone wrote: MikroTik hAPac2, 50€ Cherche même pas plus longtemps. Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour un fou (faut que je leur dise d’en sortir un dans un chassis 1U). Donc tu peux toujours prendre un gros CCR rackable double alim, pour 500 ou 1000€, et préserver ta crédibilité :) RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur alu, nouvelle tendance chez eux on dirait. ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Oui et non. Avec l'expérience, je ne vends plus que mon expertise. Gagner 50$ sur un boîtier, qu'il peut trouver sur Amazon, et devoir se battre, à un moment, ça me fatigue. Du coup, je vends au prix public, par contre je mets un taux horaire qui est justifié par l'expérience. Certains trouvent ça trop cher, tant mieux, ça évitera d'avoir des ennuis après. Et du coup, tu peux même lui proposer un second hAPac2 préconfiguré, à côté, "au cas ou ca lache". Olivier Le ven. 8 oct. 2021 à 07:09, David Ponzone a écrit : > Oui bien sûr mais ça dépend du cas d’usage et du profile du client final. > Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que > toi tu lui vends un service premium, il peut ne pas comprendre qu’il ne > paie pas pour le matériel mais pour le service fourni incluant le support :) > Avec un CCR à 1000€, ça évite les questions. > > > > Le 8 oct. 2021 à 12:55, ic a écrit : > > > > > > > >> On 8 Oct 2021, at 12:41, David Ponzone wrote: > >> > >> MikroTik hAPac2, 50€ > >> Cherche même pas plus longtemps. > >> > >> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes > pour un fou (faut que je leur dise d’en sortir un dans un chassis 1U). > >> Donc tu peux toujours prendre un gros CCR rackable double alim, pour > 500 ou 1000€, et préserver ta crédibilité :) > > > > RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur > alu, nouvelle tendance chez eux on dirait. > > > > ++ ic > > > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
Oui bien sûr mais ça dépend du cas d’usage et du profile du client final. Si c’est du genre à aller voir le prix sur Google, qu’il volt 300$, et que toi tu lui vends un service premium, il peut ne pas comprendre qu’il ne paie pas pour le matériel mais pour le service fourni incluant le support :) Avec un CCR à 1000€, ça évite les questions. > Le 8 oct. 2021 à 12:55, ic a écrit : > > > >> On 8 Oct 2021, at 12:41, David Ponzone wrote: >> >> MikroTik hAPac2, 50€ >> Cherche même pas plus longtemps. >> >> Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour >> un fou (faut que je leur dise d’en sortir un dans un chassis 1U). >> Donc tu peux toujours prendre un gros CCR rackable double alim, pour 500 ou >> 1000€, et préserver ta crédibilité :) > > RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur alu, > nouvelle tendance chez eux on dirait. > > ++ ic > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> Le 8 oct. 2021 à 12:45, David Ponzone a écrit : > > MikroTik hAPac2, 50€ > Cherche même pas plus longtemps. > > Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour > un fou (faut que je leur dise d’en sortir un dans un chassis 1U). > Donc tu peux toujours prendre un gros CCR rackable double alim, pour 500 ou > 1000€, et préserver ta crédibilité :) Ou au milieu un rb3011 qui fera le même travail qu’un hapac2 mais en rack sans passer dans la gamme CCR > >> Le 8 oct. 2021 à 12:31, Pierre DOLIDON a écrit : >> >> Bonjour la liste. >> Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, mais je >> suis un peu perdu sur la quantité d'offre, et j'apprécierai vos retours. >> je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco RV340) ou >> aux solutions software (pfsense, ou strongswan directement sur un machin >> bare metal - style intel NUC ou autre). >> mon seul prérequis est que le machin sache gérer au moins 100Mbps en IPSEC. >> >> Merci pour vos retours, suggestions, critiques, whatever :) >> >> >> et bon vendredi >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
> On 8 Oct 2021, at 12:41, David Ponzone wrote: > > MikroTik hAPac2, 50€ > Cherche même pas plus longtemps. > > Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour > un fou (faut que je leur dise d’en sortir un dans un chassis 1U). > Donc tu peux toujours prendre un gros CCR rackable double alim, pour 500 ou > 1000€, et préserver ta crédibilité :) RB1100AHx4, rackable, double alim, ~200 balles. Faut aimer la couleur alu, nouvelle tendance chez eux on dirait. ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Suggestions sur routeur VPN IPSEC
MikroTik hAPac2, 50€ Cherche même pas plus longtemps. Le seul problème du hAPac2, c’est que le truc est trop petit, tu passes pour un fou (faut que je leur dise d’en sortir un dans un chassis 1U). Donc tu peux toujours prendre un gros CCR rackable double alim, pour 500 ou 1000€, et préserver ta crédibilité :) > Le 8 oct. 2021 à 12:31, Pierre DOLIDON a écrit : > > Bonjour la liste. > Je suis à la recherche de routeur VPN IPSEC. rien d'extraordinaire, mais je > suis un peu perdu sur la quantité d'offre, et j'apprécierai vos retours. > je ne suis pas fermé ni aux boitiers tout intégrés (genre cisco RV340) ou aux > solutions software (pfsense, ou strongswan directement sur un machin bare > metal - style intel NUC ou autre). > mon seul prérequis est que le machin sache gérer au moins 100Mbps en IPSEC. > > Merci pour vos retours, suggestions, critiques, whatever :) > > > et bon vendredi > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
