Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Rachid Zitouni 
Solution low cost a creuser :
Un Tunnel ip/ip entre tes deux routeurs avec routage specifique de
petits blocs sur ces routeur pour router ces blocs au travers du
tunnel, avec proxy arp active sur le(s) interfaces lan de ces
routeurs.

Sinon pour etre tranquille : offres de vpn ethernet dispos chez tous
les bons carrier ;-)

HiH
Rachid


Le 09/10/08, Tobias Muller<[EMAIL PROTECTED]> a écrit :
> Bonjour,
>
> Nous sommes a la recherche d'une solution permettant de relier
> temporairement deux reseaux utilisant les memes ip publiques (hébergement
> internet) mais sur des sites physiques différents.
>
> J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
> De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI /23.
>
> Ces deux routeurs sont dans des datacenters différents et connectés a deux
> opérateurs
> différents.
>
> Nous allons abandonner le datacenter dans lequel nous avons les deux PI
> annoncés.
> Pour pouvoir migrer en douceur et surtout sans avoir a bouger tous les
> serveurs d'un seul coup, nous voulons pouvoir debrancher X machines du DC1
> et les
> rebrancher dans le DC2, tout en gardant les memes ip publiques pour les
> serveurs.
> D'autres machines peuvent rester dans DC1 en utilisant la meme classe au
> meme moment
> pendant ce temps.
>
> L'idée serait de faire un genre pont temporaire entre les deux reseaux le
> temps de bouger les serveurs. Une fois terminé, il n'y aura alors plus qu'un
> seul routeur qui annoncera directement les 3 PI.
>
> Autre contrainte, nous ne pouvons pas modifier la config IP des machines que
> nous bougeons, meme temporairement.
>
> J'avoue ne pas etre forcement clair !
>
> En gros :
>
> Routeur BGP 1
> Routeur BGP 1
>
> |
> |
> -
> --
>
> |
> |
>  Switch DC 1   VPN ?
> Switch DC 2
> (195.100.100.0/24)<->  (
> 195.100.100.0/24)
>
> |
> |
> --
> --
>
> Serveurs
> Serveurs
>
>
> Quelqu'un connait-il une solution permettant de faire cela ?
>
> Merci d'avance pour votre aide.
>
> Tobias MULLER
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet David Amiel 
Bonsoir,

On ne sait pas si le tunnel peut/doit être fait sur les routeurs ou sur
les serveurs, et de quel type sont les routeurs et les serveurs.

1/ Si les routeurs sont des cisco, ou équivalent, le plus simple semble
d'établir un tunnel PPP entre eux.

2/ Si le tunnel doit être fait côté serveur :
Faire un vpn transparent avec openvpn : http://openvpn.net

Plusieurs avantages par rapport à ipsec :
- passage au travers des firewalls sans problème : 1 port (tcp ou udp) à
ouvrir
- facilement installable et configurable sur windows et la plupart des
linux/unix
- possibilité de crypter ou non les flux : pour jouer sur la balance
perf/confidentialité recherchée
- possibilité de compresser les flux à la volée

bon courage,

David Amiel


Le Jeu 9 octobre 2008 15:11, Tobias Muller a écrit :
> Bonjour,
>
> Nous sommes a la recherche d'une solution permettant de relier
> temporairement deux reseaux utilisant les memes ip publiques (hébergement
> internet) mais sur des sites physiques différents.
>
> J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
> De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI
> /23.
>
> Ces deux routeurs sont dans des datacenters différents et connectés a deux
> opérateurs
> différents.
>
> Nous allons abandonner le datacenter dans lequel nous avons les deux PI
> annoncés.
> Pour pouvoir migrer en douceur et surtout sans avoir a bouger tous les
> serveurs d'un seul coup, nous voulons pouvoir debrancher X machines du DC1
> et les
> rebrancher dans le DC2, tout en gardant les memes ip publiques pour les
> serveurs.
> D'autres machines peuvent rester dans DC1 en utilisant la meme classe au
> meme moment
> pendant ce temps.
>
> L'idée serait de faire un genre pont temporaire entre les deux reseaux le
> temps de bouger les serveurs. Une fois terminé, il n'y aura alors plus
> qu'un
> seul routeur qui annoncera directement les 3 PI.
>
> Autre contrainte, nous ne pouvons pas modifier la config IP des machines
> que
> nous bougeons, meme temporairement.
>
> J'avoue ne pas etre forcement clair !
>
> En gros :
>
> Routeur BGP 1
> Routeur BGP 1
>
> |
> |
> -
> --
>
> |
> |
>  Switch DC 1   VPN ?
> Switch DC 2
> (195.100.100.0/24)<->  (
> 195.100.100.0/24)
>
> |
> |
> --
> --
>
> Serveurs
> Serveurs
>
>
> Quelqu'un connait-il une solution permettant de faire cela ?
>
> Merci d'avance pour votre aide.
>
> Tobias MULLER
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] routemap et local pref

2008-10-09 Par sujet Benoit Plessis 

Raymond Caracatamatere a écrit :

Bonjour à tous,

J'aimerais vos conseils pour une configuration nouvelle pour moi.
J'ai deux routeurs en BGP vers deux transitaires différents, et 
j'annonce deux classes C.
Mais voilà je dois favoriser le trafic provenant de serveurs 
particuliers (un /29 dans une de mes /24) chez moi vers un transitaire 
en particulier (notre client veut absolument sortir son trafic de ses 
serveurs via ce transitaire).


J'avais dans l'idée de faire un truc comme ça :

access-list 5 permit 192.168.1.0  0.0.0.7 


route-map transitaire1 permit 1
  match ip route-source 5
  set local-preference 150
neighbor TRANSITAIRE1 route-map transitaire1 in

J'ai bon ou je suis totalement à coté de la plaque ? c'est quoi pour 
vous le truc le plus propre pour ce genre de problèmatique.


Merci d'avance.

Ray


Je crois que vous vous trompez de 'cible'. Le protocole BGP permet a un 
switch de gérer
dynamiquement sa table de routage interne. Il n'intervient pas dans le 
processus

de décision de routage.

Ce que vous cherchez à faire c'est du source-based routing, 
l'implémentation sera différente

en fonction de l'équipement ("ip rule" sous linux par exemple).

bonsoir,
benoit
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] routemap et local pref

2008-10-09 Par sujet Raymond Caracatamatere 
aie ! il n'y a donc pas de moyen de favoriser un transitaire précis pour un
sous réseau précis ? tout en gardant un niveau de redondance correct?

J'avais pensé que le loadbalancing sur le trafic sortant était plus simple à
faire que pour le trafic entrant !
Merci en tout cas de ta réponse et de ton aide !

Si vous avez d'autres propositions, je suis preneur.

Ray


2008/10/9 Radu-Adrian Feurdean <[EMAIL PROTECTED]>

>
> On Thu, 9 Oct 2008 17:04:58 +0200, "Raymond Caracatamatere"
> <[EMAIL PROTECTED]> said:
>
> > access-list 5 permit 192.168.1.0 0.0.0.7
> > route-map transitaire1 permit 1
> >   match ip route-source 5
> >   set local-preference 150
> > neighbor TRANSITAIRE1 route-map transitaire1 in
>
> Tu fais en effet un match sur le routeur qui annonce la route. La
> decision se fait au niveau de reception des routes, pas au niveau du
> forwarding.
> Il te reste encore des routes en provenance de TRANSITAIRE1 ?
>
> > J'ai bon ou je suis totalement à coté de la plaque ? c'est quoi pour vous
> > le truc le plus propre pour ce genre de problèmatique.
>
> Policy routing + au revoir redondance (si le transitaire tombe, le
> traffic choisi sera toujour envoye).
>
> ip access-list exten Force-T1
>  perm ip 192.168.1.0 0.0.0.7 any
> !
>
> route-map Force-T1 perm 10
>  match ip address Force-T1
>  set ip next-hop ip.du.tr.1
> !
> int ZZZ x/y
>  ip policy route-map Force-T1
> !
>
> --
> Radu-Adrian Feurdean
>  raf (a) ftml ! net
>
>

Re: [FRnOG] routemap et local pref

2008-10-09 Par sujet Radu-Adrian Feurdean 

On Thu, 9 Oct 2008 17:04:58 +0200, "Raymond Caracatamatere"
<[EMAIL PROTECTED]> said:

> access-list 5 permit 192.168.1.0 0.0.0.7
> route-map transitaire1 permit 1
>   match ip route-source 5
>   set local-preference 150
> neighbor TRANSITAIRE1 route-map transitaire1 in

Tu fais en effet un match sur le routeur qui annonce la route. La
decision se fait au niveau de reception des routes, pas au niveau du
forwarding.
Il te reste encore des routes en provenance de TRANSITAIRE1 ?

> J'ai bon ou je suis totalement à coté de la plaque ? c'est quoi pour vous
> le truc le plus propre pour ce genre de problèmatique.

Policy routing + au revoir redondance (si le transitaire tombe, le
traffic choisi sera toujour envoye).

ip access-list exten Force-T1 
  perm ip 192.168.1.0 0.0.0.7 any
!

route-map Force-T1 perm 10
  match ip address Force-T1
  set ip next-hop ip.du.tr.1
!
int ZZZ x/y
  ip policy route-map Force-T1
!

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] routemap et local pref

2008-10-09 Par sujet Raymond Caracatamatere 
Bonjour à tous,

J'aimerais vos conseils pour une configuration nouvelle pour moi.
J'ai deux routeurs en BGP vers deux transitaires différents, et j'annonce
deux classes C.
Mais voilà je dois favoriser le trafic provenant de serveurs particuliers
(un /29 dans une de mes /24) chez moi vers un transitaire en particulier
(notre client veut absolument sortir son trafic de ses serveurs via ce
transitaire).

J'avais dans l'idée de faire un truc comme ça :

access-list 5 permit 192.168.1.0 0.0.0.7
route-map transitaire1 permit 1
  match ip route-source 5
  set local-preference 150
neighbor TRANSITAIRE1 route-map transitaire1 in

J'ai bon ou je suis totalement à coté de la plaque ? c'est quoi pour vous le
truc le plus propre pour ce genre de problèmatique.

Merci d'avance.

Ray

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Raphael Maunier 

Spyou a écrit :

At 15:11 09/10/2008, Tobias Muller wrote:

Bonjour,

Nous sommes a la recherche d'une solution permettant de relier 
temporairement deux reseaux utilisant les memes ip publiques 
(hébergement internet) mais sur des sites physiques différents.


J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI 
/23.


Ces deux routeurs sont dans des datacenters différents et connectés a 
deux opérateurs différents.


Si ces datacenters sont un minimum frequenté, il sera facile de trouver 
un opérateur qui vous fournira un interlan temporaire. Ca reste la 
solution la plus propre .. mais probablement aussi la plus cher :)

c'est la meilleure solution, sinon reste la solution bricolot avec Vtune

J'ai un client qui le fait et ca marche


'Spyou' - www.spyou.org - [EMAIL PROTECTED]
ircnet.nerim.net - UIN : 6871374

Don't dream it,
Be it.
(RHPS)

---
Liste de diffusion du FRnOG
http://www.frnog.org/




--
Raphaël Maunier
NEO TELECOMS
Engineering Manager

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Spyou 

At 15:11 09/10/2008, Tobias Muller wrote:

Bonjour,

Nous sommes a la recherche d'une solution 
permettant de relier temporairement deux reseaux 
utilisant les memes ip publiques (hébergement 
internet) mais sur des sites physiques différents.


J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI /23.

Ces deux routeurs sont dans des datacenters 
différents et connectés a deux opérateurs différents.


Si ces datacenters sont un minimum frequenté, il 
sera facile de trouver un opérateur qui vous 
fournira un interlan temporaire. Ca reste la 
solution la plus propre .. mais probablement aussi la plus cher :)


'Spyou' - www.spyou.org - [EMAIL PROTECTED]
ircnet.nerim.net - UIN : 6871374

Don't dream it,
Be it.
(RHPS)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Christophe Lucas 
Tobias Muller ([EMAIL PROTECTED]) wrote:
> Bonjour,
> 
> Nous sommes a la recherche d'une solution permettant de relier
> temporairement deux reseaux utilisant les memes ip publiques (hébergement
> internet) mais sur des sites physiques différents.
> 
> J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
> De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI /23.
> 
> Ces deux routeurs sont dans des datacenters différents et connectés a deux
> opérateurs
> différents.
> [...]

Salut,

Désolé si je dis des conneries, mais L2TPv3 ne peut pas solutionner ton
problème ? Si c'est une connerie ou non adéquat, désolé du bruit occasionné :-)

Amicalement,

Christophe

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Michel 

Bonjour,

solution quick&dirty et qui marche très bien :

2 openbsd
un tunnel (par exemple ipsec ou git) entre les 2
les 2 interfaces des tunnels bridgées avec les 2 interfaces des LAN

et hop, les 2 réseaux sont connectés par un bridge donc de manière 
totalement transparente.


--On jeudi 9 octobre 2008 15:11 +0200 Tobias Muller <[EMAIL PROTECTED]> 
wrote:




Bonjour,

Nous sommes a la recherche d'une solution permettant de relier
temporairement deux reseaux utilisant les memes ip publiques
(hébergement internet) mais sur des sites physiques différents.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Julien Follenfant 
Bonjour

Le 9 octobre 2008 15:11, Tobias Muller <[EMAIL PROTECTED]> a écrit :

> Bonjour,
>
>
> Quelqu'un connait-il une solution permettant de faire cela ?
>
>
Du bridging IPSec ça peut être pas mal, et ça répond ( normalement si j'ai
compris votre visio en ASCII )
à votre besoin

http://default.co.yu/~bc/docs/ipsec_bridging-1.txt


-- 
Julien Follenfant

[FRnOG] Tunnel VPN / relier deux reseaux via internet

2008-10-09 Par sujet Tobias Muller 
Bonjour,

Nous sommes a la recherche d'une solution permettant de relier
temporairement deux reseaux utilisant les memes ip publiques (hébergement
internet) mais sur des sites physiques différents.

J'ai d'un coté, un routeur qui annonce en BGP deux PI /24.
De l'autre coté, un autre routeur qui annonce aussi en BGP un autre PI /23.

Ces deux routeurs sont dans des datacenters différents et connectés a deux
opérateurs
différents.

Nous allons abandonner le datacenter dans lequel nous avons les deux PI
annoncés.
Pour pouvoir migrer en douceur et surtout sans avoir a bouger tous les
serveurs d'un seul coup, nous voulons pouvoir debrancher X machines du DC1
et les
rebrancher dans le DC2, tout en gardant les memes ip publiques pour les
serveurs.
D'autres machines peuvent rester dans DC1 en utilisant la meme classe au
meme moment
pendant ce temps.

L'idée serait de faire un genre pont temporaire entre les deux reseaux le
temps de bouger les serveurs. Une fois terminé, il n'y aura alors plus qu'un
seul routeur qui annoncera directement les 3 PI.

Autre contrainte, nous ne pouvons pas modifier la config IP des machines que
nous bougeons, meme temporairement.

J'avoue ne pas etre forcement clair !

En gros :

Routeur BGP 1
Routeur BGP 1

|
|
-
--

|
|
 Switch DC 1   VPN ?
Switch DC 2
(195.100.100.0/24)<->  (
195.100.100.0/24)

|
|
--
--

Serveurs
Serveurs


Quelqu'un connait-il une solution permettant de faire cela ?

Merci d'avance pour votre aide.

Tobias MULLER