Voici un article dans lequel je décris le VPN que j’ai mis en oeuvre.
Il s’agit de répondre à un contexte qui est le suivant :
- environ 70 sites distants, faiblement peuplés (5 à 50 utilisateurs) à interconnecter à des sites centraux dans lesquels se trouvent la majorité des ressources informatiques
- le VPN doit fournir une disponibilité importante, et doit être tolérant à la panne d’un serveur ou d’une ligne sur les sites centraux, c’est à dire on peut accepter de « perdre » un site distant momentanément, mais pas tous à la fois => pas de point central unique d’interconnexion
- il doit être possible de filtrer le trafic par un firewall
- il doit être possible de prioriser le trafic
- il doit être maintenable par des personnels « réseau » n’ayant pas de compétence en administration système
- il ne doit pas être dépendant d’un unique fournisseur de réseau => passage par internet
- évidemment, le trafic doit être chiffré pour en assurer la confidentialité
- et comme toujours, aussi économique que possible
Après consultation de l’opérateur historique, ce dernier nous proposait une offre de VPN MPLS (Multi Protocol Label Switching) « tout compris », lignes, routeurs, maintenance, configuration, etc, mais j’ai conseillé mon entrteprise de ne pas retenir cette solution qui ne m’a pas convaincu pour diverses raisons techniques que je n’exposerai pas ici, c’est hors de propos.
Je résumerai simplement en disant que le résultat que j’ai obtenu en configurant un VPN par moi même, tel que décrit dans ce tutoriel, est supérieur à la solution qui nous avait été proposé en bien des points :
- possibilité d’exploiter des lignes ADSL de tout type, et de profiter des meilleurs prix
- possibilité de mixer les fournisseurs de réseau
- davantage de fonctionnalités sur les routeurs (qos et firewall partout) et possibilité de prendre la main sur les routeurs, ce qui est très appréciable pour faire certains diagnostics à distance
- et 70 % moins cher chaque année, ce qui se traduit par une économie d’environ 100 000 € par an dans notre cas
En quelques mots, le VPN ainsi conçu s’appuie :
- des serveurs centraux, qui font office de routeur, sous Debian, avec OpenVPN pour la partie VPN et Quagga pour gérer OSPF, nécessaire au routage
- des routeurs distants Linksys WRT54GL équipés d’un firmware OpenWRT spécifiquement conçu pour mes besoins, incluant notamment OpenVPN, des outils de QOS, des fonctions de firewall avec iptables, la possibilité d’analyser le trafic avec tcpdump…
- un Builder OpenWRT compilé spécifiquement pour permettre de produire à la demande des firmwares spécifiques des sites distants à équiper
- des lignes xDSL, mais on peut tout aussi bien utiliser n’importe quel type de lien IP
Je suis conscient que le tutoriel est un peu « brut de décoffrage ». Initialement, je voulais le commenter davantage, expliquer beaucoup plus les diverses portions de configuration, de telle façon que celui qui souhaiterait s’en inspirer sache le pourquoi de tel ou tel choix. Mais cela fait longtemps que je ne trouve pas le temps de le faire, alors je préfère le sortir à peu près tel quel. Il se trouvera peut-être un courageux pour l’utiliser, et pourquoi pas l’améliorer. Du coup, les versions de logiciels cités dans le guide sont un peu anciennes, mais cela ne change pas le principe de fonctionnement.
La suite du tutoriel est dans le wiki : http://www.libresys.fr/wiki/doku.php/reseau à la section VPN Intranet.
Bonne lecture, et n’hésitez pas à me faire part de vos éventuels commentaires ou remarques.
Commentaires récents