Tu mets un routeur VyOS à chaque vous et tu fais du L2 Bridging over OpenVPN. Coût: proche de 0.
Et tu envoies l’autre blaireau se faire voir :) Le 8 avr. 2015 à 19:10, Julien BREVIERE <r...@supramoteur.com> a écrit : > Bonsoir, > > Merci pour vos réponses à tous, je vais essayer de condenser mes réponses : > > il n'y bien PAS overlapping .. j'utilise un certain nombres de blocs sur le > 10/8 sur le site A > et il n y'aura qu'un /23 sur le site B. > > Pour la partie interco je n'ai rien contre un routage opérateur, a priori la > liste existante des > blocs LANs de A suffit amplement a B, si nous ajoutons l'utilisation de > nouveaux blocs sur > le site A et qu'il faut une intervention opérateur pour ajouter une règle > cela sera suffisemment > rare pour ne pas être un problème. > > Mon routeur se situe en aval du CustomerEdge et s'occupe d'envoyer dans le > bon tuyau le > traffic où il est supposé passé (donc ceci incluerait, pour le site A par > exemple, le bloc LAN > de B, qui serait routé sur l'interface du CustomerEdge au lieu du coeur de > réseau...) > > effectivement l'histoire de la VRF me paraissait satisfaire les besoins... > > A ce stade vos réponses ne font que confirmer ma crainte, l'opérateur m'avait > promis cette > configuration, pretexte à ce jour qu'elle est impossible à mettre en oeuvre, > au départ à cause > du PI /24 (qui à la limite aurait pu être routé par internet si cela avait > été vraiment indispensable), > puis ensuite me propose une solution hybride/étrange selon moi à base de > VM/Sophos à chaque > bout (avec un coût imprévu evidemment), et pour finir m'insulte et m'envoie > pêtre en me donnant > du "à prendre ou à laisser" sous prétexte que j'évoque la solution VRF sus et > sous nommée et > que je suis incompétent en la matière. > > Aussi soit j'ai affaire à une personne peu enclin à vouloir comprendre et > potentiellement coincé > vu son "niveau" et je dois me résoudre à changer d'opérateur, soit ... bah > j'ai peur qu'il n y'ait plus > beaucoup d'autres options pour moi et prier pour qu'un tunnel maison > VPN/IPsec marchouille > suffisemment en attendant. > > Merci pour vos retours, > > Cordialement, > > > Julien Brevière > > > On 08/04/2015 18:13, Jérôme Nicolle wrote: >> Salut Julien, >> >> Tu es dans un scénario de routage trop complexe pour être correctement >> traité par la plupart des droïdes pousse-propale. Tu devrais pouvoir >> l'aborder différemment. >> >> Commençons par l'overlapping d'adresses : >> - S'il y a collision, renumérote en une >> - Si tu ne peux pas renuméroter, NAT >> - Si ça casse certains usages, c'est normal, il fallait renuméroter. >> >> Et à la limite profites en pour déployer IPv6. >> >> Pour la partie interco avec un L3VPN MPLS, soit tu confie le routage en >> extrémité à ton provider, et il te faudra le faire intervenir à chaque >> modification, soit tu lui demande du routage dynamique. >> >> Dans ce schéma, tu gère toi même les routeurs sur chaque site, en aval >> des CPE du fournisseur de VPN. Si tu veux chiffrer, gérer l'échappement >> Internet ou déplacer des préfixes, tu n'as qu'à le faire sur tes >> routeurs, qui pousseront les routes à ton fournisseur via un protocole >> dynamique (de préférence eBGP avec un AS privé différent sur chaque >> site, amha). >> >> Si tu veux que la gateway vers Internet soit fournie par ton fournisseur >> de tunnel, demande lui d'annoncer 0/0 dans ta VRF vers son "firewall >> managé" et tes routeurs l'apprendront ainsi. >> >> Si tu veux faire des réservations de débit en fonction des ranges, des >> usages, de l'heure ou de la tête de l'utilisateur, tu pourras tout faire >> avec tes routeurs sur chaque site. >> >> Mieux encore : si tu veux un lien de backup entre les deux sites, tu >> pourras aussi le gérer simplement en montant un tunnel chiffré sur des >> accès Internet locaux, monter l'eBGP entre les deux sites et y mettre >> une local-pref plus faible (et éventuellement une classification >> différente du trafic). >> >> Ça n'a pas vraiment l'air bien sorcier, alors j'ai du mal comprendre un >> morceau, non ? >> >> >> >> >> -- >> -- >> Julien Brevière > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
