Le 09/05/2011 10:14, Raphael Mazelier a écrit :
Le
08/05/2011 22:19, "Vincent Duvernet (Nolmë Informatique)" a écrit
:
Pour une première question, on va dire que
l'accueil est loin d'être celui auquel je m'attendais sur ce
type de liste de diffusion.
J'ai l'impression d'être tombé sur un nid de Linuxiens élitistes
extrémistes.
Non sur une liste d'adminsys :)
>> Ensuite il faut différencier les AdminSys Softeux et les
AdminSys Hardeux ^^
(Le terme crétinbox englobe tout, de la
Livebox de madame Michu au souk que met B3G ;p.
Ici c'est une box pro avec GTR. Les autres liens sont en cours
de réflexion entre Céleste et Altitude.)
Client B3G ? il est temps de changer en effet (B3G n'existe plus,
détruit par completel). Je te déconseille aussi Altitude pour le
moment car rachété par Completel (on va attendre de voir s'ils les
désintègrent aussi, ou s'ils sont plus intelligent cette fois).
>> Je n'avais pas suivi le chapitre B3G. Altitude dans l'Orne
a très mauvaise réputation notamment sur la qualité de service.
Altitude Infrastructure par contre semble avoir divorcé d'Altitude
Télécoms pour fournir un pont hertziens jusqu'à Alençon et ensuite
repartir sur des lignes SFR semble-t-il.
Pour répondre à la remarque de Raphael,
mon exemple contient 2 noms DNS parce que justement on a prévu
d'en utiliser au moins 2.
Si c'est pour utiliser plusieurs IP dans un pool, le SplitDNS ne
sert à rien et un simple routeur suffit.
Le case ouvert chez Cisco a donné l'architecture cité au début
du topic (en remplaçant le routeur).
Pour ceux qui veulent voir la vision de Cisco sur le Split DNS :
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htspldns.html
Du coup je ne comprends pas ce que tu veux faire ? tu veux
forwarder la requête sur tel ou tel serveur dns en fonction de
critères ?
>> Oui et dont le critère est le nom DNS donné en source.
"L'asa gère une option qui s'appelle split-dns mais ce n'est
dans le cadre d'une connexion vpn (associé aux directive
split-tunnel, etc...). De toutes manière c'est une mauvaise idée
de gérer son dns sur un routeur. "
C'est bizarre que Cisco m'aient orienté sur les séries
1900/2900.
Bein les 1900/2900 c'est des routeurs cisco, pas des ASA justement
(pix si on veut).
>> Oui du coup, je ne sais toujours pas s'il vaut mieux le
coller en FW transparent ou routé.
Le but n'est pas gérer tout le DNS sur un
routeur mais uniquement les services en entrées qui sont
partagés entre plusieurs serveurs qui utilisent le même
protocole et le même port d'écoute le tout avec un seul point
d'entrée.
Je suis vraiment pas sur de comprendre ton besoin ? load balancer
des services derrières un point d'entrée, ou un genre de
multiplexage de service (genre de vhost multi protocole ?)
>> Il y a plusieurs besoins :
- Changer de méthode pour monter les VPN IPSEC et SSL en mettant
l'ASA en prod
- Garder la possibilité d'avoir au moins 2 liens Internet + LAN +
DMZ
- Pouvoir utiliser plusieurs services sur un même port et faire le
routage en fonction du nom DNS.
Pour le dernier cas, voici un exemple parmi tant d'autres.
Si on veut accéder à plusieurs portails web dans un LAN ipv4.
Quelles sont les solutions :
- Faire du NAT en utilisant plusieurs ports 8080, 8081, 8082...
c'est pas génial.
- Monter un VPN et taper sur l'IP privée. C'est la meilleure option
côté sécurité je dirais.
- Utiliser plusieurs IPs en entrée. Ca peut vite coûter cher.
- Utiliser un seul port 8080 et forwarder la requête vers la bonne
IP en fonction du nom donné (camera1.ath.cx, camera2.ath.cx...)
(Merci aussi à Jérôme pour ses infos).
Vincent