Forum général.cherche-logiciel passerelle résidence étudiante

Posté par  .
Étiquettes : aucune
0
19
jan.
2006
Bonjour,

nous recherchons une solution d'administration pour le réseau de notre résidence étudiante. Il s'agit de fournir le net à environ 400 personnes au travers de 4 freebox. Nous disposons pour cela de plusieurs serveurs si nécessaire.

Nous voudrions réduire au minimum les opérations à effectuer sur les ordinateurs clients, et pouvoir configurer le firewall différemment suivant les groupes d'utilisateurs.

Nous avons regardé du côté d'Ipcop, mais il nous a semblé être incapable de supporter plus d'un lien WAN.

Des idées ?
Merci d'avance

  • # idée de recherche

    Posté par  (site web personnel) . Évalué à 1.

    Je pense que tu devrai te pencher sur iptables avec QoS pour equilibrer les connections.
    N'aillant jamais été dans ce cas la je ne saurai t'en dire plus

  • # 4 FreeBox <-> Offre Professionnel

    Posté par  . Évalué à 1.

    Bonsoir,

    Free ne propose t-il pas une offre professionnel permettant d'avoir une bande passante plus large ?
    Je ne connais pas trop les offres de Free car je suis belge.

    Mais 4 Freebox c'est beaucoup ça :D
    Surtout qu'il faut effectuer un système de secours si une connection lâche ou je ne sais quoi ... Basculer alors le système sur 3 freebox etc ...

    Et je crois qu'une autre offre reviendrait peut être moins chère que 4 abonnements FreeBox.

  • # Channel bonding

    Posté par  (site web personnel) . Évalué à 2.

    Je ne sais pas si IPCOP supporte 4 liens WAN, mais l'idée avec les 4 fbx serait de faire du channel bonding, ce que le kernel supporte (après, reste à voir s'il est activé dans IPCOP ou pas)...

    • [^] # Re: Channel bonding

      Posté par  . Évalué à 1.

      Non, c'est pas possible de faire du bonding dans ce cas là.
      En effet, pour faire du bonding, il faut que l'autre coté soit configuré aussi de la même manière.

      Par contre, il est possible de faire du NAT avec 3 liens WAN sans problèmes

      • [^] # Re: Channel bonding

        Posté par  . Évalué à 1.

        En effet, pour faire du bonding, il faut que l'autre coté soit configuré aussi de la même manière.


        Il me semble que pour du balance-tlb et du balance-alb il n'y en a pas besoin, mais il faut que les cartes réseaux acceptent certaines choses particulières (si je me souviens bien, il faut qu'elles puissent changer de MAC en marche).

        Par contre j'ai peur qu'avec une agrégation de liens il y ait des déconnexions derrières sur certains services de messagerie instantanée par exemple.

        • [^] # Re: Channel bonding

          Posté par  . Évalué à 1.

          C'est justement la tout le problème. 90% de nos utilisateurs utilisent un service de ce type (en grande majorité MSN). Y aurait t'il un moyen de router tout ce type de trafic sur une seule interface, avec http://l7-filter.sourceforge.net/ par exemple ?

  • # Ca devrais aider ...

    Posté par  (site web personnel) . Évalué à 2.

    Peut être peux tu regarder de ce coté :

    http://www.samag.com/documents/s=1824/sam0201h/0201h.htm

    A++

  • # Commentaire supprimé

    Posté par  . Évalué à 2.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Décomposition du problème

      Posté par  . Évalué à 1.

      Pour la différenciation, il s'agirait de classer les utilisateurs suivant différents groupes possédant plus ou moins de ports ouverts vers l'extérieur.

      La sécurité n'étant pas un souci majeur, la différenciation par adresse mac fait très bien l'affaire.

      Un configuration d'iptables telle que celle ci pourrait-elle convenir ?: assigner une plage d'adresses ip par groupe, par exemple:

      - 172.20.1.0 pour le premier groupe
      - 172.20.2.0 pour le second groupe, etc...

      puis assigner des règles différentes suivant les groupes.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 1.

        Ce commentaire a été supprimé par l’équipe de modération.

  • # Les oeufs dans le même panier

    Posté par  . Évalué à 1.

    Ceci dit, 4 Freebox ... moi je prendrais 3 freeboxes et 1 connexion chez un autre fournisseur. Si le dslam de Free perd la boule alors la dernière connexion assure un lien de secours.

    Mais je sais pas si les deux fai sont dans la même armoire au bout de la rue ....

    C'est juste un idée

  • # j'ai une solution ;-)

    Posté par  . Évalué à 2.

    bin j'avais exactement le meme besoin, on est 400 et on avait une seule freebox, et on est passé à 4.

    Config :
    eth0 : interne, eth1 à 4, 4 freebox
    un DHCP (172.20.0.0/255.255.252.0)

    Ma solution est donc :

    Un script php/mysql pour s'inscrire, ca recupère la MAC, l'utilisateur paye, et ca crée une liste des MAC autorisé avec son numéro de ligne.

    iptables marque les paquets (10, 20, 30 ou 40) en fonction de cette liste de MAC,
    Puis fait un SNAT.

    Et apres je gère le routage dans les differentes tables de routage :
    # ip route list table ligne1
    82.234.30.0/24 dev eth1 proto kernel scope link src 82.234.30.170
    default via 82.234.30.254 dev eth1
    # ip route list table ligne2
    82.234.30.0/24 dev eth2 proto kernel scope link src 82.234.30.167
    default via 82.234.30.254 dev eth2
    etc...

    Et des règles de routage en fonction de la marque mise par iptables :
    # ip rule list
    0: from all lookup local
    32326: from all fwmark 0x31 lookup ligne4
    32327: from all fwmark 0x2b lookup ligne4
    32328: from all fwmark 0x2a lookup ligne4
    32329: from all fwmark 0x29 lookup ligne4
    32330: from all fwmark 0x28 lookup ligne4
    32331: from all fwmark 0x27 lookup ligne3
    32332: from all fwmark 0x21 lookup ligne3
    32333: from all fwmark 0x20 lookup ligne3
    32334: from all fwmark 0x1f lookup ligne3
    32335: from all fwmark 0x1e lookup ligne3
    32336: from all fwmark 0x1d lookup ligne2
    32337: from all fwmark 0x17 lookup ligne2
    32338: from all fwmark 0x16 lookup ligne2
    32339: from all fwmark 0x15 lookup ligne2
    32340: from all fwmark 0x14 lookup ligne2
    32341: from all fwmark 0x13 lookup ligne1
    32342: from all fwmark 0xd lookup ligne1
    32343: from all fwmark 0xc lookup ligne1
    32344: from all fwmark 0xb lookup ligne1
    32345: from all fwmark 0xa lookup ligne1
    32766: from all lookup main
    32767: from all lookup default

    En plus de ca j'ai mis de la QoS, qui priotérise en fonction du port (et c'est super efficace : ping en upload non saturé : 45ms, upload saturé 500ms, saturé + QoS 55-60ms)

    Et je choisis les ports sortants ouvert en fonction de la ligne, mais le choix pourais tres bien etre en fonction de la MAC.

    J'ai essayé le load balancing mais toutes les 10 minutes MSN se déconnectait, donc je prefère attribuer les utilisateurs statiquement. Et l'usage moyen des lignes est semblablement le meme.

    Si vous voulez des morceau de mon script (520 lignes), il suffit de me demander.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.