Bonjour à tous,
Nous sommes une petite association avec pas mal d'équipement informatique pour notre taille (20 aine de serveurs OS win / linux, 75 postes clients principalement winXP) réparti sur deux sites.
Depuis quelques temps, nous rencontrons pas mal de problèmes que nous attribuons (peut être à tord) au réseau. Les deux sites sont reliés par une connexion "vpn sécurisé point à point" de chez FT de 2 Mb d'un coté et de 1 Mb de l'autre.
Nos problèmes :
- Nous faisons passer de la visio sur cette fameuse connexion, ainsi qu'une synchronisation entre deux serveurs de fichiers, sans rien prioriser pour le moment. Quand ya plus de place, ça passe plus. Logiquement quand la connexion est sollicité pour une grosse synchronisation de fichiers, la visio en prend un coup. Ce qui n'est par contre pas normal c'est que la visio est parfois inutilisable ( perte d'image, artéfact sonores et tout le tralala ) même quand il ne se passe rien d'autres sur le tuyau.
- Nous avons un serveur de fichier dans chaque site qui se synchronisent à travers la connexion FT. Ils nous remontent au moins une fois par jour un message d’échec de connexion avec le serveur d'en face.
- Nos utilisateurs subissent des déconnections sur leurs postes client : comme si le câble était débranché qui durent en générale quelques minutes. Ca arrive 1 ou 2 fois par semaine.
C'est une collection de problème qui n'ont peut être rien à voir les uns avec les autres. D'après FT il n'y a pas de problème sur notre ligne. La bande passante consommé par la visio est de 256 Kb max.
Nous cherchons une solution à base de logiciels libres, nous aimerions éviter les "boites noirs" et nous ne sommes pas fermé à une prestation à condition qu'on nous forme sur la solution pour pouvoir l'utiliser ensuite.
On nous a déjà proposé Securactive NSS ( qui n'est pas libre ).
Il n'est pas vraiment question de chambouler toute l'architecture pour le moment, merci d'éviter les "pourquoi un vpn chez FT !? Autant le faire vous même sur votre connexion ADSL !" qui sera peut être la solution si on se rend compte qu'on a une coupure par jour sur notre vpn orange de la mort.
"Dis moi ce dont tu as besoin, je te dirais comment t'en passer" s'abstenir ! On essaie de faire marcher l'existant :-)
Merci pour votre aide, bonne fin de journée :)
Raph
Forum général.général Solution "audit" réseau et/ou prestation
28
oct.
2010
# livebox et deconnexion une fois par jour
Posté par NeoX . Évalué à 1.
je ne sais pas si c'est toujours le cas, mais c'est pour ca qu'on avait preferé prendre un autre FAI, ou simplement un autre modem/routeur.
je ne sais pas si le VPN Orange utilise ou pas une livebox, mais imaginons que ce soit le cas,
et tu as alors possibilité d'avoir 2 coupures par jour (une par extremité).
ensuite suivant le prix du VPN Orange, et la distance à couvrir, il y a peut-etre d'autres solutions a etudier.
[^] # Re: livebox et deconnexion une fois par jour
Posté par Raphaël . Évalué à 1.
Comme précisé dans mon message d'origine, il n'est pas encore question de tout changer, mais plutôt de trouver l'origine des problèmes.
[^] # Re: livebox et deconnexion une fois par jour
Posté par totof2000 . Évalué à 2.
Payer un technicien Orange pour qu'il vérifie le paramétrage du VPN ?
[^] # Re: livebox et deconnexion une fois par jour
Posté par fcartegnie . Évalué à 3.
Les mêmes qui mettent les livebox pro en wep ou font un point d'accès ouvert pour les clients et laissent admin/admin en auth ?
[^] # Re: livebox et deconnexion une fois par jour
Posté par fcartegnie . Évalué à 2.
Faux. C'est uniquement le bail DHCP qui expire et donc l'adresse IP qui change. C'est valable pour tous les FAI sans IP fixe.
[^] # Re: livebox et deconnexion une fois par jour
Posté par SQP . Évalué à 3.
# VPN, quelle techno ?
Posté par tontonrico . Évalué à 3.
Quand tu parles de VPN securisé point-à-point de chez FT, c'est quoi ? Une connexion IP/MPLS ou un VPN type IPSEC sur l'Internet ?
La techno fait une grand différence et peut être la source de tes ennuis (si c'est un VPN sur le Net).
Pour voir ce qu'il se passe, je peux conseiller Nagios et Cacti qui avec l'emploi judicieux de SNMP et de scripts maison t'éclaireront sur les éventuels problèmes de fiabilité. l'outil Iperf peut t'être utile aussi pour vérifier les débits.
Bref, il y a plein d'outils que tu peux utiliser.
Bon courage
[^] # Re: VPN, quelle techno ?
Posté par Raphaël . Évalué à 1.
Il s'agit d'une connexion IP/MPLS chez FT.
J'aimais bien la solution securactive nss : on branche la boite sur un switch en haut de la cascade, on le configure pour dupliquer tout le trafic qu'il voit passer et de la balancer sur le port de la boite. La boite fait des tonnes de logs et de stats et on interprète après quelques semaines.
[^] # Re: VPN, quelle techno ?
Posté par tontonrico . Évalué à 1.
# Commencer par faire son audit à soi !
Posté par ze_lionix (site web personnel) . Évalué à 5.
Il y a un outil génial sous linux pour détecter ce genre de truc et tapper sur la tête de son FAI : mtr.
Il est installé de base si la distro est pas trop vielle. Tu en fais tourner un a gauche, un a droite, sur 24h et ca devrait donner une bonne idée ( peut être même au bout de 2h ) !
Pour l'affichage choisie "RS" pour avoit le nombre de paquet plutôt qu'un %...
Après tu peux affiner, utiliser des outils plus avancés, mais c'est déjà un premier gros pas...
Fuse : j'en Use et Abuse !
[^] # Re: Commencer par faire son audit à soi !
Posté par ashgan . Évalué à 2.
dans la meme veine de l'audit interne, j'aime aussi beaucoup etherape, ca me permets de voir vite fait si y'a pas un margoulain qui abuse de la bande passante sur le lan.
[^] # Re: Commencer par faire son audit à soi !
Posté par Raphaël . Évalué à 1.
Mais ça ne m'empêchera pas de tester l'outil que tu proposes, merci :)
[^] # Re: Commencer par faire son audit à soi !
Posté par Raphaël . Évalué à 1.
Je vais essayer tout de suite !
# differenciation trafic vers internet/ trafic vers l'autre site
Posté par NeoX . Évalué à 2.
comment se fait la distinction entre le trafic BureauA<->internet
et le trafic BureauA<->BureauB
tu as un routeur à toi avec deux cartes reseaux dont une avec une connexion internet autre que le IP/MPLS ?
comme ca :
Internet pour A
|
Routeur Bureau A <--> PCs du bureauA
|
Routeur MPLS
|
VPN
|
Routeur MPLS
|
Routeur Bureau B <--> PCs du bureauB
|
Internet pour B
ou bien tout le monde passe par la meme sortie internet ?
Internet (pour A et B)
|
Routeur Bureau A <--> PCs du bureauA
|
Routeur MPLS
|
VPN
|
Routeur MPLS <--> Routeur Bureau B <--> PCs du bureauB
dans le cas ou tu as des routeurs perso avant d'aller sur internet ou vers le MPLS, tu peux aussi mettre iptraf ou iftop sur le routeur du Bureau pour monitorer qui fait quoi pendant les periodes de blocages
# KISS
Posté par Old Geek . Évalué à 1.
et envoyer ça vers une sonde ntop,
=> prendre un pinguin avec 2 cartes réseaux, en prendre une pour se connecter !, l'autre pour recevoir le traffic du port mirroré (celui du routeur)
=> pour le sniff : mettre juste l'interface du linux en Up et pas d'ip dessus
=> après un petit tcpdump sur le flux mirroré, de temps en temps fait pas de mal aussi !
Nicolas
PS: si pas de mirroring dispo dans tes switchs, bah prendre un pinguin et faire un pont ethernet avec, que tu places entre le routeur et le switch ..., et au pire du pire, placer un HUB
PS2: oui j'utilise des mots pas
# Et après ???
Posté par briaeros007 . Évalué à 2.
(on utilise souvent des priorité pour séparés les fluxs ayant des contraintes fortes : d'abord téléphonie/audio , ensuite vidéo/visio, et enfin data
Les autres partages de bandes passantes sont souvent utilisés par des réservations et quota (file htb/sfq/... etc...))
).
Il te "suffit" de mettre un pc en coupure entre ton routeur mpls et et ton sous réseau pour le faire.
Ps : on ne sait bien prioritiser que les flux sortants.
Les flux rentrants étant plus ennuyant.
Il faudrait donc, pour mettre cette solution en place, deux "pc" : chacun derrière un routeur mpls.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.