La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
Infrastructure réseau (opérateurs) => Discussion démarrée par: benoitc le 12 septembre 2020 à 10:27:14
-
J'ai deux liens IPs fournis par deux operateurs different (OBS 500 Mbps et un autre 1 Gbps FTTH). L'idée etant de balancer sur le traffic et en cas de panne de l'un des operateurs passer sur l'autre.
Quelles sont les bonnes pratiques pour gérer cette redondance de liens? Comment faire pour gérer dess ips publiques IPv4 et IPv6 au dessus?
-
Bonjour,
Ça va dépendre du besoin, mais pour du particulier : https://lafibre.info/routeur/openmptcprouteur/
-
Pour le particulier hyper aguerri, oui.
Pour le particulier qui veut pas se prendre la tête et au vu de la demande, un routeur Dual Wan fera très bien l'affaire (j'ai un Linksys LRT 224 qui s'accomode très bien de la tâche). Il fayudra utiliser la fonctionnalité FailOver du routeur.
-
ça dépend de ce dont tu as besoin en redondance...
Est ce que des serveurs doivent être accessibles depuis l'extérieur ?
Si c'est juste pour que le réseau local ait "internet", tu as l'option d'un routeur DualWan qui peut
1) privilégier 1 connexion
2) répartir les connexions aléatoirement sur les 2.
évidemment si l'une tombe, tout passe par l'autre.
-
Je crois que ce que veut Benoît, c'est conserver la même IP en cas de bascule.
D'ailleurs on a bien reçu ton mail, on s'en occupe dans la semaine ;)
-
Ah, c'était pas super clair.
Tu vas donc lui fournir une solution à la OVH (over the top) ?
-
Non pas besoin, 2 tunnels et du BGP ça suffit, pas besoin d'un loadbalancing. Mais il m'a demandé avant de poster ici ^^
-
Pour revenir au routeur dual wan (pour le cas où un changement d'IPv4 publique n'est pas problématique), c'est simple en IPv4 mais beaucoup plus compliqué en IPv6, faut de NAT.
-
Je crois que ce que veut Benoît, c'est conserver la même IP en cas de bascule.
D'ailleurs on a bien reçu ton mail, on s'en occupe dans la semaine ;)
C'est exactement ça :) Merci!
Désolé j'aurais être plus clair. Pour ce qui est de conserver l'accès réseau j'ai aussi une connection LTE avec U-LTE-Pro de ubiquiti qui me permet aussi d'acceder en cas de panne au monitoring mais ç'est une problématique différente. L'autre chose que je voudrais tester en local est la tolerance de panne du routeur .
Pour l'instant j'apprends. Merci d'ailleurs à Milkywan pour faciliter l'accès à ces problématique réseau.
-
BGP + VRRP ça devrait satisfaire ton bonheur :)
-
BGP + VRRP ça devrait satisfaire ton bonheur :)
Oui j'etais en train de lire justement la doc sur VRRP :)
-
Je ne vais pas retroller ici Hugues sur les tunnels mais je dirais juste de bien comprendre l'impact et l'incidence des tunnels...
- sur la performance (débit max, charge cpu)
- sur le peering/transit qui change si tout le trafic passe par le tunnel. donc incidence sur la performance, latence, etc
- le mtu (c'est géré en principe mais attention des fois).
Si c'est juste pour une IP d'un service (serveur web chez soi par exemple), il peut y avoir d'autres solutions chez Volterra ( !:p) ou Cloudflare par exemple.
La complexité pour la complexité c'est forcement ce qu'il y a de mieux. Apres si c'est pour ce faire plaisir ou apprendre des trucs la c'est autre chose.
-
Pour ce qui est de conserver l'accès réseau j'ai aussi une connection LTE avec U-LTE-Pro de ubiquiti qui me permet aussi d'acceder en cas de panne au monitoring mais ç'est une problématique différente.
Ça fonctionne bien ? J’ai vu le produit mais je ne sais pas comment les SIMs françaises sont supportées.
-
Ça fonctionne bien ? J’ai vu le produit mais je ne sais pas comment les SIMs françaises sont supportées.
ça fonctionne correctment en tous cas avec une sim Orange. Après cela reste du cat4. A coté utiliser un mikrotik wAP AC LTE6 doublera ton traffic chez Orange quand tu peux accrocher la bonne antenne. L'avantage par contre du U-LTE pro (en beta en europe) est que tu as quasi 0 configuration. En interne cela utilise d'ailleurs un tunnel GRE.
-
Je ne vais pas retroller ici Hugues sur les tunnels mais je dirais juste de bien comprendre l'impact et l'incidence des tunnels...
- sur la performance (débit max, charge cpu)
- sur le peering/transit qui change si tout le trafic passe par le tunnel. donc incidence sur la performance, latence, etc
- le mtu (c'est géré en principe mais attention des fois).
Si c'est juste pour une IP d'un service (serveur web chez soi par exemple), il peut y avoir d'autres solutions chez Volterra ( !:p) ou Cloudflare par exemple.
La complexité pour la complexité c'est forcement ce qu'il y a de mieux. Apres si c'est pour ce faire plaisir ou apprendre des trucs la c'est autre chose.
Yup merci de le rappeler. Je comprends bien la difference, d'ailleurs j'ai mentionné que j'étais chez OBS, donc je pourrais aussi utiliser leurs services pour exposer un service IP. Mais je préfère le chemin choisi actuellement qui me permet de mieux voir ce qui se passe et tester quelque chose d'assez propre.
En ce qui concerne un tunnel GRE au niveau CPU ou meme RAM cela ne va pas chercher très loin non plus et le matos utilisé (edgemax et unifi) est suffisamment dimensionné pour AMHA. En ce qui concerne la complexité, c'est quand meme assez courant d'utiliser un tunnel de nos jours. C'est même utilisé à foison dans les reseaux hybrides ou les services multi DC donc cela ne me choque pas plus que cela.
-
Pour revenir au routeur dual wan (pour le cas où un changement d'IPv4 publique n'est pas problématique), c'est simple en IPv4 mais beaucoup plus compliqué en IPv6, faut de NAT.
Même si ce n'est pas forcément optimal, il reste toujours possible de faire du NPTv6 pour avoir un équivalent au NAT en V4.
Le souci c'est que généralement les routeurs ne font pas d'offload en NPTv6 et donc il faut un routeur hard relativement costaud ou un un routeur soft si on a la fibre et qu'on veut conserver de bons débits.
Pour ma part j'ai du failover IPv4 entre une liaison fibre et une liaison 4G sur 2 EdgeRouter X avec VRRP / Conntrackd pour que tout continue en cas de panne, de MAJ ou autre sur un routeur.
En IPv6 c'est beaucoup moins évident (sur la liaison 4G surtout car un seul /64...).
Du coup je suis en train de tester (ça semble fonctionnel mais à approfondir) pour que la liaison fibre fournisse de l'IPv6 mais que la liaison 4G elle n'en fournisse pas.
En cas de bascule le "notify backup" du failover stoppe Radvd et les options DeprecatePrefix et DecrementLifetimes permettent d'exclure IPv6 des clients.
Au "notify master" on relance Radvd.
Ca ne répond probablement pas à tous les cas mais malheureusement avec IPv6 c'est pas la panacée pour peu qu'on ne veuille pas utiliser un routeur soft (comme VyOS) :( .
-
Même si ce n'est pas forcément optimal, il reste toujours possible de faire du NPTv6 pour avoir un équivalent au NAT en V4.
Le NPTv6 n'est pas équivalent au NAT4 quand on utilise des ULA coté LAN (IPv6 privée) car en dual-stack IPv4 sera prioritaire.
Au pire en backup de lien on pourrait NPTv6 les IPv6 public d'un FAI sur un autre....
ou idéalement il faudrait ne pas faire de dual stack...(donc NAT64/DNS64 en bordure).
pour en revenir au sujet:
Quelles sont les bonnes pratiques pour gérer cette redondance de liens? Comment faire pour gérer dess ips publiques IPv4 et IPv6 au dessus?
En IPv6 tu peux avoir du double adressage partout (MHMP)...chaque machine du LAN a plusieurs IPv6 , au moins une de chaque FAI.
En entrée tu peux répartir/failover en jouant avec des enregistrement DNS multiples et dynamiques ou via un Reverse Proxy/Load balancer externe (style Cloudflare ou les providers cloud public).
En sortie: lire https://www.bortzmeyer.org/7157.html pour les contraintes que cela peut poser. Le principal souci est la sélection de la bonne adresse source et gateway surtout quand il y a 2 routeurs sur le LAN (2 gateway single wan). Avec un seul (1 gateway double wan) c'est un peu plus facile.
En pratique je n'ai jamais testé de scénario double IPv6 (double ou single gateway). Il y a peut-être eu des progrès depuis 2014. J'ai un lab prévu fin novembre la dessus.
lectures :
https://tools.ietf.org/html/rfc7157 et https://www.bortzmeyer.org/7157.html
https://tools.ietf.org/html/rfc8028
https://tools.ietf.org/html/rfc8043
-
Le NPTv6 n'est pas équivalent au NAT4 quand on utilise des ULA coté LAN (IPv6 privée) car en dual-stack IPv4 sera prioritaire.
Au pire en backup de lien on pourrait NPTv6 les IPv6 public d'un FAI sur un autre....
ou idéalement il faudrait ne pas faire de dual stack...(donc NAT64/DNS64 en bordure).
C'est vrai si tu utilises des @IP en fc, fd ou autre ce ne sera pas prioritaire mais techniquement parlant rien n'empêche d'utiliser des GUA réservés comme par ex la 2001:db8 dédiée à la documentation.
C'est certes archi crade (mais pas forcément plus que faire du NPTv6) mais ça fonctionne (je l'ai testé) et aujourd'hui les possibilités de faire du dual homing en IPv6 c'est pas franchement la panacée ou alors il ne faut pas avoir besoin de plusieurs subnets et avoir des subnets statiques.
Le NAT64/DNS64 ça ne règle malheureusement pas le souci des multiples subnets dans un seul /64 dynamique.
Bref comme tu le disais, fin du HS, on s'écarte du problème ;D
-
En solution toute faite, il y a Over The Box d'OVH.
Si c'est pour du "pro", ça me semble pertinent de prendre une solution toute faite, maintenue par un opérateur compétent, plutôt qu'une solution bidouillée qu'il faudra maintenir soi même.
https://www.ovhtelecom.fr/overthebox/
Si tu montes toi même des tunnels, et que tu veux de la redondance, il te faudra plusieurs points de terminaison de tes tunnels côté "internet", et donc un service provider qui sache gérer ça avec conservation des IP. C'est pas évident du tout.
OverTheBox fait ça tout seul sans besoin de bidouiller.
Je ne sais pas s'il existe des équivalents chez d'autres concurrents.
Leon.
-
Y'a des solutions L7 parfois bien plus simple à mettre en oeuvre qu'en L3.
J'en ai vu plein perdre leur temps et leur argent sur des solutions compliquées en L3 alors qu'un simple DNS dynamique contrôlé par un script surveillant la joignabilité des IP publics par exemple apportait la même disponibilité globale (serveur web derrière 2 connections fibre par exemple).
"redondance lien internet, quels sont les bonnes pratiques?" ce n'est pas forcement du L3. Ce qu'on fait pour un DC c'est pas forcément adapté a un petit LAN avec 2 connexions résidentielles fibre.
Sans parler qu'on redonde parfois des trucs sans réaliser que le taux et risque de panne le plus élevé est ailleurs.
Apres si c'est pour faire du business avec des solutions L3 ou apprendre c'est une autre démarche.
-
En solution toute faite, il y a Over The Box d'OVH.
Si c'est pour du "pro", ça me semble pertinent de prendre une solution toute faite, maintenue par un opérateur compétent, plutôt qu'une solution bidouillée qu'il faudra maintenir soi même.
https://www.ovhtelecom.fr/overthebox/
Si tu montes toi même des tunnels, et que tu veux de la redondance, il te faudra plusieurs points de terminaison de tes tunnels côté "internet", et donc un service provider qui sache gérer ça avec conservation des IP. C'est pas évident du tout.
OverTheBox fait ça tout seul sans besoin de bidouiller.
Je ne sais pas s'il existe des équivalents chez d'autres concurrents.
Leon.
J'ai bien pensé à OVH mais ça differe du porojet initial. Pour l'instant je teste le service de milkywan avec la redondance geographique de tunnels et BGP. Après on verra si il y a aussi un interêt à devenir operateur histoire de posséder ma propre plage d'IP & co. Mais il faut que je me familarise avec certaines techniques auparavant. Et puis il y a peut-être d'autre moyen d'acquerir une plage d'IPs et gerer differents liens de transits.
-
En solution toute faite, il y a Over The Box d'OVH.
Si c'est pour du "pro", ça me semble pertinent de prendre une solution toute faite, maintenue par un opérateur compétent, plutôt qu'une solution bidouillée qu'il faudra maintenir soi même.
https://www.ovhtelecom.fr/overthebox/
Si tu montes toi même des tunnels, et que tu veux de la redondance, il te faudra plusieurs points de terminaison de tes tunnels côté "internet", et donc un service provider qui sache gérer ça avec conservation des IP. C'est pas évident du tout.
OverTheBox fait ça tout seul sans besoin de bidouiller.
Je ne sais pas s'il existe des équivalents chez d'autres concurrents.
Leon.
pour completer, a ma connaissance im n’y a pas de concurrent a overthebox. overthebox par contre c ipv4 only. une solution openmptcprouter serait bien encore faut il trouver le vps et le tunnel qui va bien pour faire du 400 Mbps...
-
Il y a bien d'autres opérateurs qu'OVH
https://www.agregation-internet.fr/
https://www.aeratelecom.fr/agregation-de-debits/
La base, c'est d'avoir au moins deux adductions différentes
-
Il y a bien d'autres opérateurs qu'OVH
https://www.agregation-internet.fr/
https://www.aeratelecom.fr/agregation-de-debits/
La base, c'est d'avoir au moins deux adductions différentes
Ils sont orienté ADSL/SDSL/VDSL ceci dit . Un service come ça serait utile sans doute pour la connection "bureau" avec une protection au dessus.
Mais bon dans mon cas c'est plus pour pouvoir gérer (operer) différents services en local qui seront connectés à d'autres points à terme. C'est plutôt un "edgepoint" ici. Les clients vont accéder à différents services dispos à partir de ce point.
Pour l'instant, J'ai 2 connections FTTH pour ça qui utilisent des entrées différentes meme si dans la meme armoire : OBS et Orange Pro (en attendant peut etre de passer chez everko mais là je suis bloqué contractuellement) que je souhaites aggreger et aussi faire du fail over. J'ai une connection 4G dans le pire cas. Avec au dessus des IPv4 et IPv6. Ca commence à fonctionner. Par contre J'ai fait l'erreur d'acheter du edgerouter de chez ubiquiti pour faire tout ça mais c'est un peu trop limité et pas mal de fonctionnalités non finies :/ J'ai commandé du mikrotik en remplacement, cisco étant malheureusement un peu cher...
Bref plus de new soon... Et je suis en train de voir si avoir un AS pourrait sur le long terme permettre de mieux opérer sur cette infra.
-
Si jamais tu veux un peu de consulting pour avoir un autre regard sur ta problématique, tu sais où me trouver ;)
-
Si jamais tu veux un peu de consulting pour avoir un autre regard sur ta problématique, tu sais où me trouver ;)
pourquoi pas en effet :)