@nscheffer
Je me suis intéressé de nouveau au multiwan
Tu dois connaitre openmptcprouter https://lafibre.info/routeur/openmptcprouteur/ que j'ai découvert récemment mais il faut un VPS avec une bande passante des 2 connexions, c'est donc surtout utile pour l'instant pour ceux en ADSL + 4G ou avec 2 ADSL car les VPS qui proposent plus de 1 gbps doivent être chers. Pour l'aggragétion, c'est ce qui semble le plus efficace car ça envoie les paquets sur les 2 connexions avec réordonnancement coté VPS donc les 2 connexions sont vraiment utilisées même sur un seul service.
Les avantages et inconvénients que je vois de cette solution :
avantages : failover 'automatique', utilisation des 2 réseaux même sur un seul service, une seule IP publique utilisée, celle du VPS, qui est en plus statique, évitement complet des réseaux opérateurs avec chiffrement, on peut choisir
un VPS qui souscrit à la neutralité du net (https://www.ffdn.org/fr/services) etc.
inconvénients : + de latence car on passe par un VPS avec réordonnancement des paquets, cout du VPS, IP d'un service cloud donc limitation possible des services, car suspicion d'être un robot/serveur, le service cloud à contrario a les informations que les opérateurs n'ont plus (mais neutralité du net possible https://www.ffdn.org/fr/services), etc.
j'ai vu qu'OVH fait un routeur "overthebox" qui exploite ceci (depuis longtemps)
le MPTCP (Multipath TCP) est donc vraiment intéressant, pas encore dispo sur openbsd, OpenMPTCProuter sur linux utilise https://www.multipath-tcp.org/ qui est en version 0.95 depuis 2019 (donc stable?).
Je regarde aussi pour le load balancing, une autre piste outre LACP et ECMP, semble être CARP qui permet de partager une IP virtuelle par plusieurs équipements (ici ce serait les box) et qui gère le load balancing aussi https://www.openbsd.org/faq/pf/carp.html, l'utilité est plutôt d'avoir plusieurs firewalls redondants, mais comme on peut voir les box des opérateurs comme des firewalls, ça semble être une option de plus (mais avec toujours le défaut des IP publiques qui bougent avec le load balancing j'imagine)
pfsense l'utilise pour du failover de firewall (je ne sais pas pour le load balancing) : https://www.provya.net/?d=2016/10/02/07/48/16-
Si j'avais 2 fibres et un VPS rapide, je pense que je ferai quelques tests avec le MPTCP pour certains flux pour avoir le double de bande passante, et pour le reste, je mettrai dans le routeur openbsd plusieurs tables de routage en utilisant juste rtable / rdomain (et pf pour communiquer entre les rdomain) https://wiki.evolix.org/HowtoOpenBSD/VRF-rtable-rdomain
ça permet de choisir facilement quelle interface va utiliser quelle route et on peut lancer des applications qui vont être assigné qu'a une seule route avec "route -T 1 exec application"
Et si on a besoin d'une application ou d'une interface qui utilise les 2 routes simultanément (sans lancer les applications en double sur les 2 routes) on doit pouvoir même utiliser facilement ECMP, j'essayerai bien un truc du genre (l'avantage d'ECMP mais réservé qu'a une application ou à une interface) :
route -T 1 add -mpath default $wan0
route -T 1 add -mpath default $wan1
ifconfig interface0 rdomain 1
ifconfig interface1 rdomain 1
route -T 1 exec $application
route -T 1 exec $application2
Le seul truc compliqué est de prévoir la perte de connexion d'une des 2 connexions, et le basculement de tout le traffic sur l'autre route.
Bonjour @shrd,
Merci de ton retour, je connais bien OpenMTCPRouter ainsi que l'offre d'OVH que j'avais à une époque il y a quelques années.
Les avantages :
- de faire un N fois ta bande passante en fonction du nombre de ligne (N) que tu ajoutes pour l'upload et le download
- tu fais un bypass de toutes l'injection de pub lors du browsing web faites par Orange et les autres
Par contre pour les inconvénients :
- tu déportes le routage fais par ton opérateur (par exemple tous les accords de peering d'Orange ne sont plus opérationnels comme pour Netflix, YouTube, etc...) vers OVH
- tu n'as plus d'IPv4 grand public vu comme un utilisateur mais des IPv4 OVH vu comme un Pro donc censure pour certaines services et sites
- je suis pas sur qu'IPv6 soit supporté
Mais au final quand tu veux augmenter ton débit et que tes liens sont limités c'est une bonne solution.
Dans mon cas j'ai deux fibres Orange (une Grand Public et une Pro) et un routeur/firewall FortiGate 101F (
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/fortigate-100f-series.pdf) et je travaille chez Fortinet depuis 2 ans...
L'avantage du FortiGate sur le multi liens :
- il va faire ce que l'on appelle du SD-WAN (je n'utilise qu'une toute petite partie des fonctions) c'est à dire mesurer en temps réel la qualité de chaque lien (ping, latence, jitter, réponse applicative, débit U/D, etc..) pour envoyer chaque requête applicative dans le meilleur lien
- c'est lui qui fait la haute dispo, si un lien tombe, quand il revient c'est complètement transparent
- il va aussi repartir le traffic sur les deux liens, un Speedtest dépassera largement les 2Gbps car j'utilise la totalité des deux liens (4Gbps) par contre ce n'est vrai que pour le download ca l'est moins pour l'upload car le site distant n'accepte pas tous le temps une Ipv4 différente dans la même session
- quand je sors sur chaque lien j'ai une NAT44 sur l'IPv4 de chaque Livebox
- pour me connecter à la maison j'ai un Alias DNS qui pointe sur les deux Ipv4 des Livebox
L'inconvénient à aujourd'hui
- j'ai une double NAT (Fibre -> Livebox -> FortiGate -> Lan) j'ai pas le choix car j'ai encore des fonctions qui ne sont pas natives ou existantes dans FortiOS pour supprimer les Livebox
- mais mon plus gros problème est IPv6 !!!!!
Pour la partie IPv6 je cherche à savoir :
- quelle est la meilleure stratégie quand on a du MultiWAN ou SD-WAN !
- doit-on avoir sur le LAN un réseau en fe80::1 ou fd00::1 ou autre et faire une NAT64 soit vers un des prefix /64 de chaque Livebox ou utiliser l'IPv6 du ForitGate reçu par chaque Livebox en SLAAC ?
- ou doit-on avoir sur le LAN autant d'IPv6 public venant du prefix en délégation de chaque Livebox, mais dans ce cas NAT ou NPT ? comment le device sait quelle IPv6 utiliser ?
Mon focus n'est que sur cette partie IPv6 tout le reste fonctionne à merveille.
Merci encore de tes recherches et de ton retour. C'est toujours très intéressant de savoir ce qui existe..
Nicolas