Auteur Sujet: Multi WAN - IP monitor - best practices ? (Lu 645 fois)

JDoe · « **le:** 28 février 2024 à 12:03:30 »

Bonjour à tous,

Lorsque vous mettez en place du multi WAN, quelle(s) IP utilisez vous pour monitorer les liens (up/down, latence, perte de paquets) ?
Le next hop de la gateway ? une IP telle que 8.8.8.8 ? une autre IP ?

Si je mets le next hop de la gateway cela ne va pas vraiment me donner beaucoup d'indication sur la qualité globale du lien, cela permet essentiellement de monitorer si la première partie du lien est down mais pas vriament la qualité en terme de perte de paquet ou latence lorsqu'on accède à des services sur internet.
Si je mets une IP comme 8.8.8.8 je risque d'avoir des mesures pas super fiables car la réponse unicast peut provenir de serveurs différents.
Si j'utilise une autre IP, comment la définir ?
Merci pour vos indications.

JD

rooot · « **Réponse #1 le:** 28 février 2024 à 13:11:42 »

salut,
si tu trouves que 8.8.8.8 n'est pas assez fiable car la réponse peut venir d'autres serveurs, rien ne te garantira non plus en pingant autre chose que la route soit toujours la meme, car elle peut changer suivant les besoins ou les problemes de ton FAI.
perso je pense que le dns de google c'est suiffisamment fiable, il ne va pas y avoir de grosses variations. Au final l'objectif c'est quand même de s'assurer que l'acces a internet est bien fonctionnel ?

Dans ma boite on utilise uptimerobot.com, en fait l'approche est inversée, c'est leur serveur qui ping mon routeur. peut etre que ce serait un truc comme ca qui te conviendrait ?
En fait on peut choisir plusieurs modes, soit c'est toi qui les ping, soit c'est eux. il n'y a pas que des "pings" tu peux faire des requetes web vers des pages, etc...
Il y a d'autres équivalents sur le marché, les serveurs d'uptimerobot sont aux US, donc la latence indiquée est assez élevée, ils vont en déployer en europe prochainement.

Parmi les monitorings que tu peux faire, tu as ceci :

Http(s) : correspond a une requete http
Keyword : la presence d'un mot dans une page suite a une requete http
Ping : le ping donc
Port : si un port est ouvert sur un ip
HeartBeat : C'est ton serveur qui envoie une requete vers le leur. Donc tu fais une tache planifiée sur un serveur qui execute une requete http.

buddy · « **Réponse #2 le:** 28 février 2024 à 13:25:43 »

Citation de: rooot le 28 février 2024 à 13:11:42

Dans ma boite on utilise uptimerobot.com, en fait l'approche est inversée, c'est leur serveur qui ping mon routeur. peut etre que ce serait un truc comme ca qui te conviendrait ?

+1 pour le dual wan dans mon entreprise.
On ping le lien principal toutes les minutes je crois et le lien secondaire toutes les 15 ou 30 min.

JDoe · « **Réponse #3 le:** 28 février 2024 à 14:59:55 »

Citation de: rooot le 28 février 2024 à 13:11:42

si tu trouves que 8.8.8.8 n'est pas assez fiable car la réponse peut venir d'autres serveurs, rien ne te garantira non plus en pingant autre chose que la route soit toujours la meme, car elle peut changer suivant les besoins ou les problemes de ton FAI.
perso je pense que le dns de google c'est suiffisamment fiable, il ne va pas y avoir de grosses variations. Au final l'objectif c'est quand même de s'assurer que l'acces a internet est bien fonctionnel ?

Merci pour ta réponse.
Lorsque je fais du multiwan sur Fortigate je peux effectivement utiliser différents health check (ping http twamp ftp ...) sur la même cible.
Quand j'utilise pfSense je ne peux pas utiliser deux fois la même adresse IP comme "link monitor", ce qui est un peu dommage car sur deux liens différents on a pas le même référentiel pour déterminer le lien qui est le meilleur.
Je vais checker uptimerobot.com.

rooot · « **Réponse #4 le:** 28 février 2024 à 15:14:14 »

comme tu peux le voir, le ping uptimerobot vers mon routeur à une latence de 140ms en moyenne. C'est élevé, mais bon on voit déjà que c'est stable, en attendant le déploiement de leurs serveurs en europe qu'ils ont annoncé il ya quelques mois.

JDoe · « **Réponse #5 le:** 28 février 2024 à 16:15:25 »

Pour tester je viens de créer un monitoring gratuit, j'ai aussi 140ms.

Donc j'imagine qu'on crée un monitoring par IP qu'on veut monitorer. Lorsque uptimerobot détecte qu'un lien (principal) n'est plus accessible, quelle est la cinématique pour que le routeur passe sur un autre lien ?
Je ne suis pas certain que le sens uptimerobot -> routeur réponde à mon besoin...

buddy · « **Réponse #6 le:** 28 février 2024 à 16:17:35 »

UptimeRobot ne fait que monitorer ton lien et te prévient par mail. (c'est utile pour vérifier que ton lien de secours fonctionne bien ET le lien principal des fois que tu ne vois pas qu'il y a eu une bascule..)
Normalement ton routeur est assez intelligent pour basculer automatiquement d'un lien à l'autre de manière quasi invisible si la config FailOver a été bien faite.

rooot · « **Réponse #7 le:** 28 février 2024 à 16:21:20 »

Citation de: JDoe le 28 février 2024 à 16:15:25

Pour tester je viens de créer un monitoring gratuit, j'ai aussi 140ms.

Donc j'imagine qu'on crée un monitoring par IP qu'on veut monitorer. Lorsque uptimerobot détecte qu'un lien (principal) n'est plus accessible, quelle est la cinématique pour que le routeur passe sur un autre lien ?
Je ne suis pas certain que le sens uptimerobot -> routeur réponde à mon besoin...

je suis en multiwan, 1 routeur Orange + 1 routeur Bouygues, j'ai 2 moniteurs, un pour chaque ip publique des routeurs.
uptimerobot -> FTTH Orange
uptimerobot -> FTTH Bouygues

Après tout dépend de ce que tu veux faire ressortir dans ton indicateur. Si tu veux montrer que si une des 2 lignes tombe, tu as toujours un accès à internet, alors il faut que ce soit une machine de ton réseau qui envoie une requete vers uptimerobot. Si ton failover fonctionne bien la requete sortira, et tu n'auras pas de downtime.

JDoe · « **Réponse #8 le:** 01 mars 2024 à 09:01:45 »

OK, effectivement je vois l'intérêt de uptimerobot pour faire le suivi de la qualité des liens et être informé d'une bascule. Je note que cela nécessite de disposer d'une IP publique à monitorer (ce qui peut être compliqué en cas d'utilisation de VPN mutualisés).

Cela ne répond pas tout à fait à ma problématique de départ.
Ma question était: quelle cilble (adresse IP) utiliser pour vérifier la qualité complète du lien et surtout vérifier que le service (par exemple: surf internet) fonctionne bien ?
Je prends le cas de pfSense: le multiwan ne permet pas de mettre la même "monitor IP" pour vérifier la qualité de plusieurs liens. Donc à priori la comparaison de fonctionnement des liens n'est pas fiable puisque on compare des choux et des carottes.
En poussant la réflexion, on pourrait se dire que 8.8.8.8 et 8.8.4.4 devraient être "à peu près équivalents" et peuvent servir comme "monitor IP", mais quelle autre IP utiliser si on a 3 liens ?

jeannot · « **Réponse #9 le:** 01 mars 2024 à 09:07:32 »

sur une installation dsl+starlink, j'utilise le premier "hop" côté opérateur, qui est différent pour chaque lien.
ce n'est pas idéal car ça peut changer, mais ça a l'intérêt de rester proche.

JDoe · « **Réponse #10 le:** 01 mars 2024 à 09:13:36 »

J'ai aussi utilisé le next hop de chaque gateway, mais dans ce cas tu ne mesures que la qualité du premier tronçon. Cela permet essentiellement de vérifier si le lien est down mais cela ne permet pas de voir si le service est rendu (vision globale de la qualité du lien).
Dans mon cas pfSense exclu un lien lorsque celui-ci a trop de latence ou trop de packet loss. Si je monitor le next hop (j'ai testé) le lien est toujours en bonne santé bien que celui-ci ne rende pas le service attendu.

rooot · « **Réponse #11 le:** 01 mars 2024 à 10:45:03 »

Citation de: JDoe le 01 mars 2024 à 09:01:45

En poussant la réflexion, on pourrait se dire que 8.8.8.8 et 8.8.4.4 devraient être "à peu près équivalents" et peuvent servir comme "monitor IP", mais quelle autre IP utiliser si on a 3 liens ?

1.1.1.1 ?
Après tu as la liste des root dns servers.
https://www.iana.org/domains/root/servers