# Mettre un proxy derrière un routeur Linux ayant 2 uplinks!

## sympaval

Salut à tous!

Comme vous le verrez certainement, j'ai eu à poser mon problème déjà à la suite d'un autre du genre posé par Tony, sur ce forum, et je pense vu le fait que son problème ait déjà été résolu, que je devrais ouvrir un nouveau post pour avoir plus de chance d'obtenir de l'aide.

Je vous prie de me venir en aide, merci avant tout.

En effet, j'ai un appliance Linux faisant office de proxy pour mon réseau interne. Cette machine permet également via le nat, à mes utilisateurs internes d'aller sur internet et à mes utilisateurs externes de se connecter aux serveurs internes suivant des règles définies sur le firewall/proxy.

Pour les connexions depuis l'extérieur, je dispose d'une plage d'adresses publique de mon FAI et pour chaque serveur interne accessible depuis l'extérieur, j'ai fait un DNAT sur une adresse publique spécifique.

Pour se connecter à internet, le firewall sert de mes passerelle pour les utilisateurs internes, et pour se connecter à mes serveurs depuis l'extérieur, mes utilisateurs disposent d'une adresse publique pour chaque serveur qui sera ensuite NATée sur l'adresse privée du serveur concerné.

J'ai une deuxième connexion internet aujourd'hui voici ma problématique:

- Je veux mettre en entrée de mon réseau un routeur Linux qui va gérer le loadbalancing/failover pour les connexion sortantes

- Derrière le routeur se trouvera mon firewall/proxy qui gère le réseau interne

-Comment pourrait-je permettre au routeur de router les requêtes des utilisateurs externes vers le proxy, et en suite du proxy vers les serveurs internes concernés?

- Pourrais-je toujours faire de la redirection d'adresses publiques avec désormais la carte externe de mon firewall sur une adresse privée? Ou alors à ce niveau c'est une redirection de port qui s'impose? Si oui petit détail

- Si je pourrai faire de la redirection d'adresses publiques pour les connexions depuis l'extérieur, est-ce que je pourrai utiliser mes deux plages d'adresses publiques? (Mon nouveau FAI m'as également donnée une plage d'adresses publiques)

- Enfin comment puis-je efficacement gérer les accès depuis l'extérieur avec mes deux connexions internet?

Vous avez ci-joint un petit schéma de l'architecture que je prévois, et j'attends vos objections et propositions.

Je précise que je n'ai aucun problème pour l'implémentation du loadbalancing/failover en sortie; j'ai déjà développé les scripts sur mon routeur Linux Debian, mais je ne sais pas comment le placer en production afin qu'il cohabite avec mon firewall.

[IMG]http://img404.imageshack.us/img404/8311/topologiecible.png[/IMG]

Uploaded with ImageShack.us

Merci et à très bientôt!Last edited by sympaval on Tue Jun 08, 2010 10:36 am; edited 1 time in total

----------

## El_Goretto

Peux-tu alors STP supprimer ton post dans l'autre thread? Ca évitera de diviser les réponses éventuelles, tout comme une involontaire pollution de l'autre thread original.

----------

## geekounet

Et peux-tu mettre ton titre du topic en conformité avec les conventions de notre forum s'il te plait ? Merci  :Smile: 

----------

## sympaval

Le gars je m'excuse vraiment si j'ai violé des règles.

Je na sais pas vraiment de quoi vous parlez quand vous parlez de conformité.

Par contre pour la suppression de mon post, je suis d'accord malgré que de l'autre côté tony a déjà donné une première réponse, même si ma problématique n'est pas résolue.

Je vous prie d'aviser s'il y a du souci en ce qui me concerne, en me disant exactement où j'ai commis la bêtise dans mon post.  Je respecte énormément le forum et je ne ferais rien d'inconvenant express.

Merci pour votre attention

----------

## sympaval

J'ai constaté que pour supprimer mos post de l'autre côté je devais commencer par le dernier que j'ai envoyé à Tony en qui m'a répondu.

 *Tony Clifton wrote:*   

> Effectivement, tu peux réaliser sans problème ton partage de charge. Le fonctionnement est assez simple : tu fais ton partage de charge avec iproute2 et ensuite iptables se charge de ne pas mélanger tout ça, à grand coup de marquage de paquet. Tu peux donc marquer tes paquets en PREROUTING, POSTROUTING, INPUT...  afin de contrôler ton réseau comme tu le désir.
> 
> Par contre je comprends pas trop pourquoi tu veux ajouter un nouveau routeur, il suffit simplement de connecter ton nouveau lien internet à ton routeur existant et de lui apprendre a gérer tout ça.

 

C'est pour quoi je reporte la réponse ici

 *sympaval wrote:*   

> Salut Tony!
> 
> je comprends que je peux utiliser directement le routeur firewall existant.  Mais j'ai deux souci:
> 
> -Premièrement, le firewall est une appliance (Endian) , comme tu l'as vu sur le schéma, qui prépackagé et avec une gestion via interface graphique que je ne préfère pas très souvent. du coup je risque ne pas pouvoir établir mes règles avec précision, et si quelque chose ne marche pas, je peux rencontrer des soucis dans le dépannage.
> ...

 

----------

## geekounet

 *sympaval wrote:*   

> Le gars je m'excuse vraiment si j'ai violé des règles.
> 
> Je na sais pas vraiment de quoi vous parlez quand vous parlez de conformité.

 

Suffit de lire le lien que je t'ai donné pour lire les règles, et d'éditer ton premier post pour changer le titre et le rendre conforme.

Pour la suppression de post, c'est normal que tu ne puisses pas s'il y a eu une réponse par la suite.

----------

## sympaval

OK Gekounet!

J'ai modifié le titre, en espérant qu'il maintenant conforme, puis-je maintenant bénéficier de votre aide proprement dite pour mon problème?

Merci d'avance.

----------

## sympaval

Bonjour à tout le monde,

Je reviens avec mon pb après un petit silence.

En effet j'ai finalement comme Tonny me le conseillait pour un routeur debian que j'ai mis sur pied pour gérer mes deux liaisons internet.

le routage et le filtrage ont été bien implémentés sur le routeur, et le loadbalancing marche super bien. Les connexions rentrantes et sortantes se passent bien.

Alors mon problème actuellement est que mon routeur doit aussi faire aussi office de serveur VPN avec IPSec en net-to-net. Alors dans ce cas comment je configure les deux adresses publiques de mon routeur pour la passerelle.

La solution serait à mon niveau de mettre en place deux tunels, et de gérer au niveau des entrées, l'utilisation de l'un ou de l'autre, actif/passif par exemple. Là ce n'est qu'uen vue théorique que j'ai .

Si cette approche est bonne pour utiliser les deux adresse publiques de mon routeur pour le serveur von, j'aimerais que vous m'assistiez un peu pour les détails techniques.

Comment je configure IPSec/LT2P dans ce cas pour gérer les deux tunels?

Merci pour votre aide et votre générosité

----------

## geekounet

Est-ce que tu peux modifier le titre comme je l'avais demandé auparavant stp ?  :Smile: 

----------

