Quentin Demoulière

Mon blog personnel

Ma nouvelle infrastructure réseau

Rédigé par Quentin Demouliere - - 1 commentaire

Ces derniers jours, j'avais vraiment envie de revoir un peu mon infrastructure réseau personnelle. Je me suis donc inspiré de l'excellente intervention de iMil lors de PSES 2012, just for fun ;)

L'idée est la suivante :

En fonction du réseau Wi-fi (SSID) ou du VLAN sur lequel je suis connecté avec une de mes machines chez moi, le trafic à destination d'Internet ne passera pas par le même endroit.

Je dispose donc de 3 réseaux Wifi différents :

  1. Le trafic provenant des machines connectées au SSID "MonFAIpourri" passera par mon FAI ADSL de base tout crade
  2. Le trafic provenant des machines connectées au SSID "MonFAIAssociatif" transitera par un VPN à destination de mon FAI associatif préféré
  3. Le trafic provenant des machines connectées au SSID "Freedom" transitera par un VPN proposé par une entreprise spécialisée.

Les connexions VPN ne seront pas directes depuis mon LAN personnel vers les différents fournisseurs de service VPN mais passeront par 2 de mes serveurs dédiés. Malgré une augmentation de la latence, cela m'offre la possibilité d'utiliser ces accès VPN depuis plusieurs machines y compris lorsque je ne suis pas chez moi. J'utilise pour l'instant OpenVPN entre mon routeur à la maison et mes serveurs dédiés mais j'hésite à  utiliser plutôt une solution basée sur GRE et IPSec afin d'optimiser les performances des tunnels en question.

L'autre question que l'on peut être amener à se poser est pourquoi deux accès VPN différents ? Et bien c'est qu'ils n'ont tous simplement pas le même rôle ni la même utilité.

  1. Le VPN fourni par mon FAI associatif me permet d'avoir un accès propre, respectant la neutralité du net et sans bridage. Il n'a cependant pas vocation à améliorer mon anonymat et la préservation de ma vie privée puisque je dispose d'une adresse IP publique statique qui me correspond avec une sortie en France.
  2. Le VPN proposé par l'entreprise spécialisée me fournit une sortie à l'étranger et renforce mon anonymat à l'aide de divers mécanismes tels que le NAT, technologies de rebond, proxy web et proxy TOR.

Ainsi en fonction de mes besoins, je change simplement de SSID Wifi. Tout cela m'a demandé pas mal de boulot, et j'essaierai de publier une documentation ou un billet afin de détailler la partie technique. Enfin, je joins à ce billet, un schéma que j'ai construit et qui récapitule le fonctionnement de l'ensemble de mon infrastructure (le document au format PDF est ici).

Ma nouvelle infrastructure

Si vous avez des remarques et suggestions, je reste bien entendu à votre disposition. Enjoy ;)

Debian and Unix Addict

1 commentaire

#1 Dju a dit :

salut :)
chouette install, dis donc !
pour ma part j'ai juste une sortie normale et une "propre". je me tate sur une 3è pour l'anonymisation... mais ca fait defa une bonne différence, notamment sur le peering hors de france (mon fai n'est pas top pour ça...)
pour la perf, ipsec > openvpn. de loin.
j'ai une fibre gigabit depuis quelques mois, et en openvpn, je dépasse pas 15/20 Mo. c'est pas mal, mais dommage quand meme. en ipsec, 65 Mo/s

Écrire un commentaire

Quelle est la troisième lettre du mot gypngc ? :