Comme Orange m’a enfin installé la fibre avant hier, je me retrouve maintenant avec deux liens:
ma ligne VDSL (free)
ma toute nouvelle ligne FTTH (sosh)
Premier hic… pas d’IPv4 fixe chez l’opérateur historique, mais il y a de l’IPv6 (progrès !)
Deuxième hic… comment être accessible depuis les deux liens de façon transparente et en profitant au mieux de la bande passante ?
J’avais repéré l’offre overthebox d’OVH qui sert justement à ça.
Intérêt:
les liens sont agrégés (cumul de bande passante)
les liens sont redondants
Le dépôt github overthebox d’ovh étant « archivé », j’ai l’impression que rien de bouge plus de ce côté, même si l’offre commerciale existe toujours.
La techno sous-jacente c’est MPTCP, multipath-tcp.
Donc… j’ai fouillé un peu plus et trouvé OpenMPCTPRouter, un projet qui semble bien actif (une release par mois), même si il n’y a qu’un contributeur (français) derrière.
Le principe de fonctionnement:
un routeur logiciel
installer une instance côté « maison » (chaton dans ma cave)
installer une instance sur un VPS ou dédié hébergé à l’extérieur (j’ai une dedibox pour tester)
Vu de l’extérieur, c’est l’IPv4 du VPS externe qui est publique… le traffic est routé via un ou plusieurs liens (jusqu’à 8 de gérés si j’ai bien compris). Cadeau bonux, on peut rajouter des IPv4 sur le VPS si nécessaire.
Inconvénient… ça rajoute une couche, donc des pannes possibles, de la latence.
Qu’en dites-vous ?
PS: Pour tester, j’ai installer la partie routeur maison, dans un container Proxmox…
Il me semble que Julien de LDN avait configuré un trucs qui ressemble au château de Millemont. Il a écrit un super document sur ce déploiement. A la fin il a mis la configuration de la security gateway qu’il utilise pour ça: https://julien.vaubourg.com/files/cr_millemont.pdf
Tu parles d’une méthode transparente, mais selon les services tu pourrais aussi imaginer une méthode non transparente.
A chaud comme ça avec ta config, j’envisagerais d’installer un client dyndns pour mettre à jour l’ipv4 de la connexion fibre. Je mettrais un simple DNS roundrobin avec une zone DNS dynamique ainsi le trafic entrant serait répartit, et tu peux enlever une ip quand une connexion tombe.
Sur ton infra, tu peux ensuite utiliser des règles iptables pour router les emails via l’ipv4 VDSL et les ipv6.
Et pour l’envoi, je pense qu’il y aurait moyen de gérer une solution de routage en fonction de la charge avec ça: https://wiki.debian-fr.xyz/Routage_sélectif_vers_plusieurs_connexions_internet
Pour l’envoi ça peut être par défaut le mail via VDSL et le reste via la fibre, avec un trucs qui vérifie si le lien est fonctionnel et qui bascule en cas de besoin.
Bon c’est du bricolage pas trop transparent par contre, mais avec ça pas besoin de serveur en amont…
Du côté de BGP, il y a peut être des trucs à voir pour adapter les routes en fonction de la charge. Mais je comprend presque rien sur BGP
Sachant que de mon point de vue l’avantage des 2 connexions c’est surtout la redondance avant de vouloir cumuler les bandes passantes.
La question de la BP elle se pose à condition d’avoir bossé énormément la communication. Une fibre optique ça encaisse bien en théorie.
Je met en gras, car chez ARN, par le passé on a sous estimer la question de la communication par rapport aux dimensionnement technique prévu au départ…
Après un samedi à me plonger sur ce sujet, ce qui est clair c’est que la gestion du réseau ça peut vite se compliquer !
J’ai pu installer OpenMPTCProuter (alias OMR):
côté externe dans un container LXC sous proxmox sur ma dédibox, avec une IPv4 dédiée (failover)
côté interne, dans une vm KVM elle aussi sous proxmox sur un de mes serveurs.
Les liens sont bien agrégés, l’IP publique est celle du container sur la dédibox.
La redondance semble fonctionner quand je coupe au niveau logiciel l’un ou l’autre des liens… à vérifier avec une coupure physique sur la box fibre.
Ce que je n’arrive pas à faire fonctionner pour l’instant c’est le forwarding de ports, pour qu’une connexion entrante sur l’IP publique soit redirigée sur IP interne de mon réseau local.
Mon problème venait du container LXC pour la partie WAN… qui ne peut pas fonctionner car mptcp nécessite un kernel particulier. Une fois passé en KVM, j’ai pu mettre en place de forwarding de ports.
Quelques jours après la mise en place d’OpenMPTCProuter, je suis vraiment content du fonctionnement.
La ligne VDSL free fonctionne donc en backup de la fibre sosh.
Tout est géré dans des machines virtuelles par proxmox. Je peux donc migrer le routeur logiciel d’un serveur physique à l’autre, avec une coupure minimale.
Dans une dizaine de jours, une seconde fibre (bouygues ultym) devrait être activée, ce qui permettra d’être redondant avec l’actuelle fibre sosh basique.
