culture Diverses questions sur les réseaux et windows server

[GoLLuM13]

Salut les amis :hello-11a1:,

je vous expose donc le problème :
dans une petite revue nous disposons de :
A- deux connexions ADSL (donc deux modems/routeurs) au RDC - qu'on appellera MR1 et MR2
B- un répéteur DAP-1360 (au 1er étage) qui répète le signal d'un seul modem/routeur (MR1) - qu'on appellera R1
C- 17 machines au 1er étage (par machines comprendre PC, smartphones et tablettes) et 14 machines au rdc - qu'on appellera Mx (où x est un nombre) - la majorité des machine est sur XP, d'autres sur 7 et une en 8.1 (les XP basculeront au minimum sur Windows 7 d'ici peu)
D- il y aura surement une des machines qui se transformera en "mini" serveur (certainement sur 2012 R2) qui sera un serveur de partage de fichiers, d'impressions, DHCP, DNS, Applications (PHP/MySQL)

les questions sont :
1- que me faut-il (Hardware et/ou Software) pour "fusionner" les deux connexions des deux modems/routeurs afin de n’émettre qu'un seul signal ?
2- est-il possible d'assigner des Adresse IP à des machines grâce à leur adresse mac (par exemple) avec le rôle DHCP (ou autre) j'ai bien vu une option réservation, mais je ne sais pas si c'est ça ?
3- est il possible de bloquer des sites/applications par poste (ou devrais-je dire par compte/groupe d'utilisateur, vu que je prévois de créer un domaine, fini les "workgroup") ?
4- est il possible de limiter le débit par compte/groupe d'utilisateur histoire de sanctionner ceux qui n'ont pas froid aux yeux et qui essayerait de faire du téléchargement ?

c'est tout pour le moment :icon-biglaugh-2218:

je vous en remercie d'avance :hat-1194:

 

[GoLLuM13]

je vais répondre à l'une des questions

2- est-il possible d'assigner des Adresse IP à des machines grâce à leur adresse mac (par exemple) avec le rôle DHCP (ou autre) j'ai bien vu une option réservation, mais je ne sais pas si c'est ça ?

oui c'est bien ça, tu vas dans action et tu cliques "nouvelle réservation" ensuite grâce à l'adresse MAC du PC client tu pourras lui assigner une adresse au choix, veille cependant qu'il n'ait pas d'adresse IP fixe sur la machine

:icon-biglaugh-2218:

 

[styl£rs]

Salut, alors pour ton histoire de fusionner les connexions internet, j'ai entendu parler de connectify dispatch -> http://www.connectify.me/ Je n'en sais pas plus.


Ensuite, pour bloquer des sites et applications, faut mettre un petit proxy web genre smootwall avec l'authentification LDAP ( active directory ) et régler ton bordel ( module advance proxy pour smoothwall requis ) et tu bloque tout trafic qui ne passe pas par le proxy web.

Pour ce qui est de la limite de bande passante, faut faire du Qos ( quality of service ) il y'a souvent ce genre de configuration sur les bornes wifi, par exemple sur celle de mon internat que je gère :



Après, avec un smoothwall en proxy web et l'AD, c'est surement possible mais j'ai jamais eu à le faire.


Voilà, dit moi si c'est pas clair ouce1-1a0b:

 

[GoLLuM13]

merci à toi styl£rs

- je suis justement tombé sur ça ce matin :lol-1923: on y citait connectify entre autre, mais je n'y suis arrivé à rien (avec les 5 softs) apparemment il faut au moins une source d'entrée et une autre pour la sortie impossible de faire les deux en même temps avec la même carte wifi, donc il me faudrait un truc du genre deux cartes réseau (ou clé) wifi pour faire la réception (et les fusionner) et une dernière pour l'émission (à condition qu'elle le fasse) bref j'essaierai ça dans les jours à venir

- concernant smoothwall, on peut prendre smoothwall express (gratuit) ou il faut à tout prix la version payante ? sinon n'y a-t-il pas une solution native au Windows Server 2012 R2 ?

- pour le QoS je pense qu'il y a ça dans le modem/routeur et dans le pire des cas je l'ai vu également dans le GPO, mais est-il possible de choisir les comptes qui auront la baisse du débit ? je ne vais quand même pas faire subir ça aux bosses :icon-biglaugh-2218: ni aux employés modèles :icon17-36f7:

 

[styl£rs]

merci à toi styl£rs

- je suis justement tombé sur ça ce matin :lol-1923: on y citait connectify entre autre, mais je n'y suis arrivé à rien (avec les 5 softs) apparemment il faut au moins une source d'entrée et une autre pour la sortie impossible de faire les deux en même temps avec la même carte wifi, donc il me faudrait un truc du genre deux cartes réseau (ou clé) wifi pour faire la réception (et les fusionner) et une dernière pour l'émission (à condition qu'elle le fasse) bref j'essaierai ça dans les jours à venir

- concernant smoothwall, on peut prendre smoothwall express (gratuit) ou il faut à tout prix la version payante ? sinon n'y a-t-il pas une solution native au Windows Server 2012 R2 ?

- pour le QoS je pense qu'il y a ça dans le modem/routeur et dans le pire des cas je l'ai vu également dans le GPO, mais est-il possible de choisir les comptes qui auront la baisse du débit ? je ne vais quand même pas faire subir ça aux bosses :icon-biglaugh-2218: ni aux employés modèles :icon17-36f7:

Bah à vrai dire, j'ai jamais fusionner 2 connections internet, généralement on les réservent par service donc à part les logiciels à 2 balles :wobble-18a4:

Oui, tu peut prendre smoothwall express, c'est avec ça que j'ai fait ce que je te dit, après, windows serveur n'a pas de proxy web, il faut des logiciels genre wingate, mais tu peut virtualiser un smoothwall dans le 2012 r2, mais tu va t'amuser pour les règles de pare-feu ouce1-1a0b:

Et pour finir, si tu à vu la règle dans les gpo, si ce n'est peut-être pas exploitable par utilisateur, ça l'est surement par groupe d'user, alors ça devrait le faire, mais je sais pas le fonctionnement car j'ai pas encore approfondi ce domaine :dontknow-102c:

- - - - - - - - - - -Fusion. Pas bien de faire du flood - - - - - - - - - - -

Ajout : j'ai trouvé ce dossier sur le qos, ça pourrait t'aider : http://www.windowsnetworking.com/articles-tutorials/windows-server-2012/QoS-Windows-Server-2012-Part1.html


Tu mets tes 2 arrivés internet sur 2 réseaux différents, et tu ressort avec 2 pools dhcp différents sur le reste de ton réseau, comme ça tout passe par ton serveur et tu contrôle tout.

 

[GoLLuM13]

merci encore une fois, je vais tester et lire tout ça au calme
par contre ta première phrase a fait tilt dans ma tête, comment utiliser deux connexions différentes disons une par service, et pouvoir partager des documents d'un utilisateur du service 1 avec un utilisateur (ou groupes d'utilisateurs) su service 2 ?
là aussi il me faut un total de 2 ou 3 cartes réseaux ?

PS : (question bonus) je viens de faire un test en machine virtuelle, j'ai réussi à mettre en place le serveur, un utilisateur avec un poste (DHCP, AD DS), bref tout baigne (pour le moment) par contre y a-t-il un moyen de donner les droits à un groupe d'utilisateurs (via GPO ou autre) afin d'installer n'importe quel soft (nous ne sommes pas restrictif sur ce point) sans que l'admin n'interviennent ou sans les mettre dans un groupe d'administrateurs (ce qui ne servirait plus à rien), car je ne trouve plus le groupe "utilisateurs avec pouvoir"

PPS : pour être franc je suis nouveau dans le monde du système et réseau, j'ai eu un module de système et réseau pendant ma formation on avait pour OS linux et server 2003, mais ça remonte à "longtemps" et comme je ne me suis pas exercé entre temps j'ai donc tout oublié :icon-biglaugh-2218:

 

[styl£rs]

Bah alors, pour utiliser une connexion par service, voici un petit schéma ( pour les 16.2x.x, c'est des adresses en 172.16.2X.X/24 )




Pour ce qui est des utilisateurs avec pouvoir, j'en sais rien, je regarde ce week-end, là je suis à l'internat et j'en ai plein la tête :wobble-18a4:

 

[GoLLuM13]

merci à toi styl£rs, je ne sais pas si c'est faisable, surtout qu'il y a que très peu de machine ça risque de compliqué les trucs (surtout pour moi )
par contre on vient de me parler d'UTM software, qu'en penses tu ?

 

[tototo]

ce qui me parait étrange c'est que tu ne parles pas de firewall dans ton architecture ?

 

[GoLLuM13]

le firewall est soft (dans le serveur) et c'est SmoothWall

 

[styl£rs]

merci à toi styl£rs, je ne sais pas si c'est faisable, surtout qu'il y a que très peu de machine ça risque de compliqué les trucs (surtout pour moi )
par contre on vient de me parler d'UTM software, qu'en penses tu ?

Alors, l'UTM pour moi c'est des boitiers rackables qui combinent pas mal d'éléments de type smoothwall et c'est assez sympa, par contre quand tu me parle d'utm software, pour moi c'est un smoothwall ou quelque chose du genre, donc je vois pas trop de quoi tu me parle :insit-1d80:

 

[GoLLuM13]

du genre sophos utm ou kerio control (les exemples qu'on m'a donné)

 

[styl£rs]

C'est de l'utm hardware pour moi, mais c'est sympa, ça économise beaucoup de boulot et c'est beaucoup plus simple à gérer, mais c'est cher, et pas assez évolutif à mon gout. En plus dès fois, une fois que t'a acheter la boiboite bien cher, tu doit encore payé les mises à jour ou des abonnements pour certaines parties logicielles.

 

[GoLLuM13]

il y a effectivement la version hardware, mais il y a aussi une version software qui évite d'acheter la boiboite, et là encore y a le payant et le gratuit comme ces deux là
Sophos UTM Essential Firewall et Sophos UTM Edition familiale, je n'ai pas trouvé de moyen d'installer directement (genre .exe ou .msi) donc ça doit être avec de la virtualisaion (hyper-V ou vmware)

 

[styl£rs]

Pour les liens que tu donne, tu doit soit faire une machine virtuelle sous Vsphere ou Esxi, ou bien dédié une machine, c'est à dire l'installer comme n'importe quel système d'exploitation.

 

[tototo]

tu as une 30aine de pc et t'a pas de FW physique ? :typotux-13e3: (surtout que tu veux installer ton FW sur un Windows ...)
un conseil : le gratuit c'est bien mais le jour où t'a un problème tu te débrouilles ... et ton patron qui était content que ca soit gratuit d'un coup l'est beaucoup moins ...
Regarde du côté des FW physique qui te permettent de faire ta QoS facilement avec gestion des flux bien plus facilement qu'en manipulant un tas de logiciel (+ plein d'autres choses)

 

[GoLLuM13]

comme dit plus haut ce ne sont pas tous des PC, les PC il n'y en a que 16 (à tout casser) le reste c'est des iPad, BlackBerry et Androphones
je ne voulais pas rentrer dans le détail, mais la petite revue veut aussi dire petit moyen, car elle appartient à une association, les licences c'est des dons de plusieurs personnes, mais il n'y a pas de firewall dans le lot (malheureusement :icon17-36f7 d'ou l'option du gratuit ou du très peu coûteux (de préférence), après eux ce qu'ils veulent c'est juste que la connexion marche bien et que le partage de fichier se fasse entre un groupes de personnes et non pas tout le monde

 

[tototo]

c'est sur que ca change la donne.
Je m'en vais relire le tout avec ces nouvelles données alors

 

[styl£rs]

Le QOS de Windows Serveur fera très bien l'affaire alors, et je mettrais une connexion adsl pour les périphériques nomades qui se connectent en wifi ( ipad/téléphones ).


Après, tu n'aurais pas un schéma visio à me passer que je voit exactement comment c'est fait ? Parce qu'on avance à l'aveugle quand même :wobble-18a4:


P.s. : Pour bloquer les téléchargements, déjà pour virer une bonne partie du problème, bloque tout les ports autrent que le 80 et le 443 en sortie, comme ça à part du direct download plus de problèmes, et le Qos fera le reste

 

[GoLLuM13]

Remarque Générale : excusez la schématisation réseau n'est pas mon fort, donc il se peut qu'il y ait une erreur dans les logos, sens des flêches... etc

Voici le réseau actuellement


​

Remarque 1: seul deux PC sont relié en filaire, tout le reste est en WiFi


Et voici ce que je pensais faire (après petite réflexion)

Remarque 2 : je ne sais pas encore si je garde les 2 PC filaires en filaire ou je les bascule en Wifi ou leur fait un réseau Wifi avec un répéteur rien que pour eux ... etc à voir selon les besoins et les moyens


pour ce qui est des ports, quelqu'un m'avait dit de bloquer les ports au-delà du 443, mais je pense faire plutôt comme tu dis, garder uniquement le 80 et 443 ouce1-1a0b:

 

[styl£rs]

Alors, je garderais les schéma du bas, ceux que tu pense faire, ils sont très bien.

Par contre, tout en wifi, la bande passante ça va faire mal, faudrait au moins que la borne wifi du 1ère étage soit câblée et non pas un simple répéteur de signal

 

[GoLLuM13]

merci à toi styl£rs ça fait plaisir de lire qu'ils sont bien fait, surtout que je n'ai pas l'habitude avec les réseaux :icon-biglaugh-2218:
pour câbler celui du haut, ça devrait être faisable vu que le D-Link a deux modes, répéteur et point d'accès, dans le second mode il doit donc être câblé, faudra juste que je lui trouve une autre place pour une bonne diffusion du signal,
sinon j'ajoute une petite précision assez importante dont je me suis rappelé en te lisant (Bande Passante), le Wifi sera du WiFi N dés la source (Routeur après le serveur) et sur tous les postes (quasiment) il y a des récepteur WiFi N également, quant à la connexion au net c'est 2*1Mb donc je pense qu'on peut dire que c'est super large coté bande passante :icon17-36f7:

 

[thorgal]

Je clos le sujet puisqu'il ne vit plus depuis quelques temps déjà (1 mois).