Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vlan ??

    Français
    3
    6
    4.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lastarHack
      last edited by

      Bonjour,

      J'ai crée plusieurs interface sur mon pfsense avec plusieurs sous réseaux .
      (architecture LAN et réseaux virtuel sous vmware)

      Ma question est assez simple:

      Y 'a t il une utilité (avantage,inconvénient) de créer des VLAN, sachant que j'ai déja plusieurs sous réseaux avec mes interfaces virtuel ?

      Je travail sur la mise en place d'un petit Lan "entreprise" virtuel pour des Pen Test
      (test intrusif)

      Je connais le principe des VLAN , son fonctionnement , mais je ne vois pas l'utilité sous pfense ( du fait qu'il y'a deja la mise en place de plusieurs interface virtu mettant donc a dispo des sous réseaux), d'ou ma question ..
      J'espere être clair

      Mon objectif est de reproduire exactement un p'tit LAN d'entreprise

      Merci pour votre aide
      Cordialement

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Nous sortons du cadre de Pfsense avec cette question relative aux Vlans.

        Revenons, pour mémoire, à la définition d'un Vlan. Un vlan défini un domaine de diffusion (broadcast).

        Du point de vue de Pfsense, il n'y a aucun inconvénient à créer des vlans. Pourquoi ? simplement parce que l'on ne le fait que si on en a besoin. De la même façon il n'y a pas, spécifiquement sous Pfsense, d'intérêt particulier à utiliser les vlans. La décision d'utiliser des vlans ne dépend en rien de la présence de Pfsense. Ce que je suis en train de vous dire c'est que finalement il n'y a aucun rapport entre Pfsense et les vlans. Alors me direz vous pourquoi peut on en créer sous Pfsense ?

        La décision d'utiliser des vlans peut avoir plusieurs origines. La technologie vlans est un moyen simple de transporter et d'isoler des segments Ethernet différents sans remettre en cause le cablage. Elle permet aussi de mettre en oeuvre de la sécurité en profondeur, dans les différentes zones du réseau de l'entreprise. Les vlans à eux seuls ne sont pas de la sécurité mais bien configurés, dans un ensemble bien conçu, ils peuvent contribuer à la sécurité. Voilà grossièrement des raisons de recourir aux vlans.

        Pour revenir à vos questions, vous mettez sur le même plan sous réseaux, inrteface virtuelle (spécifique à votre environnement de simulation qui en aucun cas ne peut être utilisé en production) et vlans. Il y a confusion. Ces trois concepts ou outils ne sont en rien interchangeables, même si ils sont liés. Ecartons les interfaces virtuelles. C'est encore une fois une configuration spécifique lié à l'usage de Vmware.

        Si l'on créé des sous réseau c'est pour segmenter le réseau, isoler différentes zones, différents flux. Ceci pour des raisons de sécurité mais aussi de performance. Si vous créez des sous réseaux avec des interfaces virtuelles mais en transportant tout cela sur le même cablage et le même switch, il n'y a pas d'amélioration possible des performances et encore moins de sécurité. Tout le monde peut se placer sur le réseau de son choix, écouter tout le trafic facilement, accéder à n'importe quel sous réseau. L'utilisation de vlans judicieusement configurés sur les équipements réseau (firewall, commutateurs, contrôleur wifi, …) permet d'empêcher cela. Sur les commutateurs il va de soit que les ports doivent être affectés statiquement à un vlan et que les ports inutilisés doivent être désactivés. Et que les commutateurs doivent être physiquement sécurisés. Par exemple il est souvent inutile que différents serveurs situés dans une même dmz puisse communiquer directement en eux. C'est même nuisible puisqu'un serveur compromis pourrait être utilisé pour en atteindre un autre. L'isolation de ces machines dans des vlans privés peut être une solution, de même si ils doivent communiquer, on pourra grâce aux vlans forcer le passage par le firewall et non par le réseau local reliant ces serveurs. Le support des vlans sur notre firewall sera alors fort utile. Il n'en serait pas de même si l'on se limite à des sous réseaux partageant le même cablage, le même switch, la même interface physique quand bien même nous aurions des interfaces virtuelles dans Vmware.

        Comme vous le voyez cela n'entre guerre dans le cadre de Pfsense lui même.

        1 Reply Last reply Reply Quote 0
        • L
          lastarHack
          last edited by

          @ccnet:

          Pour revenir à vos questions, vous mettez sur le même plan sous réseaux, inrteface virtuelle (spécifique à votre environnement de simulation qui en aucun cas ne peut être utilisé en production) et vlans. Il y a confusion. Ces trois concepts ou outils ne sont en rien interchangeables, même si ils sont liés. Ecartons les interfaces virtuelles. C'est encore une fois une configuration spécifique lié à l'usage de Vmware.

          Bonsoir CCnet ,

          Effectivement vu sous cet angle la , il y'a une grosse confusion de ma part….
          Sa ne m'a pas percuté une seule seconde ...

          @ccnet:

          L'isolation de ces machines dans des vlans privés peut être une solution, de même si ils doivent communiquer, on pourra grâce aux vlans forcer le passage par le firewall et non par le réseau local reliant ces serveurs. Le support des vlans sur notre firewall sera alors fort utile. Il n'en serait pas de même si l'on se limite à des sous réseaux partageant le même cablage, le même switch[…]

          Effectivement, si les sous réseaux partage les mêmes matériel il n'ya plus d'interêt.
          Donc si je comprend bien , étant sous VMware, il est mieux de faire des VLAN? Puisque dans mon cas , les sous réseaux partagent le même matériel
          (le host hébergeant les différentes vm) Vous en pensez quoi ? Je doit reproduire au maximum une mini architecture Local d'une entreprise.( elle ne sera pas du tout en prod..), D'aprés ce que vous aviez dit , on pourra forcer le passage par le firewall et non par le réseaux local reliant ces serveurs…
          ( je n'ai pas trop compris  ??)

          @ccnet:

          Si vous créez des sous réseaux avec des interfaces virtuelles mais en transportant tout cela sur le même cablage et le même switch, il n'y a pas d'amélioration possible des performances et encore moins de sécurité. Tout le monde peut se placer sur le réseau de son choix, écouter tout le trafic facilement, accéder à n'importe quel sous réseau. L'utilisation de vlans judicieusement configurés sur les équipements réseau (firewall, commutateurs, contrôleur wifi, …) permet d'empêcher cela.

          y'a t- il à votre connaissance des solutions "virtuel" ou " émulateur " de matériel de type  "commutateurs" ?
          Sinon pfsense pour les VLAN ? c'est suffisant ?

          @ccnet:

          Par exemple il est souvent inutile que différents serveurs situés dans une même dmz puisse communiquer directement en eux. C'est même nuisible puisqu'un serveur compromis pourrait être utilisé pour en atteindre un autre.

          Les rules du pare feu pfsense sur les interfaces suffiront je pense ?

          Merci Beaucoup CCnet ,
          j'admire votre professionalisme et vos compétences..

          Bien Cordialement

          1 Reply Last reply Reply Quote 0
          • J
            Juve
            last edited by

            Petit résumé sur pfsense et les interfaces.

            Dans pfSense, une interface, comme présentée dans le menu d'édition des règles, représente une zone logique d'isolation. Cette isolation peut être matérialisée physiquement par trois type d'éléments sous jacents:

            • une carte réseau Ethernet (filaire ou non)
            • un vlan (taggé en E/S de pfsense, sur une carte ethernet choisie dans le menu d'association)
            • un tunnel (ipsec, pptp(GRE),ppoe,ssl)

            Les vlan sont donc bien utiles quand:

            • on a un switch les supportant
            • besoins d'un grand nombre de zones d'isolation
            • peu de cartes physiques

            Par exemple, si on possède trois cartes ethernet 1 gbit/s et que l'on désire faire du multiwan (par exemple avec une livebox, une freebox, une dartybox, un modem numericable, et une neuf box…et j en passe), il sera judicieux d'allouer une seule carte physique a tous les WAN. Pour cela il suffit de créer 5 zones logiques (free,ft,neuf,nc,darty) matérialsée par 5 vlan différents associés a une seule carte Gigabit puis de configurer un switch supportant les vlan (802.1q) et acceptant ces 5 vlan taggés sur l'interface ou sera branché pfsense. Au final vous aurez optimisé les débits car dans tous les cas, avec ces 5 connexions, vous ne saturerez pas une carte gigabit.

            Bonne chance.

            1 Reply Last reply Reply Quote 0
            • L
              lastarHack
              last edited by

              Bonsoir Juve,

              Excellent…

              Merci
              Cordialement

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                D'aprés ce que vous aviez dit , on pourra forcer le passage par le firewall et non par le réseaux local reliant ces serveurs…
                ( je n'ai pas trop compris  ??)

                Supposons une dmz avec deux serveurs, un relais smtp et un serveur web par exemple. Dans une configuration simple c'est deux machine sont connectées à un switch, elles sont sur le même segment Ethernet, elles sont dans le même sous réseau. Depuis le serveur Web par exemple je peux tenter d'accéder au relai smtp sans passer par le firewall.
                Dans une configuration plus sophistiquée Nous définissons au moins deux Vlans sur le switch, un port trunk connecté à une interface du firewall supportant elle aussi les deux vlans, donc deux interfaces logiques. Pour passer du serveur web au serveur smtp le trafic doit passer par le firewall. D'où un meilleur contrôle, une défense en profondeur.

                y'a t- il à votre connaissance des solutions "virtuel" ou " émulateur " de matériel de type  "commutateurs" ?
                Sinon pfsense pour les VLAN ? c'est suffisant ?

                Il en existe en autre chez Cisco, mais aussi
                http://www.reseaucerta.org/outils/outils.php?num=236
                http://networksims.com/emulators.html payant pas très cher, concerne le monde Cisco.

                Oui, les vlan de Pfsense fonctionnent tout à fait bien.

                Merci pour le compliments, mais je suis loin d'être seul, il y a beaucoup de gens qui connaissent bien leur métiers.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.