Multi Vlan avec brigde d'interface [RESOLU]

verash

Bonjour a tous,

Cela fait maintenant 2 mois que je suis sur un projet, et j'avoue que maintenant je ne sais plus comment faire tellement j'ai essayé des possibilité…

Problematique :

En fait je doit faire de pfsense une sonde ids avec vlan...pour cela j'ai 2 carte gigabits double port...lers cartes sont bien reconnues (avec la ver 1.2.3) avec la possibilité de faire du vlan...

Le schema reseau est plutot simple...

==>switch.192.168.32.151/24(Natif99)==>(em0)pfsense==>(em1)==>switch.192.168.32.223/24(Natif99)
                                                              ==>(bce0)==>serveur sensible.192.168.38.101/24(40 et 99)

J'ai l'obligation de faire du vlan...

voici donc ma config :
le switch.192.168.32.151/24 (em0)tag les trames du vlan  40(serveursensible)et 99(admin)...le port vlan de l'interco est natif en vlan1

le switch.192.168.32.223/24 (em1)tag les trames du vlan  99(admin)...le port vlan de l'interco est natif en vlan1
le serveur sensible.192.168.38.101/24 (bce0) ne doit etre vu que par le vlan 99 et le vlan 40

Maintenant je n'arrive a rien.......................(promis un dessin viendra demain...j'espere...)

j'ai essayé de creer une interface sur le "wan" (em0) acceptant toutes les trames (switch.192.168.32.151/24 (em0) trames untagged pour vlan99, 1, 40) et ensuite creation d'interfaces vlan basés sur l'interface "wan avec un bridge pour les 3 vlans arrivant de l'interface "wan" (99, 40, 1)...puis creation d'interface, et bridge des vlan sur les interfaces (em1 pour le vlan 99 et 1 et bce0 pour le vlan 99 et 40)...ca marche pas...

(pour faire plus simple, l'interface wan prend tout le traffic et le distribue au autres interface suivant les vlans necessaire...)

j'ai essayé de creer sur l'interface "wan" le vlan 99 (em0) ainsi que sur "opt1" pour le vlan 40 (em0) et "opt2" pour le vlan1 (em0), tout cela sur l'interface connecté au switch 192.168.32.151 et bridge vers les interfaces bce0 et em1...(em1 pour le vlan 99 et 1 et bce0 pour le vlan 99 et 40)...marche pas non plus...

j'espere que vosu avez tout compris...en fait ma question est simple comme mon explication du dessus (le premier qui rigole, y sort...)

Comment je doit faire pour avoir le traffic de 3 vlans arrivant sur l'interface wan (1, 40 , 99) et etant dispatché sur 2 interfaces de cette maniere  : vlan 40 et 99 pour l'un et vlan 1 et 99 pour l'autre...bridge, pas bridge etc...

La question est vraiment claire...

Pour les regles de firewall, on verra ca plus tard, disons que la seule restriction est le vlan, et tout le traffic appartenant au vlan peu passer...

Je reste a votre dispo pour toute question si vous n'avez rien compris...et je me connect vraiment souvent...alors n'hesitez pas...

Alors j'ai parcouru le forum 20 fois avant de poser mon probleme...cela fait 8 ans que je suis admin, mais cest bien la premiere fois que je suis bloqué totalement...faut dire qu'avant j'utilisait ipcop mais les vlans n'existait pas...alors il y a 2 mois, j'ai changé de distrib ids car mon patron voulait une archi secure...

Merci de votre aide...svp...jsuis dans la merde jusquau cou...

Verash...

ccnet

Arrivé à la lecture d'environ un quart de votre message il y a deux points qui ne sont pas clairs pour moi.

En fait je doit faire de pfsense une sonde ids avec vlan…

Juste une sonde ou vous souhaitez conserver ses fonctions de firewall et utiliser Snort dessus ?

==>(bce0)==>serveur sensible.192.168.38.101/24(40 et 99)

Je comprend le schéma mais pourquoi, comment, deux vlans avec une seule ip ?

Et une question subsidiaire : quelle marque de switch ?

Vivement le schéma.

verash

Merci de cette premiere reponse…

Pour ce qui est des fonctions firewall, je m'en occuperai après...je pense que cela ne me posera pas trop de probleme, mais effectivement c'est prevu...

Pour ce qui est des 2 ips identiques, en fait ce n'est pas utile...mais ne sachant pas comment prendre le probleme, j'ai prefere prendre la meme ip...(bon a la reflexion je ne sais pas pourquoi je m'entete a prendre 2 ips...)

Enfin pour le materiel c'est du enterasys B3 du cote em1 et un enterasys N7 du cote em0...

la nuit porte conseil, je vais donc continuer a reflechir en attendant que je vous poste le schema...

verash

Voici donc le shema…finalement je ne l'avais jamais posé (trop l'habitude de travailler a la volée...pas bien), et en posant le probleme je comprend deja mieux...mais comment faire...je chercher activement de mon cote en attendant...

ccnet

Entre opt1 et 192.168.38.101, quelle raison y a t il de monter deux vlan alors que la machine est seule dans le réseau physique et a priori dans le réseau 192.168.38.0 ? Pour le moment je n'y voit que des complications sans raison.

J'ai l'impression que vous mélangez les vlans avec les sous réseaux ….Dès lors que vous traversez  Pfsense (qui travaille au niveau 3) la notion de Vlan est "perdue" pour chacun des segments ethernet (couche 2) connectés. Avoir un vlan 40 de chaque côté de Pfsense ne signifie pas avoir un seul Vlan, mais bien deux.

Je vois un vmware dans le réseau 192.168.40.0. Il faudrait détailler davantage surtout puisque :

mon patron voulait une archi secure…

Qui dit Vmware dit machines multiples donc ip multiples. De plus quel Vmware ? Là non plus je ne vois pas la pertinence de l'usage d'un vlan si la machine est seule dans son segment ethernet et son sous réseau ip

verash

donc :

j'ai remarqué une chose…

les vlan sur les interfaces "wan" (cf dessin...vlan 1, 40, 99) fonctionne...
les bridges sur les interfaces "opt1" (cf dessin...vlan 40, 99) fonctionne...
le nat sur l'interface "lan" (cf dessin) fonctionne...

jusqu'ici tout va bien...

par contre lorsque je crée un interface vlan 99 pour "opt2", je perd le ping vers le vlan 40 de "opt1"...mais j'ai toujours le ping du vlan 99 de "opt1"...et bien entendu le vlan 99 pour opt2 pour aller au switch b3 ne fonctionne pas...

J'ai rebooté, mais rien n'y fait...

je cherche pourquoi...!!!

---

Pour repondre a CCnet...

en fait pour le reseau 192.168.38.0/24 seul le serveur se trouve derriere un interface physique, mais les clients sont coté N7...en vlan 40...J'ai fait ca pour continuer le vlan jusquau serveur...mais peut etre que de creer une adresse ip 192.168.38.2/24 et natter la totalite du traffic de cette adresse vers le serveur serait plus judicieux...qu'en pensez vous...???

Pour le melange des sous reseaux...c'est un probleme historique...en fait a la base (l'ancien admin) tout etait dans un reseau /19 (serveur, imprimantes, poste xp clients etc...)...aujourd'hui il faut que je fasse cette archi en /24 sans que les clients soit impactés pour le moment...une fois mon archi prete, il faudra que je pousse les parametres dhcp de l'adresse ip en /24...c'est pour cela que j'ai 2 masque de sous reseau qui se chevauche...pour le moment je n'ai pas eu de probleme, mais je sais pertinament que ce n'est absoument pas propre...

pour le vmware, je n'ai pas fait de vlan...(mauvais dessin)...en fait j'ai natter les ports vmware qui m'interessait vers la machine...d'ou le reseau a part...d'ou possibilité plus tard de router le reseau 192.168.40.0/24...

ccnet

en fait pour le reseau 192.168.38.0/24 seul le serveur se trouve derriere un interface physique, mais les clients sont coté N7…en vlan 40...J'ai fait ca pour continuer le vlan jusquau serveur...mais peut etre que de creer une adresse ip 192.168.38.2/24 et natter la totalite du traffc de cette adresse vers le serveur serait plus judicieux...qu'en pensez vous

Oui, sous réserve que vous n'ayez pas besoin de connaitre les adresses sources réelles. Vous ne verrez qu'une seule adresse source, celle de l'interface Wan.

Pour le melange des sous reseaux…c'est un probleme historique...en fait a la base (l'ancien admin) tout etait dans un reseau /19 (serveur, imprimantes, poste xp clients etc...)...aujourd'hui il faut que je fasse cette archi en /24 sans que les clients soit impactés pour le moment...une fois mon archi prete, il faudra que je pousse les parametres dhcp de l'adresse ip en /24...c'est pour cela que j'ai 2 masque de sous reseau qui se chevauche...pour le moment je n'ai pas eu de probleme, mais je sais pertinament que ce n'est absoument pas propre...

Ce n'est pas mon propos. Je précise : le mélange dont je parle c'est le mélange des concepts ! Mélange confirmé ici :

J'ai fait ca pour continuer le vlan jusquau serveur…

Je répète le message : Avoir un vlan 40 de chaque côté de Pfsense ne signifie pas avoir un seul Vlan, mais bien deux. Donc deux vlan différents.

Vous n'avez pas répondu à propos de vmware.

Globalement votre problème gagnerait à être posé sous l'angle fonctionnel et non en terme de solution que vous ne parvenez par à faire fonctionner. En repartant des besoins de bases, sans induire de solution, il serait possible de faire quelque chose de clair

Pour en revenir à l'ids je ne traiterai pas le problème de cette façon.

http://forum.pfsense.org/index.php/topic,13618.0.html
http://forum.pfsense.org/index.php/topic,15852.0.html

Pour moi Snort n'a rien à faire sur le firewall.  Un port de copie sur le switch serait très nettement préférable pour alimenter une sonde séparée. Après il reste le problème de l'utilisation, la gestion des logs et alertes, la mise à jour des règles de la sonde. Je ne sais pas ce que vous en attendez mais ce n'est pas évident du tout sur le plan organisationnel.

Enfin pour moter vos vlan sur les cartes Pfsense : http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense

verash

Dsl pour le We, mais je ne travaille pas…Cela m'a permis de bien reflechir a ce que vous aviez dit d'ou ces quelques precisions...

Pour moi quand un Vlan arrive d'un switch et repart sur un autre, je configure au 2 extremites un vlan afin qu'il puisse discuter ensemble...Tag des ports non natif...
C'est ce que j'ai fait...J'ai compris mon erreur...

En fait je pensais que PfSense pouvait aiguiller le vlan a l'interieur du pfsense...Et effectivement c'est le cas...Il aiguille mais vers une seule destination en entree et en sortie...

Maintenant tout fonctionne...je pingue bien le switch depuis le matrixN7 vers le B3...les bridges font leurs travail le nat aussi et j'ai mise des regles de firewall (niv3) sur les @ip...

En fait je suis parti sur une mauvaises bases et vos propos m'ont fourni les informations qu'il me manquait...Merci CCnet, j'ai vu sur le forum que vous eitez tres actif et merci de la part des admins...heureusement que tout cele existe...j'essaierai d'etre aussi dsipo si mes competances sont assez bonnes...ou si j'ai d'autres problemes...

En attendant, je n'ai pas tout reglé...effectivement tout fonctionne...Mais...car il y a toujours un Mais concernant l'Ids j'ai lu vos posts et je trouve cela trees interessant (bonjourl a paumade)...

Ceci dit j'ai deja fait un port mirorin sur le matrix n7 pour justement faire de l'analyse de traffic (bien sur l'interface lan client et non lan serveur)...mais j'ai fait ecrouler le reseau car le matrix etati a mon sens trop chargé...

Il me reste donc le VmWare Server 2.0.0 Build 122956...voici pour la version...

Effectivement je pourrai faire une machine virtuelle afin de faire transiter le traffic (juste du vlan par default en fait), vers cette machine et connect au pfsense...Mais est-ce La Solution, ou me conseiller vous de faire autrement...Suivant les post que j'ai lu (merci a vous pour les liens), apparement c'est une bonne solution, mais comment faire pour que le traffic arrive jusqua la la machine...

Sinon pour la solution et si cela interesse je pourrait mettre les screenshot pour aider le prochain qui se prendra la tete...sur les Vlan...Effectivement ce n'est pas tres compliqué...poser son dessin c'est assez magique et avoir de bon conseil fait le reste...

Merci et a vote dispo...

ccnet

@verash:

Il me reste donc le VmWare Server 2.0.0 Build 122956…voici pour la version...

Effectivement je pourrai faire une machine virtuelle afin de faire transiter le traffic (juste du vlan par default en fait), vers cette machine et connect au pfsense...Mais est-ce La Solution, ou me conseiller vous de faire autrement...Suivant les post que j'ai lu (merci a vous pour les liens), apparement c'est une bonne solution, mais comment faire pour que le traffic arrive jusqua la la machine...

Ma remarque concerne le choix de la version de Pfsense. A mon sens Vmware 2.x (Linux ou Windows) n'est pas adapté en production en entreprise. Vmware ESX 3.5 (ou 4 si l'on a des procs 64bits) est hautement préférable. Compromettre l'hyperviseur ESX reste beaucoup plus difficile qu'un Linux servant à héberger des machines virtuelles. Au surplus Esx, (2 interaces physiques minimum) permet la gestion des Vlan sur les switchs virtuels. Il m'est arrivé d'utiliser un Vlan distinct pour chaque vm, de connecter la carte vers un switch dont un port est configuré en trunk (pour les vlans issus de vmware uniquement, et surtout pas le vlan natif). Un autre trunk (partiel lui aussi) est connecté à Pfsense, précisément à l'interface qui supporte les Vlans. La communication entre chaque machine, si elle est nécessaire, implique le passage par le firewall, ce qui offre une meilleure isolation.

verash

Mais VMWARE ESX est payante ???

Bon clair je suis en entreprise, mais mon boss aime bien quand ca coute 0…car sinon le central nous impose des choix payants, et mon but et de tout faire avec des licences GNU...

En plus je viens de m'interesser a la virtualisation chez moi pour des besoins perso, et je me suis apercu que sur la version VMWARE  serveur il n'y a pas moyen de rajouter des interfaces pci genre carte Wlan...car TV ou autre...ni d'ailleurs sur aucun logiciel de vitualisation a part XEN...

donc apres lecture de XEN je m'oriente vers ce logiciel...

Ta conf est effectivement interessante, cela permet de passer le traffic par les machines virutelles...mais n'as tu na pas eu de problemes de lenteur...car avec vmware, je trouve que ca ram un peu quand meme...meme avec de grosse config...(mon vmware tourne sur un bi pro quad cor 64 b avec 8 g de ram...)

Au passage, je n'ai pas trouve de solution pour pfsense 64 bits...y aurait-il une version en test, car mon pfsense, a 8 go de memoire, et ne peux en lire que 4...(adressage en 32 bits)...sans la version 64 bits je perd 4 g de ram...heureusement que mon patron ne sais pas ca...lol...

sinon pour les vlan, ca tourne pas trop mal, encore quelques problemes de passerelles entre les vlan, mais 95 % fonctionne...

Pour l'ids tu me conseilles quelle logiciel...a part snort...

ccnet

Mais VMWARE ESX est payante

Non. Pas les versions de base en 3.5 (32bits) comme en 4.0 (64bits). Et comme vous n'avez sans doute pas besoin de Vmcenter, ni de Vmotion …

mais n'as tu na pas eu de problemes de lenteur…car avec vmware, je trouve que ca ram un peu quand meme...meme avec de grosse config...(mon vmware tourne sur un bi pro quad cor 64 b avec 8 g de ram...)

Non, vous devez avoir des problèmes ailleurs. Certain de mes clients ont de très lourdes configurations (plusieurs esx, quelques dizaine de serveurs, 45 To en baies externes) et des centaines d'utilisateurs sans qu'il y ait de problème de performance.
Vmware serveur 2.0 sur un Linux ou un Windows n'est en rien comparable à ESX.

A quoi peuvent bien servir 8Go, ou même seulement 4Go de mémoire pour Pfsense ?

verash

Je vais donc essayer la version ESX pour voir…

A quoi peuvent bien servir 8Go, ou même seulement 4Go de mémoire pour Pfsense ?

A rien…C'est mon patron qui avait un gros budget et qui voulais absolument blinder les serveurs...alors je me retrouve avec un bi pro quad core en raid 5 avec 8 go de memoire...je sais c'est donner de la confiture au cochon...mais je n'allais pas cracher sur cette machine...et en plus il m'en a pris 2 pour faire du loadbalancing...

D'ou ma question sur pfsense a quand la version 64 bits...

Sinon pour les flux il va y avoir 400 clients de connects sur 25 serveurs differents...avec des flux normaux...AD, antivirus, intranet, fichiers, spooler...

Mon patron avait peur qu'il y est des ralentissement sur cette machine...lol...

Apres on me donne je prend...

En tout cas les vlans fonctionne super bien...il est en vacances, mais j'ai hate de lui montrer le resultat...vive l'augmentaion en fin d'année...lol...

Sinon je voulais aussi mettre snort dessus...avec tout ce matos, je me disais que je n'alouridrai pas le travail du pfsense...mais bon c'est un choix...et je ne sais pas si c'est le bon...j'hesite encore a mettre une sonde ids ailleurs...

ccnet

Je comprend pour le matériel. C'est quand même un comble de ne pas dépenser l'argent là où il faudrait et d le dépenser là où c'est inutile. Bref, c'est comme ça.

Pour la sonde.

…j'hesite encore a mettre une sonde ids ailleurs...

Et vous avez raison d'hésiter. Réfléchissons : je ne sais pas quel niveau de sécurité vous souhaitez atteindre. Mais je suis pratiquement certain d'une chose, avant de mettre en place, de paramétrer, d'exploiter et de maintenir opérationnel un ids (les deux serniers points sont de loin les plus difficiels), il y a surement une bonne dizaine de choses plus simples que vous pouvez entreprendre pour améliorer votre niveau de sécurité.

Si néanmoins vous voulez placer une sonde, sa présence sur Pfsense n'est pas une bonne idée. J'ai indiqué dans plusieurs messages ici, et pas seulement moi, pourquoi ce n'est pas une bonne idée. Il y aussi des informations sur le placement de la sonde (vaste sujet d'ailleurs) selon les risques que l'on a identifié.

verash

Je comprend pour le matériel. C'est quand même un comble de ne pas dépenser l'argent là où il faudrait et d le dépenser là où c'est inutile. Bref, c'est comme ça

Pareil…mais on va pas se plaindre...

je ne sais pas quel niveau de sécurité vous souhaitez atteindre. Mais je suis pratiquement certain d'une chose, avant de mettre en place, de paramétrer, d'exploiter et de maintenir opérationnel un ids (les deux serniers points sont de loin les plus difficiels), il y a surement une bonne dizaine de choses plus simples que vous pouvez entreprendre pour améliorer votre niveau de sécurité.

Une bonne dizaine…hummm...vlan, regles de firewall, vpn!!!, captive portail, dns propre (a soi), arp statique...(d'ailleurs existe-til un logiciel qui regarde les tables arp...au cas ou elle changerai...et meme en statique..(icmp redirect ou arp reply)...car ca c'est THE ATTACK...pas grand chose a faire...a part regarder ses tables arp bouger...mais pour le reste des choses a faire pour se proteger je vois pas bien...

Si néanmoins vous voulez placer une sonde, sa présence sur Pfsense n'est pas une bonne idée. J'ai indiqué dans plusieurs messages ici, et pas seulement moi, pourquoi ce n'est pas une bonne idée. Il y aussi des informations sur le placement de la sonde (vaste sujet d'ailleurs) selon les risques que l'on a identifié.

Oui j'ai deje vu pas mal de chose que vous aviez ecrit…je vais les relires a nouveau afin d'etre coherent dans le schema de defense...

ccnet

mais pour le reste des choses a faire pour se proteger je vois pas bien…

Des exemples non limitatifs :

Les comptes inactifs
Les mots de passe vides, faibles ou par défaut.
Renommer, pour les systèmes Windows administrateur,administrator.
Patchs Linux, windows, ….
Retirer gcc sur linux.
Pas de ssh sous root.
Supprimer la route par défaut si elle n'est pas indispensable.
Pas de système Windows en dmz intégé au domaine AD du lan.
Empêcher sous Windows le stockage des mots de passe au format LM.
Supprimer tous les fichiers exemples et de tests des applications.
Empécher les rebonds possibles entre machines d'une même zone réseau, surtout dmz.

De quoi s'occuper régulièrement et un bon moment ...
Et je ne parle pas des procédures et méthodes de travail.

verash

Oui effectivement…les comptes inactifs etc...c'est assez logique et tellement que je n'y pense meme plus (des que j'ai des nouvelles machines, j'enleve le compte admin etc...)

pour le reste, ca va je suis pas trop mal...je fait deja presque tout (normal)...

et contre la modification des tables arp dynamiques et statiques que faire ??? tripwire ???

meme sur le pfsense...???