Accès Internet pour plusieurs sous réseaux!
-
Bonjour,
Merci ccnet, effectivement vous avez raison en ce qui concerne le cloisonnement de chaque sous réseau.
L'idée est de pouvoir faire en sorte que chaque sous réseaux puissent avoir accès à internet de manière indépendant en utilisant une seule connexion WAN.
L'affectation de plusieurs VIP pour une seule carte réseau physique étant uniquement dans un but d'économie.Merci encore pour votre support.
PS: Une dernière question
Dans le cas de la mise en place de la configuration que vous me recommandez (une carte dédié par sous réseaux), est il possible d'affecter des services du type (VPN, Publication de ressources…) de façon totalement indépendant sous réseaux par sous réseaux?
Cordialement,
-
Quid de la sécurité dans tout cela ?
Normalement le VPN est utilisé pour accéder a des ressources depuis internet pa un canal sécurisé. Les ressources en question sont normalement en dmz. Il n'est donc pas question d'accéder aux différents réseaux internes.
La solution dont nous parlons pour le moment détruit pratiquement tout le cloisonnement voulu par le découpage réseau. Danger !
L'argument de l'économie ne tient pas compte tenu du faible cout des cartes ethernet.
-
Ok pour les cartes réseaux.
Mais pour l'accès aux ressources interne depuis l'extérieur, il me semble que l'on utilise des connexions VPN pour assurer la sécurité depuis l'extérieur.
VPN –-> Réseau Privé Virtuel.EN DMZ, on mets en place des ressources publiées de type --> Serveur Web, Proxy pour l'accès messagerie ou autres (SMTP,...).....
Merci de m'en dire plus si je me trompe.
Cordialement,
-
Bor,
Je reviens sur la mise en place de pfsence avec plusieurs sous réseaux.
Pour résumer, 1 seul serveur fpsense composé de 4 cartes réseaux (1 WAN et 3 LAN). Chaque LAN doit avoir accès à internet.
Il me semble qu'il est possible uniquement d'avoir un seul Captive Portal pour un seul LAN.
Dans mon cas, il est impossible d'avoir un Captive Portal par sous réseaux.
Je rappel qu'il y a 3 sous réseaux (192.168.1.0/24, 192.168.10.0/24 et 192.168.15.0/24).
Merci
Cordialement, -
Alors une réponse à mes interrogations.
Merci
Cordialement,
-
Dans mon cas, il est impossible d'avoir un Captive Portal par sous réseaux.
Dans tous les cas d'ailleurs pour les version 1.2.3. L'interface parle d'elle même.
-
Merci, CCNET
Cordialement, -
Juste une remarque à propos de la sécurité: excepté si les réseaux sont séparés physiquement (câblage différent, commutateurs différents), l'utilisation de VLAN's est obligatoire pour conserver le cloisonnement. En effet, dans le cas contraire, il suffit de lancer un sniffer réseau (type wireshark) pour se rendre compte qu'un autre range "traîne" dans le réseau. Et donc, il suffira d'utiliser une IP de ce range pour accéder à leur ressource.
Donc pour résumer:
- Il FAUT des VLAN's (sauf s'il y a une séparation physique mais de ce que je comprends, il n'y en a pas ici)
- Soit on utilise des VLAN's au niveau de pfSense. Avantage: un seul câble. Inconvénient: bande passante partagée sur cette interface.
- Soit on utilise des cartes différentes. Avantage: pas de partage de bande passante. Inconvénient: prix (quoique au vu du prix des cartes comme indiqué par ccnet…)
Hope this helps.
-
Pour le nombre de cartes réseaux et le coût y afférent, c'est juste une plaisanterie en milieu pro !
Si on en est à quelques dizaines d'euros …Il FAUT des VLAN's
Il faut espérer qu'il n'existe pas d'outils trop faciles permettant de passer outre les VLAN !
Je ne voudrais pas décevoir, mais …snif !
Bref câblage séparé, switchs séparés, et cartes séparées ...
-
@jdh:
Pour le nombre de cartes réseaux et le coût y afférent, c'est juste une plaisanterie en milieu pro !
Si on en est à quelques dizaines d'euros …Il FAUT des VLAN's
Il faut espérer qu'il n'existe pas d'outils trop faciles permettant de passer outre les VLAN !
Je ne voudrais pas décevoir, mais …snif !
Des exemples?
-
C'est limpide il faut des Vlans mais notre ami ne semble pas décidé.
Quid de la sécurité des vlans, de leur étanchéité ?
Sur du Cisco récent ET bien configuré c'est fiable. Chez d'autres constructeurs je n'en mettrai pas ma main au feu pour les raisons données par jdh entre autres. Bien configuré ce n'est pas si simple. Il faut vraiment faire attention à ce que l'on fait avec les protocoles Cisco. Et ne pas utiliser le Vlan 1 comme on le voit trop souvent.
Si on est en environnement sensible on n'utilisera pas de Vlan (du moins pas pour des questions de sécurité) mais des réseaux physiques distincts.