Cross LAN ?
-
Bonjour,
Quelqu'un aurait-il la bonté de m'aider s'il vous plait ? Je suis sur que pour les pros qui circulent sur ce forum, mes questions ne sont que banalités !
Merci par avance.
Amicalement,
Alex. -
J'ai un seul site sur lequel j'ai essayé les VLAN avec pfSense mais ce n'était pas en réalité utile !
Ce que je sais :
- ne pas utiliser le VLAN 1 parce que c'est un VLAN "par défaut"
- les switchs ont leur rôle : il ne doivent pas supprimer le tag VLAN mais au contraire le laisser !
- chaque switch a sa propre façon de voir et de gérer.
- tant qu'un ping à partir d'un PC configuré manuellement n'arrive pas, ce n'est pas la peine d'aller plus loin …
-
Bonjour jdh,
merci beaucoup pour votre réponse.
Tout ces points je les connais et les ai appliqués.
Dans l'état actuel des choses, j'arrive parfaitement a avoir des leases attribué par Pfsense, j'arrive a communiquer depuis chaque LAN avec un PC y étant relié et ayant une IP dans le bon subnet a communiquer aussi bien avec le routeur, les autres machines de ce meme LAN et a acceder à Internet.Ce que je cherche a savoir c'est comment, par exemple, pinger depuis un PC relié au LAN 1, un PC relié au VLAN 1. Je souhaite savoir si le "Cross LAN" que je suppose devoir faire, doit se faire via une "Firewall Rules", une "NAT Rules", un "Bridge", ou tout autre manipulation.
Schéma simple :
LAN 1 VLAN 1
PC 1 –------------------> Routeur PfSense ---------------------> PC 2
IP : 192.168.111.46 -- IP : 192.168.111.1 IP 192.168.119.85Donc en gros comment permettre aux machines dans le LAN 1 sur le subnet 192.168.111.x de pinger et surtout communiquer avec les machines qui sont dans le VLAN 1 et qui ont une IP en 192.168.119.x.
Voila, je pense que j'avais mal exposé mon objectif, je pense que maintenant ce sera plus clair.
Merci par avance de votre aide.
Amicalement,
Alex. -
Le schéma n'est pas bon ! (tous les masques sont à /24)
PC1 : 192.168.111.46 <– LAN --> 192.168.111.1 (interf LAN) pfSense (interface VLANxx) 192.168.119.1 <-- VLANxx --> 192.168.119.85 : PC2
Le n° de VLAN ne doit pas être 1, et je suggère que le nom de l'interface indique le VLAN, p.e. VLAN50 pour vlan n° 50.
Je ferais un test de ping de PC1 vers pfSense (interface LAN), de même que PC2 vers pfSense (interface VLAN50).
Il faut bien sur des règles (Firewall > Rules et non NAT !) pour que les ping entre PC1 et PC2 fonctionne bien.
Bien se rappeler que les règles pfSense sont organisées par interface d'arrivée (ici LAN et VLAN50).
Il y a donc forcément besoin de 2 règles (pour le ping/icmp et son retour) !Edit: On est bien dans une situation de routage entre 2 réseaux distincts.
Donc ce sont des règles (Firewall Rules) qui sont nécessaires.
Un problème possible est que le paquet sortant par l'interface VLAN ne comporte pas le tag VLAN du bon numéro ...
Il serait judicieux de regarder cela via un analyser de trame ... -
Bonsoir jdh,
merci beaucoup pour votre réponse!
Ok, je comprends mieux pourquoi tous le monde insiste sur le VLAN1.Je l'appelle VLAN1 parceque dans les faits ce VLAN est le premier de 8 actifs surmes switchs, mais j'ai bien précisé au tout début que le VLAN que j'appelle 1 porte le VID 50 donc en gros il est le VLAN50, je suis désolé d'avoir induis une erreur de compréhension !
Alors pour la partie "communication" :
Le PC1 communique sans problème de LAN vers PfSense, de LAN vers LAN (autre périphérique sur ce meme réseau), de LAN vers Internet.
Le PC2 communique sans problème de VLAN50 vers PfSense, de VLAN50 vers VLAN50 (autre périphérique sur ce meme réseau), de VLAN50 vers Internet.Pour ce qui est de mes règles, les voici par Interfaces :
** Interface LAN **
IPv4 * LAN address * VLAN50 address * * none Allow acces from LAN to VLAN50
IPv4 * VLAN50 address * LAN address * * none Allow acces from VLAN50 to LAN** Interface VLAN50 **
IPv4 * VLAN50 address * LAN address * * none Allow acces from VLAN50 to LAN
IPv4 * LAN address * VLAN50 address * * none Allow acces from LAN to VLAN50Pour ce qui est des masques, j'ai bien pour tous mes réseaux, l'interface définie en /24, mais c'est bien là ma question, j'ai essayé en /16pour passer en 255.255.0.0 au lieu du standard 255.255.255.0, mais la PfSense refusait de m'attribuer des Leases DHCP par bail statique, et je n'avais plus de communication entre les périphériques qui avaient eux aussi une masque de sous réseau en 255.255.0.0., une idée ???
Pour ce qui est du tag de VLAN en sortie, en admettant que ce soit le cas, si j'initie mon ping depuis le VLAN50 vers le LAN je "contourne" ce problème, mais cela ne marche pas pour autant :s
Si vous avez encore un peu de temps et de volonté pour m'aider, ce serait trés gentil de votre part.
Encore merci pour votre réponse !
Amicalement,
Alex. -
Otez moi d'un doute …
Les masques seraient en 255.255.0.0 = /16 et non "comme d'hab" en 255.255.255.0 = /24.
Mais alors 192.168.111.x et 192.168.119.x sont dans le même réseau ?
Et, de facto, pfSense ne saurait "router" un paquet vers une autre interface ! -
Bonjour jdh,
encore un grand merci pour votre réponse !
Oui comme je l'ai indiqué les masques des interfaces LAN et VLAN50 sont bien en IP Static et en masque /24, ce qui veut dire :
LAN :
IPv4 Configuration Type : Static IP
IPv6 Configuration Type : None
Mac address : "VIDE"
MTU : "VIDE"
MSS : "VIDE"
IPv4 Address : 192.168.111.1 / 24
Gateway : None
Block Private Networks : "DECOCHE"
Block Logon Networks : "DECOCHE"VLAN50 :
IPv4 Configuration Type : Static IP
IPv6 Configuration Type : None
Mac address : "VIDE"
MTU : "VIDE"
MSS : "VIDE"
IPv4 Address : 192.168.119.1 / 24
Gateway : None
Block Private Networks : "DECOCHE"
Block Logon Networks : "DECOCHE"Si je comprends bien le sens de votre message cela confirmerait ce que je voulais faire depuis le début, a savoir utiliser un masque en /16 pour passer en 255.255.0.0 au lieu du /24 en 255.255.255.0 actuel, toute fois, quand j'avais essayé cela, non seulement je n'avais aucune communication entre les périphériques du LAN mais en plus de cela l'attribution DHCP ne fonctionnait pas correctement. J'ai un doute sur ces erreurs, je ferais de nouveau un essaie ce soir, et vous noterai les problèmes que je rencontre en passant a un masque en /16.
Pour vous, le fait d'utiliser un masque en /24 est bien LE soucis dans mon cas pour permettre la communication entre le LAN et le VLAN50 ?
Encore merci pour votre aide et vos réponses.
Amicalement,
Alex. -
Désolé, mais pas mal de travail et vous répondre demande du temps puisque vos problèmes ne sont pas complètement triviaux. Mais je vois que vous êtes entre de bonnes mains.
-
Traditionnellement, on utilise des réseaux en 192.168.X.0/24.
Le /24 indique qu'une adresse 192.168.X.Y appartient au réseau 192.168.X.0.Avec /24 les réseaux 192.168.111.0 et 192.168.119.0 sont différents, et comme ils viennent d'interfaces différentes, ils sont naturellement routés de l'un vers l'autre.
Avec /16 les réseaux 192.168.111.0 et 192.168.119.0 sont dans le même réseau 192.168.0.0, et s'ils viennent d'interfaces différentes, ces interfaces doivent être bridgées (pontées).
Clairement en /24, avec des réglages standards du pfSense, cela fonctionne (avec 2 règles génériques, une par interface).
En /16, il faut bridger les interfaces en sus .Pour faire simple, il est indispensable d'être en /24 (pour tout matériel).
-
Bonsoir jdh,
bon alors dans ma configuration actuelle je suis "bon", en revanche j'étais persuadé que mon problème venait de la, j'avais tout passé en /16 mais cela avait engendré d'autres problèmes dont je ne me souviens plus trop a force de tout essayer on s’emmêle les pinceaux !
Bon donc il y a bien un problème sur mon PfSense, car dans ma configuration actuelle, celle que j'ai cité juste avant votre réponse, je suis en /24, et pourtant mes réseaux ne sont pas accessibles entre eux …
Une autre idée qui me permettrait d'enfin accéder depuis 192.168.111.231 (par exemple) a 192.168.119.43 ?
Encore merci pour votre réponse.
Amicalement,
Alex. -
Bonjour,
je viens de résoudre mes difficultés, toutes les 3 en un seul et unique coup !
Je pense que j'ai trouvé un bu dans le firmware de mes Switchs, je m'explique, quand mon Switch a son IP en 192.168.111.x et son masque de sous réseau (forcé) en 255.255.0.0, je créé mes VLANs dessus, a ce moment la mes VLANs créé obtiennent un masque de sous réseau, et visiblement il y a ici un bug, puisque les VLANs au lieu d'obtenir le masque de sous réseau en cours obtienne un masque en 255.255.255.0, et donc bloque la transition entre les subnet.
Merci WireShark de m'avoir permis de diagnostiquer cela via les colonnes, donc tout a fait par hasard !J'ai donc supprimé tous les VLANs de mes switchs, et changé le masque de sous réseau de mon Switch en 255.0.0.0, et ensuite recréé tous mes VLANs et la comme par magie mes VLANs ont obtenus un masque de sous réseau en 255.255.0.0, donc il y a je pense un bug a ce niveau puisqu'il n'attribue pas le même masque au VLAN que celui du Management LAN …
Bref mon problème semble résolu, je vais investiguer plus en profondeur la chose et m'assurer que tout est bien croisé et que tout fonctionne, je clôturerai mon sujet dés que je serai sur que tout cela fonctionne !
Encore merci pour votre aide.
Amicalement,
Alex.