Recommendation pour segmenter les machines sur mon LAN?

Chti

Bonjour,

Je souhaiterais separer les differents appareils qui se connectent sur mon LAN en 3 groupes: Perso, Travail, Enfants

• Je voudrais que ces 3 groupes soient totalement isoles les uns des autres
• Je voudrais imposer des regles supplementaires au groupe Enfants: Restrictions horaires, restrictions de sites, etc.
• Je voudrais implanter un client VPN permanent sur le groupe Travail

Mon installation

• pfSense SG-4860
• un simple hub ethernet connecte au port LAN du SG-4860 sur lequel se branchent tous les appareils (pas de support pour VLAN)
• tous les appareils qui se connectent sur mon LAN ont une IP fixe
• Dans 'Firewall/Aliases' j'ai cree 3 groupes bases sur des plages d'IP: Perso, Travail, Enfants. Donc chaque appareil est  associe a un groupe.

1/ Mon idee initiale etait de creer 3 VLAN mais je ne sais si c'est possible avec mon simple hub qui se connecte dans le port LAN. Ou me faut-il un switch manage pour ce type de configuration?

2/ Existe-t-il un moyen d'isoler des machines les unes des autres si elles sont sur le meme LAN?

Que me conseilleriez-vous de faire comme configuration? Toutes les pistes sont les bienvenues :)

Merci d'avance

ccnet

On ne segmente pas les machines mais on segmente un réseau.

[groupes] totalement isoles les uns des autres

Je répond à votre demande en sachant que probablement celle ci va évoluer compte tenu de ma réponse. Vous avez, en dehors des interfaces lan et wan de votre boitier, une série d'interfaces optx. Connectez Travail à Lan, Perso à opt1 et enfants à opt2. Choisissez un numéro de réseau propre à chaque … réseau (on ne parle pas de groupes). Évitez les habituels 192.168..0.0/24 et 192.168.1.0/24. Connectez chaque interface à un petit switch à 20 euros. Oubliez les vlans puisque vous ne maitrisez pas le sujet. Ip fixe ou dhcp cela n'a aucune importance dans votre cas.

Dans 'Firewall/Aliases' j'ai cree 3 groupes bases sur des plages d'IP: Perso, Travail, Enfants. Donc chaque appareil est  associe a un groupe.

A supprimer. Oubliez les groupes.

Vous aurez ainsi 3 réseaux totalement isolé les uns des autres en utilisant les bonnes règles. Si vous changez d'avis il suffira de changer les règles.

1/ Mon idee initiale etait de creer 3 VLAN mais je ne sais si c'est possible avec mon simple hub qui se connecte dans le port LAN. Ou me faut-il un switch manage pour ce type de configuration?

Un hub ne gère pas correctement les vlans par construction.

2/ Existe-t-il un moyen d'isoler des machines les unes des autres si elles sont sur le meme LAN?

Non, sinon on ne place pas les machines dans le même lan, ce qui signifie même réseau, même domaine de broadcast. Qui dit isolation, c'est à dire cloisonnement du réseau implique sous réseau différents.

• Je voudrais implanter un client VPN permanent sur le groupe Travail

Expliquez le besoin d'un point de vue fonctionnel et non en terme de solution technique pour un besoin qu'on ne connait pas.

Endast

Je ne crois qu'il soit possible d'assigner plusieurs vlans (tagged ou trunk) sur une seule interface de PfSense.

+1 pour la solution du dessus. On pourra après ça mettre en place du nat, des règles etc…

chris4916

A la description du contexte, on comprend qu'il s'agit d'un environnement familial.
La solution de ccnet est alors certainement la plus simple… à condition qu'il n'y ait pas de besoins spécifiques en terme de broadcast par exemple (ce qui est très certainement le cas)

Dans le cas contraire, le passage par un design de type VLAN devient quasiment obligatoire et si pfSense ne supportait pas l'assignation de multiple VLAN sur la même interface, alors ça ne marcherait pas  ;)

Endast

Chris, par simple curiosité, tu fais cela où ?  :o

J'ai bien cherché et je ne trouve pas, à moins que ça soit pas dans l'interface web

Chti

Merci pour vos réponses.

J'apporte donc quelques précisions:
-Oui c'est un environnement familial
-Pour la partie VPN je voudrais connecter en permanence un segment de mon réseau à un serveur VPN externe (hors de mon domicile/réseau). Je voudrais éviter d'avoir à connecter des clients individuels (logiciels) sur chaque machine et faire la connexion de manière permanente au niveau de l'interface.

La solution de ccnet est effectivement bonne. La raison pour laquelle je voulais deja regarder les VLANs est que j'ai un projet de re-cabler ma maison. Du coup je voulais me débarrasser des switchs à 20E qui trainent un peu partout dans la maison et faire arriver tous les cables dans un switch Cisco SG-300 (qui lui supporte les VLANs). Mais en attendant cette solution est effectivement plus rapide et facile.

Du coup une petite precision:

Vous aurez ainsi 3 réseaux totalement isolé les uns des autres en utilisant les bonnes règles. Si vous changez d'avis il suffira de changer les règles.

Si je comprends bien, le fait d'utiliser les différents branchements OPT1, OPT2, etc ET l'attribution d'un DHCP utilisant différents numéros que mon LAN ne sont en soi pas suffisant pour les isoler complètement les uns des autres? Il y a des règles supplémentaires à mettre en place?

ccnet

@Endast:

Je ne crois qu'il soit possible d'assigner plusieurs vlans (tagged ou trunk) sur une seule interface de PfSense.

Faux.

ccnet

@Chti:

-Pour la partie VPN je voudrais connecter en permanence un segment de mon réseau à un serveur VPN externe (hors de mon domicile/réseau). Je voudrais éviter d'avoir à connecter des clients individuels (logiciels) sur chaque machine et faire la connexion de manière permanente au niveau de l'interface.

Si je comprends bien, le fait d'utiliser les différents branchements OPT1, OPT2, etc ET l'attribution d'un DHCP utilisant différents numéros que mon LAN ne sont en soi pas suffisant pour les isoler complètement les uns des autres? Il y a des règles supplémentaires à mettre en place?

Pour le vpn c'est possible sur le papier. Après il y a d nombreux points à régler : type de vpn, routage, …

Pour le réseau : c'est le cas. L'adressage ne régle pas le problème de cloisonnement. Il faut mettre en place des règles.

Sagitta

@Endast:
Il me semble que c'est dans Interfaces => assign=>onglet VLAN

Ensuite tu peux en créer autant que tu veux sur l'interface de ton choix.
Suite à cela tu retournes dans interfaces=> assign, tu initialises l'interfaces et apres cela tu auras ton interface vlanX listée et tu pourras accéder a la création de ta stratégie de sécurité pour les vlans créés dans les onglets de Firewall=> Rules.

Une dernière chose étant de ne pas oublier que la mise en place des VLANs dans une archi physique est différente d'une archi virtualisée (c'est au cas où même si j'imagine que je n'apprends rien à personne)

Chti

@ccnet

Donc si branche un switch sur OPT1, une règle comme ci-dessous suffit-elle à empêcher n'importe quelle machine connectée sur OPT1 d'accéder au reste du réseau (sauf le WAN bien sûr)?
Dans "Interface" ca serait OPT1 (c'est juste que je ne l'ai pas encore créée)

Dans "destination" je ne sais pas si ca serait WAN Net ou WAN Address?

ccnet

L'idée est la bonne. La mise en œuvre ne convient pas. Ce qu'il faut faire :
Une règle avec l'opérateur not, comme vous le pensiez, pour chaque réseau à interdire. Wan address et Wan net désignent respectivement l'ip wan et le réseau de l'ip wan (si wan n'est pas en /32).

Chti

Ok merci… je pensais que configuré SANS le NOT coché vers le WAN, cela bloquerait toute communication vers le WAN et qu'AVEC le NOT coché vers le WAN cela inversait la règle et bloquerait tout SAUF le WAN (donc vers n'importe quel autre réseau que je suis susceptible de créer.

Du coup pour éviter les comms d'un réseau A vers des réseaux B et C, je selectionne l'interface de A et je crée une règle avec le NOT coché vers le réseau B? Ensuite je duplique cette règle en remplaçant B par C?

Merci encore pour l'aide

ccnet

Oui.