Recommendation pour segmenter les machines sur mon LAN?
-
A la description du contexte, on comprend qu'il s'agit d'un environnement familial.
La solution de ccnet est alors certainement la plus simple… à condition qu'il n'y ait pas de besoins spécifiques en terme de broadcast par exemple (ce qui est très certainement le cas)Dans le cas contraire, le passage par un design de type VLAN devient quasiment obligatoire et si pfSense ne supportait pas l'assignation de multiple VLAN sur la même interface, alors ça ne marcherait pas ;)
-
Chris, par simple curiosité, tu fais cela où ? :o
J'ai bien cherché et je ne trouve pas, à moins que ça soit pas dans l'interface web
-
Merci pour vos réponses.
J'apporte donc quelques précisions:
-Oui c'est un environnement familial
-Pour la partie VPN je voudrais connecter en permanence un segment de mon réseau à un serveur VPN externe (hors de mon domicile/réseau). Je voudrais éviter d'avoir à connecter des clients individuels (logiciels) sur chaque machine et faire la connexion de manière permanente au niveau de l'interface.La solution de ccnet est effectivement bonne. La raison pour laquelle je voulais deja regarder les VLANs est que j'ai un projet de re-cabler ma maison. Du coup je voulais me débarrasser des switchs à 20E qui trainent un peu partout dans la maison et faire arriver tous les cables dans un switch Cisco SG-300 (qui lui supporte les VLANs). Mais en attendant cette solution est effectivement plus rapide et facile.
Du coup une petite precision:
Vous aurez ainsi 3 réseaux totalement isolé les uns des autres en utilisant les bonnes règles. Si vous changez d'avis il suffira de changer les règles.
Si je comprends bien, le fait d'utiliser les différents branchements OPT1, OPT2, etc ET l'attribution d'un DHCP utilisant différents numéros que mon LAN ne sont en soi pas suffisant pour les isoler complètement les uns des autres? Il y a des règles supplémentaires à mettre en place?
-
Je ne crois qu'il soit possible d'assigner plusieurs vlans (tagged ou trunk) sur une seule interface de PfSense.
Faux.
-
-Pour la partie VPN je voudrais connecter en permanence un segment de mon réseau à un serveur VPN externe (hors de mon domicile/réseau). Je voudrais éviter d'avoir à connecter des clients individuels (logiciels) sur chaque machine et faire la connexion de manière permanente au niveau de l'interface.
Si je comprends bien, le fait d'utiliser les différents branchements OPT1, OPT2, etc ET l'attribution d'un DHCP utilisant différents numéros que mon LAN ne sont en soi pas suffisant pour les isoler complètement les uns des autres? Il y a des règles supplémentaires à mettre en place?
Pour le vpn c'est possible sur le papier. Après il y a d nombreux points à régler : type de vpn, routage, …
Pour le réseau : c'est le cas. L'adressage ne régle pas le problème de cloisonnement. Il faut mettre en place des règles.
-
@Endast:
Il me semble que c'est dans Interfaces => assign=>onglet VLANEnsuite tu peux en créer autant que tu veux sur l'interface de ton choix.
Suite à cela tu retournes dans interfaces=> assign, tu initialises l'interfaces et apres cela tu auras ton interface vlanX listée et tu pourras accéder a la création de ta stratégie de sécurité pour les vlans créés dans les onglets de Firewall=> Rules.Une dernière chose étant de ne pas oublier que la mise en place des VLANs dans une archi physique est différente d'une archi virtualisée (c'est au cas où même si j'imagine que je n'apprends rien à personne)
-
Donc si branche un switch sur OPT1, une règle comme ci-dessous suffit-elle à empêcher n'importe quelle machine connectée sur OPT1 d'accéder au reste du réseau (sauf le WAN bien sûr)?
Dans "Interface" ca serait OPT1 (c'est juste que je ne l'ai pas encore créée)Dans "destination" je ne sais pas si ca serait WAN Net ou WAN Address?
-
L'idée est la bonne. La mise en œuvre ne convient pas. Ce qu'il faut faire :
Une règle avec l'opérateur not, comme vous le pensiez, pour chaque réseau à interdire. Wan address et Wan net désignent respectivement l'ip wan et le réseau de l'ip wan (si wan n'est pas en /32). -
Ok merci… je pensais que configuré SANS le NOT coché vers le WAN, cela bloquerait toute communication vers le WAN et qu'AVEC le NOT coché vers le WAN cela inversait la règle et bloquerait tout SAUF le WAN (donc vers n'importe quel autre réseau que je suis susceptible de créer.
Du coup pour éviter les comms d'un réseau A vers des réseaux B et C, je selectionne l'interface de A et je crée une règle avec le NOT coché vers le réseau B? Ensuite je duplique cette règle en remplaçant B par C?
Merci encore pour l'aide
-
Oui.