Plusieurs sous-réseaux

L_Indien

Bonsoir Le Forum,

Mon niveau d'utilisation/connaissance est relativement basse : navigation sur le net, lecture du book de pfsense, tuto, …

J'utilise pfsense dans un contexte perso : pour la protection du réseau local interne. Je ne suis pas en wifi. Le réseau est très basique :
WAN : box Bouygues (non configurée en dmz)
LAN : direct sur un switch. Après, il y a un serveur de fichier, un poste client et un raspberry (en "construction").

Normalement, d'autres postes (portables et fixes) doivent venir se greffer sur le LAN.

Voici la problématique :
Est-il possible de créer plusieurs sous-réseaux ?
Ex :
              Pour les switch  : 192.168.2.xxx
              Pour les nas      : 192.168.3.xxx
              Pour les clients : 192.168.4.xxx
              Pour les invités : 192.168.5.xxx
              ................

mais en ne possédant qu'un réseau LAN physique ?

Si oui, comment ça peut se faire avec pfsense ?

Si nan, est-il possible d'affecter des règles du type :
              Les invités ne peuvent accéder qu'à tel NAS, mais pas celui-là. Que les invités ne voient uniquement le (ou les NAS) auxquels ils peuvent accéder. Je gère déjà les droits depuis le NAS en question (NAS sous Debian avec NFS). Mais un autre NAS (vieux, très vieux...), qui sera sous OpenMediaVault. Je crois pouvoir faire ce genre de règle sous cet OS, mais je ne suis pas sur.
              Que les postes sous GNU/Linux puissent acceder à tel NAS, mais que les postes sous Windows, puissent accéder à tel NAS (le même NAS, par contre le poste est le même)

Merci pour les réponses.

chris4916

Avec un seul réseau physique, ce n'est pas pfSense qui peut faire ça.
Il faut à minima créer des VLAN, ce qui se gère au niveau du switch. Il te faut donc un équipement capable de gérer des VLAN.

Mais à mon avis, la vraie question est ailleurs: lorsqu'une machine se connecte sur le réseau, comment identifies-tu que c'est un invité qui va se connecter dessus ?
Il y a des possibilités avec un serveur DHCP qui aurait des réservation d'adresse IP dans des subnets différents avec un subnets pour les adresses MAC inconnues mais rien de très sécurisé au final.

Est-ce que ce ne serait pas plus simple de gérer des droits d'accès au niveau des ressources (par exemple le NAS) grâce à des comptes et des ACL et de garder un réseau "simple" ?

Et donc la question initiale serait, plutôt qu'un séparation des réseaux, "quels sont les besoins ?"

chris4916

Hasard ?
Voila un sujet proche du tien qui peut t'intéresser :
https://forum.pfsense.org/index.php?topic=93202.0

ccnet

Voici la problématique :
Est-il possible de créer plusieurs sous-réseaux ?
Ex :
              Pour les switch  : 192.168.2.xxx
              Pour les nas      : 192.168.3.xxx
              Pour les clients : 192.168.4.xxx
              Pour les invités : 192.168.5.xxx

C'est bien la vraie question : quels sont les besoins fonctionnels ? Ici nous avons une question qui porte sur la mise en œuvre d'une solution à un problème que l'on ne connait pas. La routine …
Dit basiquement la réponse à cette question est non.

Endast

Bonjour,

Chris4916 m'a fait penser que je devais répondre ici, j'ai pensé à quelque chose en le lisant ce matin.

Est-ce que tu as besoin que tes PCs dans des Vlans différents puissent se joindre entre eux ?

Si c'est le cas, les vlans ne sont pas adaptés, car ça m'étonnerait que la box Fai puisse du faire du routage intervlan sur son lien local.

chris4916

@Endast:

Est-ce que tu as besoin que tes PCs dans des Vlans différents puissent se joindre entre eux ?
Si c'est le cas, les vlans ne sont pas adaptés, car ça m'étonnerait que la box Fai puisse du faire du routage intervlan sur son lien local.

Mais est-ce que ce n'est pas pfSense qui ferait ça dans ce cas ?  ???

Dans tous les cas, il faut quand même commencer pas décrire le résultat (fonctionnel) de ce qu'on souhaite obtenir car ce n'est pas aussi simple qu'il y parait et ta question relative à l'éventuelle communication entre les différents clients renforce ce point.

Assez logiquement, ce devrait/pourrait être, en interne, une communication des clients vers des services qui eux seraient accessibles par les clients de chaque catégorie (clients, invités…)
Mais ce serait une erreur de croire que tout se règle au niveau réseau (ce qu'adresse la notion de VLAN).
Il y aura des services qui nécessiterons un contrôle plus fin: si je reprends l'exemple du NAS évoqué dans le post initial, une fois que ce serveur est accessible via le réseau (et le bon VLAN si c'est la solution retenue), est-il souhaitable que tous les utilisateurs aient le même niveau d'accès ? Anonymes ?

Pas simple n'est-ce pas  ;D