Débutant pfsense et création de Vlan

zeverybest

Bonjour à tous
Je suis nouveau sur ce forum et je débute avec PfSense

Mon but est de placer ma box en "bridge" afin de bénéficier de avantages de PfSense

J'ai commencé ma config en mode test avant de "basculer sur mon réseau (dans le but de ne pas faire de grosse boulette)

J'ai donc affecté un port au WAN, un port en LAN (qui me servira à me connecter en secoue au routeur PfSense en cas de mauvaise manip (je me connais)
Et j'ai créé des Vlan affectés au 3eme port physique (Vlan admin, Vlan domotic, ...)

Pour faire des tests, j'ai connecté unswitch non manageable sur ce 3eme port
Le serveur DHCP n'est actif que sur le Vlan admin (pour le moment car switch non manageable si je veux que le PC de test obtienne une IP dans ce Vlan admin)
Si j'affecte les Vlan au port Vlan xxxx (em2 xx:xx:xx:xx:xx:xx), mon PC n'obtient pas d'adresse
Pour qu'il obtienne une adressé il faut que n'affecte ce Vlan directement à em2

Pourtant, dans les différents tuto que j'ai vu, il faut l'affecter au : em2 xx:xx:xx:xx:xx:xx

Ai je raté quelques chose?

Les autres Vlan son affectés à Vlan xxxx (em2 xx:xx:xx:xx:xx:xx)
Qu'en sera t il lorsque j'aurai activé les serveurs DHCP sur ces Vlan

Si quelqu'un pouvait m'apporter des lumieres ?

J'ai probablement oublié de vous donner pleins d'infos importante de ma config, mais dites moi ce que vous avez besoin de savoir et je complèterai les infos

10000000 merci d'avance

ccnet

@zeverybest said in Débutant pfsense et création de Vlan:

Pour faire des tests, j'ai connecté unswitch non manageable sur ce 3eme port

Sans un switch manageable votre quête est vouée à l'échec. Ce dont vous avez besoin ce sont, a priori, des vlans non taggés.
Pour monter des vlan sur Pfsense on utilise une interface sans ip. Puis on monte les vlans, avec leur ip dans leur réseau sur cette interface.
Il y a potentiellement plusieurs façons de traiter votre besoin.

zeverybest

merci de votre réponse
mon réseau possede bien des switch manageables.
mon switch non manageable, c'etait uniquement pour mon environnement de test.
donc, vous me rassurez.

j'ai effectivement monté mes Vlan sur une interface sans IP
je m'etais dis (toujours pour mon test), que si un seul des serveur DHCP etait actif, le PC obtiendrait une IP, meme si le switch etait non manageable, puisque du coup, il n'y avait qu'un seul serveur DHCP

C'est probablement pour ceci que cela ne fonctionne pas et que j'obtient une IP uniquement si j'attribues une IP a l'interface physique

j'ai tout bien compris?

jdh

Etre débutant n'est pas un problème, mais vaut mieux s'orienter vers les bonnes pratiques et procéder 'par étapes' ... (Par exemple regarder A LIRE EN PREMIER)

La box en bridge ? Ce n'a d'utilité réelle QUE en cas d'hébergement, et encore ce n'est pas une absolue nécessité. Quand il y une box et un firewall, il n'y a pas besoin de vlan : juste un câble direct entre la box et le port WAN (ce sera le SEUL câble sur la box)

On ignore si votre pfSense est physique ou non, s'il comporte bien 2 interfaces. Je ne peux que préconiser un matériel physique avec 2 interfaces ethernet selon le schéma :

Internet <-> box <-> (WAN) pfsense (LAN) <-> switch administrable avec support des VLAN (802.1q)

Avec pfSense, on ajoute les VLAN sur une interface physique, ce qui créé autant d'interfaces logiques que l'on peut alors configurer (adresse ip ...). Le port du switch doit être configuré par les VLAN tagged).

(C'est bien de travailler et d'expérimenter : j'ai eu un collègue qui m'avait dit 'je connais les vlan', il a branché des matériels et, à ma demande, a fait un schéma switch/port <-> switch/port, j'ai configuré les switchs selon son schéma et ça ne fonctionnait pas, il avait juste oublié de me dire qu'entre 2 switchs administrables, il avait plac" un switch non administrable !)

zeverybest

En revanche, je n'ai pas trouvé ou, dans PfSense, on configurait le VLan en taged ou Untaged

zeverybest

Bonjour @jdh et merci de prendre le temps de me répondre
concernant les differentes questions que vous me posez, je mets les reponses dans votre texte, en espérant que ça vous aidera a me guider.

@jdh said in Débutant pfsense et création de Vlan:

Etre débutant n'est pas un problème, mais vaut mieux s'orienter vers les bonnes pratiques et procéder 'par étapes' ... (Par exemple regarder A LIRE EN PREMIER)
je vais aller lire ceci rapidement

La box en bridge ? Ce n'a d'utilité réelle QUE en cas d'hébergement, et encore ce n'est pas une absolue nécessité. Quand il y une box et un firewall, il n'y a pas besoin de vlan : juste un câble direct entre la box et le port WAN (ce sera le SEUL câble sur la box)
j'ai besoin de plusieurs vlan (admin pour mes serveurs, users, invités, IoT, ...)

On ignore si votre pfSense est physique ou non, s'il comporte bien 2 interfaces. Je ne peux que préconiser un matériel physique avec 2 interfaces ethernet selon le schéma :
c'est un PC avec 3 interface ethernet (une pour le WAN et 2 pour les LAN ou VLAN
j'ai configuré un LAN sur la 1ere pour connecter un PC directement en cas de boulette et pouvoir me connecter quand meme
les VLAN sont sur la 2éme, sur laquel il n'y a QUE des VLAN, pas de LAN

Internet <-> box <-> (WAN) pfsense (LAN) <-> switch administrable avec support des VLAN (802.1q)

Avec pfSense, on ajoute les VLAN sur une interface physique, ce qui créé autant d'interfaces logiques que l'on peut alors configurer (adresse ip ...). Le port du switch doit être configuré par les VLAN tagged).
je n'ai pas cette fonctionnalité "switch" . Est ce parceque c'est une image PFsense sur un PC ?
donc, comment mettre les TAG?

(C'est bien de travailler et d'expérimenter : j'ai eu un collègue qui m'avait dit 'je connais les vlan', il a branché des matériels et, à ma demande, a fait un schéma switch/port <-> switch/port, j'ai configuré les switchs selon son schéma et ça ne fonctionnait pas, il avait juste oublié de me dire qu'entre 2 switchs administrables, il avait plac" un switch non administrable !)
sur mon reseau, il n'y a QUE des switchs manageables.

Le switch non manageable est hors reseau, sur un reseau de test pour mes essais ou il n'y a que le PC Pfsense et ce switch
j'ai deja reussi a configurer des Vlan sur mes switch, mais avec un router qui ne me donnais pas satisfaction (routeur d'un controleur wifi Aruba)

En espérant que cela peut vous aider a comprendre mon probleme
mais j'ai vraiment l'impression que tout fonctionnera lorsque le connecterai directement mon pfsense a mon reseau et ses switch manageable

Encore merci de prendre du temps pour moi

Cordialement

jdh

Le choix d'un PC physique avec 3 interfaces ethernet physiques est une bonne idée ! (Mettez des étiquettes.)

La config initiale se faut avec

• interface LAN : avec un câble (croisé) vers un PC en 192.168.1.2/24, va servir pour la config initiale et l'admin,
• interface WAN : reliée à la box

En fin de config initiale, le firewall doit avec accès à Internet comme le PC d'admin.

Ensuite, les switchs administrables sont connectés à la 3ième interface, les VLAN définis sont ajoutés sur le pfSense créant autant d'interfaces qui seront à leur tour configurées (adresse ip, service DHCP, règle de flux vers Internet ou vers d'autres interfaces (pensez à utiliser des alias.

Les switchs sont configurés avec pour chaque port les VLAN en tagged (et untagged) : ce n'est pas dans pfSense que cela se fait !

A recommander : un tableau des réseaux avec nom, n° de vlan, adressage réseau, passerelle, dhcp, dns. (Nommer chaque interface avec le nom de réseau = nom de vlan.)

A recommander : un schéma de branchement des switchs avec nom de switch, port, vlan untagged, vlans tagged, câble vers.

Dans mon contexte pro, j'étiquetai chaque câble et à chaque extrémité avec utilisation / switch-port pour faciliter le branchement et la visualisation.

zeverybest

@jdh

super

encore merci

donc ma config serait bonne et c'est mon test avec le switch non manageable qui empeche le fonctionnement (obtenir une IP sans ID du Vlan) ?

je vais suivre vos conseils pour les reperes de cables

pour les tableaux de N° de port des switch, avec VLAN, et qui est au bout, je les ai deja créé

Cordialement

jdh

De mon point de vue, la config des switchs est plus complexe que la config de pfSense ...

Par exemple, de mon expérience avec des petits Netgear, on configure un switch avec un pc portable relié en ethernet au switch ... avec une adresse ip compatible avec celle par défaut, on affecte un nom, puis une adresse ip, il faut alors changer l'ip du portable et ré-accéder, mettre un mot de passe, activer les VLAN 802.1Q (on peut configurer 3 sortes de vlan sur les GS108E), activer le VLAN d'admin, rebrancher le pc depuis un autre switch ... NB quand on a d"fini un vlan d'admin, il n'est plus possible d'accéder à l'admin en connexion directe !

Avec les vlan, il faut garder quelques ports en non untagged ...

Bref les vlan ne s'improvisent pas, et se confronter à 'ça ne fonctionne pas' est le bon moyen de progresser ...

zeverybest

bon, j'ai fait une tentative, mais infructueuse

Par defaut, mes switchs Netgear on un Vlan 1 pour l'admin

J'ai donc créé un Vlan 1 sur mon PfSense, mais lorsque je connecte celui ci sur mon reseau, j' n'ai ni acces internet, ni service DHCP dispo
je peux acceder au machines qui sont en IP fixe, mais c'est tout
franchement, je ne vois pas ou ça peux bloquer

Je sais que les journaux peuvent apporter beaucoup d'information, mais je ne sais pas trop (voir pas du tout) comment les interpreter.

alors que si je configure en LAN, cela fonctionne (2eme port de PFsense)
mais j'ai bien compris que les Vlans devaient etre sur un port physique sans LAN (c'est bien ça?)
j'ai du rater quelques chose

jdh

En pro, j'ai eu des Netgear GS108E et GS108T comme 'petits switchs' (bien sûr administrables) en sus d'Aruba en baie (contexte de PME industrielle).

Le VLAN 1 est un 'faux VLAN' : c'est comme s'il n'y a pas de VLAN.

C'est d'ailleurs le pb que je cite : le switch resetté est configuré depuis un portable (avec ip manuelle) et un vulgaire câble. Une fois configuré (adresse ip/masque/passerelle/dns, nom, et config des VLAN port par port), quand on veut définir le VLAN d'admin, plus question d'admin via un câble direct, sauf à configurer un VLAN sur la carte réseau !

Faut être patient (et disposer de 2 switchs) : on peut passer par un premier switch dûment configuré pour continuer celle du switch nouveau. Finalement c'est un sécurité ....

Bon courage ...

Pour pfSense, il y a des interfaces physiques, d'une part. Pour les VLAN, on créé et nomme un VLAN avec un n° et une interface 'libre', cela créé une interface qui est celle que l'on configure (adresse ip, ...). L'interface 'support' ne doit pas être configuré avec une adresse ip.

zeverybest

@jdh
j'ai reussi en taggant le port Trunk de mon switch (T et non U comme par defaut)
et là, ça fonctionne

maintenant, je voudrais créer un autre VLAN (pour proceder par etape
j'ai donc configuré un VLAN 99 pour ma domotique
j'au taggué les port necessaire sur les switch (comme j'avais fait lorsque mon controleur ariuba me servait de routeur), mais la : rien

faut il rebooter le PfSence pour que les VLAN soient pris en compte?

jdh

Typiquement, pour un port de switch administrable, on configure

• le 'Untagged' : le n° de VLAN affecté aux paquets non taggé (=untagged)
• les 'Tagged' : les n° de VLAN autorisés sur ce port (outre le Untagged).

Sur un port simple, c'est à dire d'une machine, usuellement, on affecte juste le Untagged.

Sur un port 'uplink', c'est à dire de lien avec un autre switch ou vers un hôte de virtualisation ou le port unique d'un firewall, usuellement, on affecte les Tagged, car il n'y a pas de raison qu'un paquet non taggé arrive. Ce type de port est appelé souvent Trunk.

C'est bien d'expérimenter, de réfléchir et de persévérer. (D'autres pourraient en prendre de la graine ...)

zeverybest

@jdh
c'est (a peu pret) ce que j'ai fait
ce que je ne comprend pas, c'est que dans : État / Bails DHCP, je ne vois pas le serveur DHCP de mon nouveau VLAN domotic
poutant, il est actif et bien configuré (comme celui du µVlan admin ou du LAN
autre question : si sur les Netgear, le Vlan 1 est un faux VLAN, il vaut mieux créer un autre Vlan admin (10 par exemple et ne pas utiliser le 1 (a part garder un port dans se Vlan pour reparer les bétises?
C'est bien ça)

En tout cas, merci pour le temps que vous m'accordez

zeverybest

J'ai résolu mon probleme

PfSense fonctionne très bien

J'avais bien déclaré mes Vlan dans mes 2 switchs, mais oublié de les déclarer dans mon contrôleur wifi Aruba (qui, comme un switch véhicule tous les Vlan sur son trunk)

En tous cas, merci du temps que vous m'avez accordé

Je reviendrai bientôt vous ennuyer avec d'autres problèmes (notamment la mise en place du serveur VPN IPSec, mais ce sera dans un autre post