4. Vlan sur l'interface LAN

Vlan sur l'interface LAN

  • S

    Bonjour,
    j'utilise pfsense pour implementer 3 vlan sur un reseau. la configuration est la suivante:
    wan
      adresse IP: 192.168.4.1
      passerelle: 192.168.4.2

    DMZ
      adresse IP: 212.52.x.2

    LAN:
    au niveau LAN j'ai 3 vlans (Vlan3, vlan4, vlan5) avec le DHCP activé sur chaque vlan.
    vlan3 est sur le 172.16.0.0/20
    vlan4 est sur le 172.16.16.0/20
    vlan5 est sur le 10.10.10.0/28

    Question: faut-il attribuer une adresse IP à l'interface physique du LAN

    Merci pour l'aide

    0
  • C

    Non.
    Pour une réponse un peu plus complète :
    http://forum.pfsense.org/index.php/topic,12844.0.html
    http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
    La réponse finale serait donc même non, surtout pas.

    0
  • S

    Bonsoir,
    au niveau des interfaces assignées j'ai:
    WAN, LAN, DMZ, VLAN3, VLAN4, VLAN5

    Si j'ai bien compris l'interface LAN n'a pas d'adresse IP


    0
  • C

    Oui. Et elle est à supprimer de la liste des interfaces.

    0
  • F

    elle n'est pas nécessairement à supprimer
    On peut configurer le native vlan sur le port du switch

    0
  • C

    @fenrir:

    On peut configurer le native vlan sur le port du switch

    Je ne comprend pas ce que cela signifie. Sur un Cisco, et ce n'est surement le seul, tous les ports du switch dès lors que sa configuration n'est pas modifiée sont sur le Vlan1 qui est alors le vlan natif de chaque port.

    0
  • S

    Merci pour vos reponses, mais l'interfaces LAN ne peut être supprimée. Seules les interfaces OPT peuvent être supprimées. En parlant de supprimer l'interface LAN, si je l'attribue l'adresse IP 0.0.0.0/24 est-ce-que cela correspond à une désactivation de l'interface LAN?

    0
  • C

    L'adresse IP 0.0.0.0/24 n'est licite que lors du démarrage d'une interface configurée en dhcp, en attente d'attribution d'une ip. Désactivez l'interface en décochant la case dans Interface->optx->Enable Optional x interface.

    0
  • S

    autre informations:

    • l'interface WAN a pour adresse IP 192.168.4.1 et comme passerelle 192.168.4.2 (mon routeur)
    • le vlan3 est sur le sous réseau 172.16.0.0/20 et doit sortir avec l'adresse IP 212.52.X.244
    • le vlan4 est sur le sous réseau 172.16.16.0/20 et doit sortir avec l'adresse IP 212.52.X.246

    pour configurer la translation d'adresse du sous reseau 172.16.0.0/20 en 212.52.X.244, j'ai utilisé le menu–>firewall-->nat-->outbound

    je n'arrive pas à pinguer la passerelle 192.168.4.2

    0
  • C

    Deux suggestions :
    Avez vous redémarré pfsense après l'ajout des vlans ? C'est en général nécessaire.

    Les règles sur l'interface vlan3 sont elles adaptées pour laisser sortir le trafic ? Méfiez vous, dans Pfsense les règles de filtrage sont évaluées après les règles de translation.

    0
  • S

    oui j'ai redemarré pfsense à plusieurs reprises. Ce que j'ai constaté sur la console de pfsense le ping de la passerelle (192.168.4.2 qui est le routeur) me donne comme reponse "communication prohibited by filter"

    Sur le routeur il ya des ACLs qui n'autorisent que les adresses IP routables, autrement dit mes adresses du vlan3 172.16.0.X doivent etre traduites en 212.52.x.244 et celles du vlan4 172.16.16.X en 212.52.x.246

    Je pense que mon probleme pourrait être lié à cette translation que je n'arrive pas faire

    0
  • C

    C'est une information importante. Donc vous arrivez à pinguer 192.168.4.2 ?

    0
  • S

    la passerelle (192.168.4.2) ne repond pas au ping

    0
  • C

    Pardon, mea culpa, je pensais à l'interface Wan de Pfsense, 192.168.4.1. J'ai bien compris que 192.168.4.2 n'est pas joignable actuellement.

    0
  • S

    Bonjour,
    les règles que j'ai mises dans outbound pour chaque vlan

    Interface    Source              Source port  Destination    Dest. port  Nat address        Nat port  Static port
    vlan3          172.16.0.0/20            *                *                    *          212.52.131.244      *            NO
    vlan4          172.16.16.0/20          *                *                    *          212.52.131.246      *            NO

    0
  • J

    L'interface devrait etre WAN dans vos règles de NAT.
    Vous avez défini des règles de NAT en sortie (outbound) sur les interfaces VLAN, le flux ne sort pas par ces interfaces (il rentre par ces interfaces), il sort par l'interface WAN, donc c'est là qu'il faut en changer l'identité des paquets par un NAT.

    0
  • S

    Bonjour,
    merci pour l'aide, à partir du firewall pfsense j'arrive à sortir, à pinguer des machines sur Internet mais les machines des VLANs ne peuvent pas acceder à Internet

    0
  • S

    bonsoir
    j'arrive à présent à sortir mais je ne peux accéder à la DMZ. Aucune machine de la DMZ ne repond au ping.
    Quelle règle faut il appliquer pour permettre aux machines des différents vlans d'accéder à la DMZ et permettre aux internautes d'accéder à mes machines de la DMZ. Sur la DMZ j'ai des adresses IP publiques
    Merci

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy