Vlan sur l'interface LAN

someferdi

Bonjour,
j'utilise pfsense pour implementer 3 vlan sur un reseau. la configuration est la suivante:
wan
  adresse IP: 192.168.4.1
  passerelle: 192.168.4.2

DMZ
  adresse IP: 212.52.x.2

LAN:
au niveau LAN j'ai 3 vlans (Vlan3, vlan4, vlan5) avec le DHCP activé sur chaque vlan.
vlan3 est sur le 172.16.0.0/20
vlan4 est sur le 172.16.16.0/20
vlan5 est sur le 10.10.10.0/28

Question: faut-il attribuer une adresse IP à l'interface physique du LAN

Merci pour l'aide

ccnet

Non.
Pour une réponse un peu plus complète :
http://forum.pfsense.org/index.php/topic,12844.0.html
http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
La réponse finale serait donc même non, surtout pas.

someferdi

Bonsoir,
au niveau des interfaces assignées j'ai:
WAN, LAN, DMZ, VLAN3, VLAN4, VLAN5

Si j'ai bien compris l'interface LAN n'a pas d'adresse IP

ccnet

Oui. Et elle est à supprimer de la liste des interfaces.

fenrir

elle n'est pas nécessairement à supprimer
On peut configurer le native vlan sur le port du switch

ccnet

@fenrir:

On peut configurer le native vlan sur le port du switch

Je ne comprend pas ce que cela signifie. Sur un Cisco, et ce n'est surement le seul, tous les ports du switch dès lors que sa configuration n'est pas modifiée sont sur le Vlan1 qui est alors le vlan natif de chaque port.

someferdi

Merci pour vos reponses, mais l'interfaces LAN ne peut être supprimée. Seules les interfaces OPT peuvent être supprimées. En parlant de supprimer l'interface LAN, si je l'attribue l'adresse IP 0.0.0.0/24 est-ce-que cela correspond à une désactivation de l'interface LAN?

ccnet

L'adresse IP 0.0.0.0/24 n'est licite que lors du démarrage d'une interface configurée en dhcp, en attente d'attribution d'une ip. Désactivez l'interface en décochant la case dans Interface->optx->Enable Optional x interface.

someferdi

autre informations:

• l'interface WAN a pour adresse IP 192.168.4.1 et comme passerelle 192.168.4.2 (mon routeur)
• le vlan3 est sur le sous réseau 172.16.0.0/20 et doit sortir avec l'adresse IP 212.52.X.244
• le vlan4 est sur le sous réseau 172.16.16.0/20 et doit sortir avec l'adresse IP 212.52.X.246

pour configurer la translation d'adresse du sous reseau 172.16.0.0/20 en 212.52.X.244, j'ai utilisé le menu–>firewall-->nat-->outbound

je n'arrive pas à pinguer la passerelle 192.168.4.2

ccnet

Deux suggestions :
Avez vous redémarré pfsense après l'ajout des vlans ? C'est en général nécessaire.

Les règles sur l'interface vlan3 sont elles adaptées pour laisser sortir le trafic ? Méfiez vous, dans Pfsense les règles de filtrage sont évaluées après les règles de translation.

someferdi

oui j'ai redemarré pfsense à plusieurs reprises. Ce que j'ai constaté sur la console de pfsense le ping de la passerelle (192.168.4.2 qui est le routeur) me donne comme reponse "communication prohibited by filter"

Sur le routeur il ya des ACLs qui n'autorisent que les adresses IP routables, autrement dit mes adresses du vlan3 172.16.0.X doivent etre traduites en 212.52.x.244 et celles du vlan4 172.16.16.X en 212.52.x.246

Je pense que mon probleme pourrait être lié à cette translation que je n'arrive pas faire

ccnet

C'est une information importante. Donc vous arrivez à pinguer 192.168.4.2 ?

someferdi

la passerelle (192.168.4.2) ne repond pas au ping

ccnet

Pardon, mea culpa, je pensais à l'interface Wan de Pfsense, 192.168.4.1. J'ai bien compris que 192.168.4.2 n'est pas joignable actuellement.

someferdi

Bonjour,
les règles que j'ai mises dans outbound pour chaque vlan

Interface    Source              Source port  Destination    Dest. port  Nat address        Nat port  Static port
vlan3          172.16.0.0/20            *                *                    *          212.52.131.244      *            NO
vlan4          172.16.16.0/20          *                *                    *          212.52.131.246      *            NO

Juve

L'interface devrait etre WAN dans vos règles de NAT.
Vous avez défini des règles de NAT en sortie (outbound) sur les interfaces VLAN, le flux ne sort pas par ces interfaces (il rentre par ces interfaces), il sort par l'interface WAN, donc c'est là qu'il faut en changer l'identité des paquets par un NAT.

someferdi

Bonjour,
merci pour l'aide, à partir du firewall pfsense j'arrive à sortir, à pinguer des machines sur Internet mais les machines des VLANs ne peuvent pas acceder à Internet

someferdi

bonsoir
j'arrive à présent à sortir mais je ne peux accéder à la DMZ. Aucune machine de la DMZ ne repond au ping.
Quelle règle faut il appliquer pour permettre aux machines des différents vlans d'accéder à la DMZ et permettre aux internautes d'accéder à mes machines de la DMZ. Sur la DMZ j'ai des adresses IP publiques
Merci