Vlan sur l'interface LAN
-
Bonjour,
j'utilise pfsense pour implementer 3 vlan sur un reseau. la configuration est la suivante:
wan
adresse IP: 192.168.4.1
passerelle: 192.168.4.2DMZ
adresse IP: 212.52.x.2LAN:
au niveau LAN j'ai 3 vlans (Vlan3, vlan4, vlan5) avec le DHCP activé sur chaque vlan.
vlan3 est sur le 172.16.0.0/20
vlan4 est sur le 172.16.16.0/20
vlan5 est sur le 10.10.10.0/28Question: faut-il attribuer une adresse IP à l'interface physique du LAN
Merci pour l'aide
-
Non.
Pour une réponse un peu plus complète :
http://forum.pfsense.org/index.php/topic,12844.0.html
http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSense
La réponse finale serait donc même non, surtout pas. -
Bonsoir,
au niveau des interfaces assignées j'ai:
WAN, LAN, DMZ, VLAN3, VLAN4, VLAN5
Si j'ai bien compris l'interface LAN n'a pas d'adresse IP
-
Oui. Et elle est à supprimer de la liste des interfaces.
-
elle n'est pas nécessairement à supprimer
On peut configurer le native vlan sur le port du switch -
On peut configurer le native vlan sur le port du switch
Je ne comprend pas ce que cela signifie. Sur un Cisco, et ce n'est surement le seul, tous les ports du switch dès lors que sa configuration n'est pas modifiée sont sur le Vlan1 qui est alors le vlan natif de chaque port.
-
Merci pour vos reponses, mais l'interfaces LAN ne peut être supprimée. Seules les interfaces OPT peuvent être supprimées. En parlant de supprimer l'interface LAN, si je l'attribue l'adresse IP 0.0.0.0/24 est-ce-que cela correspond à une désactivation de l'interface LAN?
-
L'adresse IP 0.0.0.0/24 n'est licite que lors du démarrage d'une interface configurée en dhcp, en attente d'attribution d'une ip. Désactivez l'interface en décochant la case dans Interface->optx->Enable Optional x interface.
-
autre informations:
- l'interface WAN a pour adresse IP 192.168.4.1 et comme passerelle 192.168.4.2 (mon routeur)
- le vlan3 est sur le sous réseau 172.16.0.0/20 et doit sortir avec l'adresse IP 212.52.X.244
- le vlan4 est sur le sous réseau 172.16.16.0/20 et doit sortir avec l'adresse IP 212.52.X.246
pour configurer la translation d'adresse du sous reseau 172.16.0.0/20 en 212.52.X.244, j'ai utilisé le menu–>firewall-->nat-->outbound
je n'arrive pas à pinguer la passerelle 192.168.4.2
-
Deux suggestions :
Avez vous redémarré pfsense après l'ajout des vlans ? C'est en général nécessaire.Les règles sur l'interface vlan3 sont elles adaptées pour laisser sortir le trafic ? Méfiez vous, dans Pfsense les règles de filtrage sont évaluées après les règles de translation.
-
oui j'ai redemarré pfsense à plusieurs reprises. Ce que j'ai constaté sur la console de pfsense le ping de la passerelle (192.168.4.2 qui est le routeur) me donne comme reponse "communication prohibited by filter"
Sur le routeur il ya des ACLs qui n'autorisent que les adresses IP routables, autrement dit mes adresses du vlan3 172.16.0.X doivent etre traduites en 212.52.x.244 et celles du vlan4 172.16.16.X en 212.52.x.246
Je pense que mon probleme pourrait être lié à cette translation que je n'arrive pas faire
-
C'est une information importante. Donc vous arrivez à pinguer 192.168.4.2 ?
-
la passerelle (192.168.4.2) ne repond pas au ping
-
Pardon, mea culpa, je pensais à l'interface Wan de Pfsense, 192.168.4.1. J'ai bien compris que 192.168.4.2 n'est pas joignable actuellement.
-
Bonjour,
les règles que j'ai mises dans outbound pour chaque vlanInterface Source Source port Destination Dest. port Nat address Nat port Static port
vlan3 172.16.0.0/20 * * * 212.52.131.244 * NO
vlan4 172.16.16.0/20 * * * 212.52.131.246 * NO -
L'interface devrait etre WAN dans vos règles de NAT.
Vous avez défini des règles de NAT en sortie (outbound) sur les interfaces VLAN, le flux ne sort pas par ces interfaces (il rentre par ces interfaces), il sort par l'interface WAN, donc c'est là qu'il faut en changer l'identité des paquets par un NAT. -
Bonjour,
merci pour l'aide, à partir du firewall pfsense j'arrive à sortir, à pinguer des machines sur Internet mais les machines des VLANs ne peuvent pas acceder à Internet -
bonsoir
j'arrive à présent à sortir mais je ne peux accéder à la DMZ. Aucune machine de la DMZ ne repond au ping.
Quelle règle faut il appliquer pour permettre aux machines des différents vlans d'accéder à la DMZ et permettre aux internautes d'accéder à mes machines de la DMZ. Sur la DMZ j'ai des adresses IP publiques
Merci