Lan géré par PF avec des IP fixes disparates



  • Bonjour à tous,

    Contexte : J'avoue, je suis débutant avec PF.
    Besoin : Je voulais savoir comment faire un LAN géré par PF avec la particularité d'avoir sur ce LAN des machines qui ont une adresse IP fixe, mais que je ne choisi pas :(

    Par exemple (j'ai pris des IP au hasard, pas réelles, pour cet exemple), je voudrais mettre sur un même réseau des machines avec 10.102.50.12, 164.12.98.1, 164.13.95.1, …
    La liste de ces machines et leurs adresse IP et finie et connue, j'ai pas plus de 8 machines avec certaines adresses très proches, par exemple 10.102.50.12 et 10.102.50.22
    Ces machines ne s'adresseront pas entre elles, mais à un autre sous réseau distinct, par exemple en 198.68.127.0/24
    Questions/pistes :
    Faut il que je fasse un vlan par adresse IP, ou du moins par "groupe" d'adresse IP ?
    Ou y a t'il une solution pour mettre toutes ces adresses sur le même lan ?



  • Moi pas vraiment comprendre d'avoir un réseau avec des machines et des IP totalement indépendantes les unes des autres …
    Ouais peut être des VLAN pour chaque "sous réseau" ... il faut développer un peu plus ...



  • Ta question n'est pas très claire, même si tu as fait l'effort d'employer quelques "mots clés" du formulaire  ;D ;D ;D

    Techniquement, si je comprends bien ta question, mais rien n'est moins sûr, la réponse se trouve dans le subnet mask.
    Tu ne les précises pas dans tes exemples d'adresse IP (qui du coup perdent tout leur intérêt) mais si, par exemple, tu configures 10.0.0.0/8 comme plan d'adressage, tu vas couvrir les 16777214 adresses qui débutent par "10."

    Attention cependant: si cette approche va fonctionner, même si elle a peu de sens, pour les adresses "privées" (correspondant donc à ce que décrit la RFC1918), si ton netmask contient des adresses publiques, tu vas perturber le fonctionnement de ton accès internet puisque celles-ci seront considérées comme locales et donc plus routées.

    C'est par exemple le cas de tes adresses "164.12.98.1"
    J'espère que tu n'utilises pas cette adresse ni celles du range 164.12.0.0/16 car celles-ci appartiennent à American Express  :P

    Donc il faut être un peu lus précis dans ton analyse et dans ta description et surtout te poser des questions sur la nature et la structure de ton réseau.



  • Merci pour vos réponses, et désolé si ce n'est pas assez clair.

    Déjà, c'est clair que ma config peut paraître pour le moins bizarre, mais elle est bien réelle !
    Pour être un peu plus concret sans donner non plus trop d'information sur une conf qui ne m'appartient pas, il s'agit d'une plateforme de test.
    Cette plateforme de test peut recevoir un nombre fini de machines (ZZ), et c'est ces machines qui ont des adresses IP fixes qu'on ne doit pas changer pour les tests.

    La plateforme est dans une DMZ configurée par un autre service.

    J'ai fais un petit dessin rapide pour essayer d'être plus clair, les adresses IP sont toujours bidons.
    Ma machine A et mon Pfsense sont déjà connus et accessibles de mon PC.

    Les machines ZZ ne sortent pas de la DMZ, et s'adresse uniquement à la machine A.
    La machine A est uniquement adressée, elle ne fait aucun accès vers qui que se soit.
    De mon PC, je dois pouvoir accéder à A et au machines ZZ.

    Du coup avec ce que vous m'avez dit, je vois bien faire pour cet exemple :

    • 2 vlan pour mes machines ZZ avec comme plan d'adressage 10.102.0.0/16 et 164.13.0.0/16
    • Du nat dans mon pfsense pour accéder à mes machines ZZ

    J'ai bon non ?




  • Je voulais savoir comment faire un LAN géré par PF

    Pfsense ne gère pas de réseau. C'est un firewall qui filtre le trafic.
    Je ne sais pas si vous avez saisi la porté de la mise en garde de Cris :

    Attention cependant: si cette approche va fonctionner, même si elle a peu de sens, pour les adresses "privées" (correspondant donc à ce que décrit la RFC1918), si ton netmask contient des adresses publiques, tu vas perturber le fonctionnement de ton accès internet puisque celles-ci seront considérées comme locales et donc plus routées.

    Cela étant c'est un besoin (encore que vous raisonnez d'emblée en solution technique) pour le moins curieux dont la logique profonde m'échappe.



  • @ccnet:

    Je voulais savoir comment faire un LAN géré par PF

    Pfsense ne gère pas de réseau. C'est un firewall qui filtre le trafic.
    Je ne sais pas si vous avez saisi la porté de la mise en garde de Cris :

    Attention cependant: si cette approche va fonctionner, même si elle a peu de sens, pour les adresses "privées" (correspondant donc à ce que décrit la RFC1918), si ton netmask contient des adresses publiques, tu vas perturber le fonctionnement de ton accès internet puisque celles-ci seront considérées comme locales et donc plus routées.

    Je pense que oui en disant ça :

    Les machines ZZ ne sortent pas de la DMZ, et s'adresse uniquement à la machine A.
    La machine A est uniquement adressée, elle ne fait aucun accès vers qui que se soit.
    De mon PC, je dois pouvoir accéder à A et au machines ZZ.

    J'ai raté quelque chose ?  :(

    Cela étant c'est un besoin (encore que vous raisonnez d'emblée en solution technique) pour le moins curieux dont la logique profonde m'échappe.

    Par rapport à ça :

    il s'agit d'une plateforme de test.
    Cette plateforme de test peut recevoir un nombre fini de machines (ZZ), et c'est ces machines qui ont des adresses IP fixes qu'on ne doit pas changer pour les tests.

    Je précise que cette plateforme de test reçoit des machines ZZ pour les tester, qui sont remplacer par d'autres machines ZZ, etc…
    Oui j'ai donné une solution technique à ce problème dans le but de voir si ça pouvait fonctionner. Mais si il y a d'autres solutions qui répondent à mes contraintes, je veux bien les connaitre pour comparer !