Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Virtual machine sur 2 réseaux différents

    Français
    3
    7
    819
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      the_ricou
      last edited by

      Bonjour,

      J'ai acheté un mini-pc avec 5 ports réseau et y ai installé pfsense dans le but de séparer 3 réseaux (pour le moment) : LAN, INFRA, DOMOTIC.

      Les plages IP sont et configurés sur pfsense avec l'affection suivante :
      WAN DHCP de la box, sur le port RJ bge0
      LAN 10.0.10.1/24, sur le port RJ em0
      INFRA 10.0.20.1/24, sur le port RJ em1
      DOMOTIC 10.0.30.1/24, sur le port RJ em2

      Je ne possède que des Switch NON manageable, un différent sur les 3 réseaux.

      J'ai un NAS Synology avec Virtual Machine dessus, les VM sont Jeedom et PiHole.
      Ce que j'essaye de faire, mais je ne sais pas si c'est faisable : installer le NAS sur le réseau INFRA et le Jeedom sur le réseau DOMOTIC et PiHole sur celui INFRA.

      Quelqu'un aurait déjà fait un montage pareil ? Ou qu'elles sont les pistes à suivre pour configurer le routeur et les vms ?

      Merci à disposition pour plus d'informations ou faire des tests

      1 Reply Last reply Reply Quote 0
      • TataveT
        Tatave
        last edited by

        Bonjour,
        Votre question permet de mettre en lumière deux choses.

        • vous ne maitrisez pas les connaissances inhérentes aux réseaux informatiques et des vlans.
        • vous ne semblez pas non plus avoir intégré les notions fondamentales de pfsense avec les vlans.

        Les axes de travail sont
        1- switch L2/L3 pour la partie physique de la topologie
        2- les vlans pour la partie logique de la topologie

        cela implique de revoir totalement votre architecture.

        Bon courage

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • T
          the_ricou
          last edited by

          Bonjour,

          Merci pour votre réponse, je suis en effet pas un pro en réseau c'est certains, en outre votre réponse est celle à faire quand on possède le matériel adéquat.

          Sinon pour information j'ai réussi à faire ce que je voulais faire avec mon installation, en voici les détails.

          Je me concentrerai seulement à expliquer les modifications apportées aux réseaux INFRA et DOMOTIC.

          Création de 4 VLANs :

          • VLAN 20 sur l'interface em1
          • VLAN 30 sur l'interface em2
          • VLAN 20 sur l'interface em3
          • VLAN 30 sur l'interface em3

          Affectation des interfaces :

          • INFRA avec la configuration IP 10.0.20.1/24 : VLAN 20 sur em1
          • DOMOTIC avec la configuration IP 10.0.30.1/24 : VLAN 30 sur em2
          • OPT3 sans configuration d'IP : VLAN 20 sur em3
          • OPT4 sans configuration d'IP : VLAN 30 sur em3

          Création de 2 bridges :

          • BRIDGE0 : INFRA, OPT3
          • BRIDGE1 : DOMOTIC, OPT4

          Réseau sur le NAS où sont stockés les VMs, création dans Virtual Machine Manager de 2 commutateurs virtuels :

          • DOMOTIC : VLAN ID 30, affecté à la carté réseau
          • INFRA : VLAN ID 20, affecté à la carté réseau

          Sur la configuration réseau du NAS, activation des VLANs et définition du VLAN ID : 20
          Dans virtual machine :

          • VM1 (Jeedom), définition du réseau en DOMOTIC (commutateur virtuel) et IP fixe sur le réseau 10.0.30.*
          • VM2 (Pi Hole), définition du réseau en INFRA (commutateur virtuel) et IP fixe sur le réseau 10.0.20.*

          Des règles dans le firewall permette la communication sans limitation pour le moment entre toutes les interfaces

          D'avance merci pour la future réponse qui mettra de la lumière sur ma sombre ignorance.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by jdh

            Voilà un fil qui va mettre en lumière la confusion entre LAN et VLAN.

            Il est parfaitement possible, et vous l'avez fait, d'avoir plusieurs LAN 'logiques' sur le même LAN 'physique'. Mais il est bien mieux de mettre en oeuvre des VLAN.

            LAN 'physique' : réseau qui relie des matériels, des hubs ou switchs. Dans ce type de réseau, les matériels peuvent ou non communiquer directement : ils communiquent s'ils sont dans le même réseau ip ou non : une machine A avec 192.168.44.51/255.255.255.0 ne peut communiquer avec la machine B 172.16.21.52/255.255.0.0

            LAN 'logique' (au sens ip) : avec l'adresse ip et le masque réseau, on peut connaitre le n° de réseau (par un ET logique binaire) : les machines sont dans le même LAN 'logique' si elles appartiennent au même n° de réseau : si elles n'appartiennent pas au même LAN 'logique' elles doivent envoyer leurs paquets à leur gateway respective (qui doit donc nécessairement être dans le même n° de réseau).

            VLAN : réseau virtuel. Cela repose sur 801.Q et sur des switchs administrables. L'idée est de 'rendre étanche' chacun des réseaux, c'est à dire de ne pas permettre qu'une machine A communique avec une machine B si elles ne sont pas dans le même VLAN. Bien évidemment, ce sont les switchs administrables qui vont empêcher la transmission des paquets (IP et même ethernet).

            Le principe est assez simple : dans le paquet IP standard, un champ (de 12 bits) est utilisé pour spécifier un 'tag' de VLAN (donc entre 1 et 4095 moins quelques valeurs réservées). Les ports du switch administrable ont donc CHACUN une liste des VLAN autorisés ('tagged vlan') ainsi qu'un n° de VLAN pour affecter un 'tag' aux paquets non 'taggé' (le 'untagged vlan'). De facto, chaque port ne laissent passer que les paquets prévus (et 'droppe' les autres). Une machine peut comporter le bout de logiciel nécessaire pour effectuer le même traitement (que le switch), mais elle sera de toute façon connectée à un switch qui va tagger les paquets non taggés (le 'untagged vlan').

            Quel est alors l'intérêt d'utiliser des VLAN plutôt que de séparer les machines par n° de réseau IP ? La raison est simple : il existe des paquets de 'broadcast', c'est à dire sans adresse ip réelle ou plutôt avec l'adresse de 'broadcast' du réseau. Ces paquets sont donc reçus par toutes les machines du même n° de réseau, parce que c'est nécessaire ! Exemple le protocole ARP : un paquet ARP est émis, en 'broadcast', 'qui a l'adresse IP suivante', la machine ayant l'adresse ip donnée sera la seule à répondre, le 'broadcast' était nécessaire car d'un seul paquet toutes les machines ont reçu la demande ! De facto, les paquets 'broadcast' seront limités si ont utilise des VLAN.

            Mais le pire est DHCP, protocole qui repose sur l'envoi de 'broadcast' sans n° de réseau, puisque justement, le but est d'obtenir une adresse ip ! Sans VLAN, c'est à dire avec un réseau simple ou avec plusieurs réseau IP distincts, il ne peut y avoir qu'un seul serveur DHCP ! Ou plutôt s'il y en a plusieurs, on ne peut prédire lequel va répondre en premier !!

            Je vous conseille de suivre les liens suivants :

            • 801.Q : https://fr.wikipedia.org/wiki/IEEE_802.1Q
            • CALECA : https://caleca.developpez.com/tutoriels/securiser-reseau/

            NB (exemple vécu) : que se passe-t-il si on branche un switch non administrable à un siwtch administrable : le 'tag' est perdu par le switch non administrable, donc chaque PC connecté à un switch non administrable puis à un switch administrable seront identiques. J'ai eu un collègue qui m'affirmait connaitre les VLAN et avait relié 2 switch administrables via un non administrable !!

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Je ne connais pas la fonction 'Virtual machine' sur Synology, ni comment est attribué une adresse ip et un vlan à une VM. J(ignore si ce NAS dispose de 2 interfaces ethernet, et si chaque VM est sur une interface séparée.

              Mais, sans switch administrable dument configuré, et sans double interface, il est impossible que 2 VM soit sur des VLAN séparés.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • TataveT
                Tatave
                last edited by

                Bonjour

                Bien que cela n'entr pas dans la problématique du forum pfsense, le sujet de la virtualisation est un sujet récurrent.

                Synology a bien en effet un module pour la virtualiser en fonction de certaine gamme de nas, pas les petits en tout cas, et ne me servant que de stockage iscsi pour de la virtualisation je suis bien en peine pour dire si l'isolation vlan est prise en compte pas la virtualisation ou si c'est du coté os syno que cela est totalement pris en comptes, coté paramètres réseau oui c'est pris en comptes pour les ports machines, apres le reste ...
                Mais la problématique de savoir si c'est proprement fonctionnel avec des switchs non manageable, et surtout bien sécurisé, j'ai un doute sur ce point.

                Pfsense lui on le sait pour les anciens qu'il gère très bien la problématique vlan avec mon nombre d'autres éléments actifs réseau et inter opère de manière transparente qui plus est.

                Ma recommandation serait de virer les deux switchs non manageable et de passer par un qui l'est avec suffisamment de ports pour votre projet ou plusieurs petits en fonction de vos locaux. Il y a le choix cotés constructeurs pour ce type de produit et à toutes les bourses entre 100€ pour les plus petits et basique du genre et l'infinie, tout est question de budget bien évidement.

                Courage

                aider, bien sûre que oui
                assister, évidement non !!!

                donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                apprendre à un homme comment cuisiner, il sera vivre.

                1 Reply Last reply Reply Quote 0
                • T
                  the_ricou
                  last edited by

                  Bonsoir,

                  Merci beaucoup pour vos réponses et la remise au frais de la confusion LAN vs VLAN.

                  Je voulais tenter de forcer cette configuration réseau avec le matériel en ma procession, j'y suis arrivé, ce n'est certainement pas la version pérenne de mon installation.

                  Je viens d'acheter un switch manageable, je vais donc pouvoir clairement supprimer les autres switch et mieux structurer l'ensemble.

                  Je vous remercie pour votre temps et je pense trouver les réponses à mes questions futures dans le forum déjà bien fourni.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.