Isolation de VLAN
-
bonjour à tous,
je reviens vers vous avec une question un peu étrange mais bien réel pour ma maquette.
je suis en train de mettre en place une maquette en tout point identique (ou presque) à l'installation que nous allons réaliser.nous avons un modem en mode bridge relié sur le WAN de PFsense (Em3) qui lui est configurer en PPPOE : sur ce point aucun soucis.
ensuite une interface lan (Em4) en 192.168.1.1/24 : aucun soucis ici
puis sur une autre carte physique (Em0) 3 Vlans (1,10 et 20)pour la petite histoire j'ai suivis les conseils de CCNET pour la mise en place de VLAN sur un switch avec un trunk pour le relié à pfsense : sur ce point aussi tout est bon.
en pièce jointe je vous ai mis un petit schéma avec les détails.
pour ce qui est du souci, un serveur DHCP est configurer sur chaque VLAN sur le PFSENSE et fonctionne correctement, les postes reçoivent les IPs appropriés.
par contre le soucis c'est que mes VLAN ne sont pas hermétiques pfsense semblent faire du routage entre mes vlans.la solution semble être dans les réglés de firewall mais je doit avoué que j'ai cherché sans vraiment trouvé.
si vous avez un indice je suis preneur.
merci d'avance.
cordialement.
Ludovic.
-
Bonjour.
Regardez peut-etre au niveau du parfeu (Rules) si vous n'avez pas une ligne du genre "* * * * * * none ".
Dans ce cas, il y a effectivement routage inter VLAN. -
bonjour,
effectivement il semblerais que ma règle au niveau de mon interface VLAN soit un peu trop permissive.
mais après quelque essaie je n'arrive pas au résultat voulu : impossible d'avoir internet sur le poste dans le vlan sans pour autant pinger les autres vlans.
sachant que je voudrait éviter de faire des règles pour chaque VLAN vu que, a terme, il y aura 8 VLANs différents.A quoi ressemblerais une règle autorisant l’accès au net sans l’accès aux autres VLANs ?
et une autre question, dans la partie firewall / Rules, quelle est la différence entre WAN subnet et WAN adress ?
merci d'avance,
cordialement.
-
et hop je fait suite a mon propre message,
en jouant avec l'ordre des règle je suis arriver à mes fin, j'ai placer la/les règles bloquantes en tête de liste et en dernier la règle passante.
merci à vous.
cordialement.
-
Sinon, un simple alias nommé RFC1918 contenant les réseaux RFC1918:
10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16
Vous faites sur chaque interface les regles nécessaires à l'accès aux services de pfsense (si vous les utilisez…, par exemple le DNS forward ou NTPD) puis une regle qui donne accès à Internet avec cette structure:Pass from VlanXSubnet source port 1024-65535 to !RFC_1918 port 80,443
le signe ! dans pfsense se matérialise par le fait de cocher la case Not
-
bonjour,
effectivement j'ai créer un alias qui contient mes VLANs et j'ajoute une règle pour bloquer les flux vers eux, et avec une règle qui autorise le vlan vers lui même tout va bien.
merci encore.
-
quelle est la différence entre WAN subnet et WAN adress ?
Wan address est l'ip de votre interface wan alors que WAN subnet est le numéro du réseau de Wan. Si vous avez un /32 cela n'a pas de sens bien sûr.
-
effectivement dans le cas dans /32 ça n'as pas de sens, mais nous allons avoir un /29 comme pool d'ip public donc je pourrait jouer avec ce paramètre une fois en prod.
cordialement.