Accès Internet pour plusieurs sous réseaux!
-
Bonjour,
Ma question est la suivante:
Est il possible de partager l’accès à Internet pour plusieurs sous réseaux avec une passerelle unique?
Je m'explique:
Pfsense se trouve dans le sous réseau suivant 192.168.13.0/24 la passerelle (adresse IP de PFsense) serait 192.168.13.254
j'ai 3 autres sous réseaux suivant: 192.168.1.0/24, 192.168.10.0/24 et 192.168.15.0/24 . Le but c'est que chaque sous réseaux utilise la passerelle 192.168.13.254 pour accéder à internet.
Dans ce cas de figure faut il une seule carte réseau LAN pour gérer l'ensemble des sous réseaux ou une carte réseaux pour chaque sous réseaux?
Si quelqu'un à déja mis cela en place je suis preneur des informations.
Merci encore pour votre aide
Cordialement,
-
Pfsense se trouve dans le sous réseau suivant 192.168.13.0/24 la passerelle (adresse IP de PFsense) serait 192.168.13.254
j'ai 3 autres sous réseaux suivant: 192.168.1.0/24, 192.168.10.0/24 et 192.168.15.0/24 . Le but c'est que chaque sous réseaux utilise la passerelle 192.168.13.254 pour accéder à internet.
Les bases du routage IP vous font défaut. Je vous recommande lire (et comprendre) le site de Ch Caleca : http://irp.nain-t.net/doku.php/start
Cela dit il est toujours possible de répondre à vos questions. Mais dans tous les cas, pour votre situation, 192.168.13.254 ne sera pas la gateway des réseaux 192.168.1.0/24, 192.168.10.0/24 et 192.168.15.0/24. Il est néanmoins possible d'arriver au même résultat sur le plan fonctionnel. Vous avez présumé d'une solution technique qui n'est pas possible. Le réseau 192.16.10.0/24 ne peut avoir pour passerelle par défaut 192.168.13.254. Ou alors ce n'est plus du /24 mais passons. La gateway de 192.16.10.0/24 sera une machine de ce réseau forcément. Par exemple 192.16.10.254. Ce n'est pas pour vous embêter mais c'est comme le fonctionnement d'un réseau ip.
Dans ce cas de figure faut il une seule carte réseau LAN pour gérer l'ensemble des sous réseaux ou une carte réseaux pour chaque sous réseaux?
Alors ça dépend ….
Pour vous il serait plus simple de disposer d'une carte supplémentaire par sous réseau. Les cartes double ou quadri ports font très bien l'affaire. C'est une configuration simple, facile à appréhender et à maintenir. On imagine que si les différents réseaux existent il y a une bonne raison. Peut être même plusieurs.
Une autre solution, qui n'utilise qu'une seule carte, consiste à monter des Vlans sur la même interface physique. Mais il faut maitriser les vlans. De plus il faut des équipements réseaux (commutateurs) qui sachent gérer les vlans. Je ne sais pas ce qu'il y a chez vous. Tant que le problème n'est pas éclairci, on ne se jette pas sur le clavier pour créer des vlans sur Pfsense ! Ca ne se fait pas n'importe comment. la Vlan est parfois susceptible.
Une chose est certaine, il y a des solutions. Mais comme il manque à ce stade beaucoup de pièces au puzzle il est difficile de dire quelle solutions vous convient. Pour info "je vis" avec ce type de problématique tous les jours. -
Bonjour,
J'ai bien compris la réponse. Pour résumer chaque sous réseau sera représenté par sa propre IP de son rang. Dans mon cas le sous réseau 192.168.1.0/24 aura pour passerelle 192.168.1.254, le sous réseau 192.168.10.0/24 aura pour passerelle 192.168.10.254 et enfin le sous réseau 192.168.15.0/24 aura pour passerelle 192.168.15.254.
Maintenant, en ce qui concerne la gestion de ces sous réseaux via l'interface réseau. Le plus simple est d'associé pur chaque sous réseaux une interface physique.
Dans mon cas, si l'on désire avoir une seule carte réseau physique et d'associer à cette carte plusieurs IPs. Je m'explique, dans linux il est possible d'tiliser la carte physique Eth0 et lui affecter des IP virtuelles du style Eth0:1, Eth0:2…. POur chaque interface virtuelle une adresse est affectée par exemple Eth0:1 (192.168.1.254), Eth0:1 (192.168.15.254)....Est il possible de faire la même chose avec Pfsense? Par exemple Interface D0 avec D0:1,D0:2.......
On est bien d'accord que cela n'est pas du Vlan!
Merci encore CCNET
Cordialement,
-
Je comprend bien la solution à laquelle vous pensez mais elle me semble pour le moins étrange. Pfsense est basé sur FreeBSD qui capable comme tous les systèmes actuels de monter plusieurs ip sur une même interface physique. Vous pouvez bien sur montrer des VIP dans des réseau différents. Ce qui est étrange et pose problème en tme de sécurité est que ce faisant vous allez détruire le cloisonnement réseau existant. Une raison pour cela ? Ou peut être revenir au besoin fonctionnel pour que nous trouvions le meilleur solution. Il faudrait décrire ce besoin.
-
Bonjour,
Merci ccnet, effectivement vous avez raison en ce qui concerne le cloisonnement de chaque sous réseau.
L'idée est de pouvoir faire en sorte que chaque sous réseaux puissent avoir accès à internet de manière indépendant en utilisant une seule connexion WAN.
L'affectation de plusieurs VIP pour une seule carte réseau physique étant uniquement dans un but d'économie.Merci encore pour votre support.
PS: Une dernière question
Dans le cas de la mise en place de la configuration que vous me recommandez (une carte dédié par sous réseaux), est il possible d'affecter des services du type (VPN, Publication de ressources…) de façon totalement indépendant sous réseaux par sous réseaux?
Cordialement,
-
Quid de la sécurité dans tout cela ?
Normalement le VPN est utilisé pour accéder a des ressources depuis internet pa un canal sécurisé. Les ressources en question sont normalement en dmz. Il n'est donc pas question d'accéder aux différents réseaux internes.
La solution dont nous parlons pour le moment détruit pratiquement tout le cloisonnement voulu par le découpage réseau. Danger !
L'argument de l'économie ne tient pas compte tenu du faible cout des cartes ethernet.
-
Ok pour les cartes réseaux.
Mais pour l'accès aux ressources interne depuis l'extérieur, il me semble que l'on utilise des connexions VPN pour assurer la sécurité depuis l'extérieur.
VPN –-> Réseau Privé Virtuel.EN DMZ, on mets en place des ressources publiées de type --> Serveur Web, Proxy pour l'accès messagerie ou autres (SMTP,...).....
Merci de m'en dire plus si je me trompe.
Cordialement,
-
Bor,
Je reviens sur la mise en place de pfsence avec plusieurs sous réseaux.
Pour résumer, 1 seul serveur fpsense composé de 4 cartes réseaux (1 WAN et 3 LAN). Chaque LAN doit avoir accès à internet.
Il me semble qu'il est possible uniquement d'avoir un seul Captive Portal pour un seul LAN.
Dans mon cas, il est impossible d'avoir un Captive Portal par sous réseaux.
Je rappel qu'il y a 3 sous réseaux (192.168.1.0/24, 192.168.10.0/24 et 192.168.15.0/24).
Merci
Cordialement, -
Alors une réponse à mes interrogations.
Merci
Cordialement,
-
Dans mon cas, il est impossible d'avoir un Captive Portal par sous réseaux.
Dans tous les cas d'ailleurs pour les version 1.2.3. L'interface parle d'elle même.
-
Merci, CCNET
Cordialement, -
Juste une remarque à propos de la sécurité: excepté si les réseaux sont séparés physiquement (câblage différent, commutateurs différents), l'utilisation de VLAN's est obligatoire pour conserver le cloisonnement. En effet, dans le cas contraire, il suffit de lancer un sniffer réseau (type wireshark) pour se rendre compte qu'un autre range "traîne" dans le réseau. Et donc, il suffira d'utiliser une IP de ce range pour accéder à leur ressource.
Donc pour résumer:
- Il FAUT des VLAN's (sauf s'il y a une séparation physique mais de ce que je comprends, il n'y en a pas ici)
- Soit on utilise des VLAN's au niveau de pfSense. Avantage: un seul câble. Inconvénient: bande passante partagée sur cette interface.
- Soit on utilise des cartes différentes. Avantage: pas de partage de bande passante. Inconvénient: prix (quoique au vu du prix des cartes comme indiqué par ccnet…)
Hope this helps.
-
Pour le nombre de cartes réseaux et le coût y afférent, c'est juste une plaisanterie en milieu pro !
Si on en est à quelques dizaines d'euros …Il FAUT des VLAN's
Il faut espérer qu'il n'existe pas d'outils trop faciles permettant de passer outre les VLAN !
Je ne voudrais pas décevoir, mais …snif !
Bref câblage séparé, switchs séparés, et cartes séparées ...
-
@jdh:
Pour le nombre de cartes réseaux et le coût y afférent, c'est juste une plaisanterie en milieu pro !
Si on en est à quelques dizaines d'euros …Il FAUT des VLAN's
Il faut espérer qu'il n'existe pas d'outils trop faciles permettant de passer outre les VLAN !
Je ne voudrais pas décevoir, mais …snif !
Des exemples?
-
C'est limpide il faut des Vlans mais notre ami ne semble pas décidé.
Quid de la sécurité des vlans, de leur étanchéité ?
Sur du Cisco récent ET bien configuré c'est fiable. Chez d'autres constructeurs je n'en mettrai pas ma main au feu pour les raisons données par jdh entre autres. Bien configuré ce n'est pas si simple. Il faut vraiment faire attention à ce que l'on fait avec les protocoles Cisco. Et ne pas utiliser le Vlan 1 comme on le voit trop souvent.
Si on est en environnement sensible on n'utilisera pas de Vlan (du moins pas pour des questions de sécurité) mais des réseaux physiques distincts.