Transformer un lan en deux vlans

tit

Bonjour,

Nous avons une configuration pfsense avec 4 cartes réseaux qui correspondent respectivement à Lan, Wan (adsl), Wan2 (sdls), dmz. Le lan est de la forme 192.168.37.1/24. Je voudrais modifier la configuration: sur la carte réseau qui correspond actuellement au lan je voudrais qu'il y ait deux vlan, le vlan0 correspondrait à mon lan actuel (je voudrais conserveur toutes les règles associées) et il y aurait en plus un vlan1 (en 192.168.4.1/24 par exemple).

Comment puis-je faire cela? La doc que j'ai vu expliquait comment configurer deux vlans sur une nouvelle carte réseau, mais je n'ai rien vu pour transformer un lan existant en deux vlans. Est-ce possible et si oui comment?

Merci par avance pour vos indications.

PARN

Bonjour,

J'ai trouvé une doc qui l'explique bien :

http://networktechnical.blogspot.com/2007/04/pfsense-how-to-setup-vlans.html

Fonctionne très bien pour moi.

ccnet

Cette procédure devrait fonctionner sans difficulté. Ne pas utiliser de Vlan avec le tag 1.

tit

Bonjour,

Merci pour vos réponses. Mais je n'arrive à rien, il y a clairement quelque chose qui m'échappe. je vais vous expliquer de manière plus détaillée notre configuration et ce que je veux faire, et peut-être pourrez-vous m'aider. (dites-moi si je dois plutôt créer un nouveau post).

Nous avons deux  sites distants. site1 (le site sur lequel je suis) et site2 sont reliés par un tunnel ipsec. sur site1 il y a un pfsense, sur site2 un ipcop (qui devrait être remplacé par un pfsense).

Comme déjà dit, le pfsense du site1 a 4 cartes réseaux correspondant à LAN, Wan (adsl), Wan2 (sdls), DMZ; le lan est de la forme 192.168.37.0/24, pfsense a l'adresse 192.168.37.1, sur l'autre site le lan est de la forme 192.168.1.0/24, ipcop a comme adresse 192.168.1.2. Le tunnel ipsec entre les deux sites passe par la sdls (wan2). La carte réseau de pfsense correspondant au lan est reliée à un switch (appelons le switch1) de niveau 3 sur lequel sont cablés tous les PCs de la société. ce switch est relié à un autre switch (switch2) qui comprend 3 VLANs: Vlan data, vlan wifi, vlan voix. Le switch 1 est branché sur le vlan data du switch2.

Jusqu'à présent je n'ai pas pris en considération (notamment au niveau de pfsense) ce switch2 (notamment les différents vlans), c'est la société qui nous a installé la téléphonie et le wifi qui l'a configuré. (je n'ai jusqu'à maintenant jamais eu à gérer de vlans)

Le projet actuel est de faire transiter la téléphonie par ip entre les deux sites, on pourra communiquer par téléphone entre le site1 et le site2 en passant par le vpn, du site1 on pourra prendre des appels à destination de personnes du site2 etc. la même société extérieure est en train de faire les modifications nécessaires au niveau de la téléphonie. Deux propositions étaient faites: soit on ajoutait une autre connexion sdls dédiée à la voix, et c'est cette société qui gérait les communications voix entre les deux sites, soit la voix passait par le vpn existant. C'est cette deuxième solution moins chère qui a été retenue.

Mon but est de permettre le passage de la voix entre les deux sites par le tunnel ipsec, si possible en priorisant la voix par rapport aux données.

Sur le vlan data le switch2 a l'adresse 192.168.37.215, sur le vlan voix il a l'adresse 192.168.5.254 (le vlan voix est de la forme 192.168.5.0/24).

Sur le deuxième site, il y aura aussi un switch analogue au switch2, pour le vlan voix il aura l'adresse 192.168.6.254, pour le vlan data il aura l'adresse 192.168.1.x.

Comment dois-je procéder?

Voila ce que j'ai fait pour le moment. Sur pfsense par le menu "interface (assign)" onglet "vlan" j'ai rajouté un "vlan voix" sur la carte réseau où il y avait déjà le lan. Et par l'onglet "interface assignments" j'ai ajouté l'interface "VOIX" sur le réseau "vlan voix" (cette interface a comme adresse 192.168.5.1/24). ensuite pour test j'ai ajouté des règles permettant des accès complet entre "LAN" et "VOIX". J'ai ensuite branché un pc (192.168.5.x) sur le vlan voix du swictch2, et un autre pc (192.168.37.y) sur le switch1, et j'ai essayé d'accéder de l'un à l'autre. ça ne marche pas.

J'ai ensuite rajouté une route statique au niveau de pfsense de la forme: "interface:LAN, network: 192.168.5.0/24, gateway: 192.168.37.215". là les deux pcs peuvent se pinguer. mais c'est tout ce qu'ils peuvent faire, les règles que je peux écrire sur pfsense concernant "LAN" et "VOIX" semblent n'avoir aucun effet.

J'ai ensuite ajouté une route statique sur ipcop (distant) pour qu'ipcop connaissent le réseau 192.168.5.0/24, et essayer de pinguer un pc distant (192.168.1.z) depuis mon pc sur le vlan voix (192.198.5.x) mais là ça ne fonctionne pas.

bref, je patauge et ne vois pas du tout ce qu'il faut faire.

Toute aide sera bienvenue

psylo

Est-ce que le VLAN data est configuré sur le "switch1"? Si ce n'est pas le cas, vos problèmes peuvent venir de là…

Donc, vous devriez avoir une configuration de ce type:
+----------+                      +----------+                        +----------+
|  pfSense  |====TRUNK====|  switch1  |=====TRUNK====|  switch2  |
+----------+                      +----------+                        +----------+
TRUNK concerne la configuration des portes entre les switchs. Cette configuration permet de "remonter" les infos VLANs dans les modifier. Je parle ici en "langage" Cisco. Si vous avez du HP, c'est du "Tagged Only" sans PVID.
Au niveau de l'interface du pfSense, vous devez définir les VLANs sur l'interface LAN.

Il existe une autre possibilité si vous n'avez pas besoin de limiter les accès entre les VLANs. En effet, vous avez un switch layer3 et donc, vous pouvez l'utiliser pour le routage entre les VLANs. Votre configuration ressemblera à ça:
+----------+                        +----------+                        +----------+
|  pfSense  |====VLAN fw====|  switch1  |=====TRUNK====|  switch2  |
+----------+                        +----------+                        +----------+
Donc, vous n'avez plus besoin de gérer les VLANs au niveau du pfSense: le switch1 s'en chargera. C'est lui qui aura les ip des passerelles par défaut de vos VLANs.
Vous créez un nouveau VLAN (appelé fw ou firewall) qui ne sera utilisé que pour le lien entre le switch1 et le pfSense. Vous devrez donc ajouter des routes par défaut sur le pfSense pour indiquer que les réseaux data, voice & wifi se trouvent "derrière" le "switch1".
Pour l'IPSec, pas besoin d'ajouter le VLAN fw... Par contre, ne changez rien au niveau des règles de filtrage: le switch ne fera pas de NAT, vous verrez donc toujours les adresses réelles des VLANs...

Quel est l'avantage? Si vous n'avez pas de restriction entre les VLANs, un switch "couche 3" aura de meilleures performances qu'un firewall. Pour info, un Cisco 2960 (qui est le plus petit switch permettant du routage inter-vlan) peut aller jusque 16Gbps.
Inconvénient? Si vous devez restreindre les accès entre les VLANs, ça se fait via des ACL et honnêtement, c'est de loin plus difficile à la gestion de règles dans un pfSense...

Mon avis: s'il n'y a pas de restriction entre les VLANs, optez pour la seconde option.

My 2 cents...

ccnet

Voila ce que j'ai fait pour le moment. Sur pfsense par le menu "interface (assign)" onglet "vlan" j'ai rajouté un "vlan voix" sur la carte réseau où il y avait déjà le lan. Et par l'onglet "interface assignments" j'ai ajouté l'interface "VOIX" sur le réseau "vlan voix" (cette interface a comme adresse 192.168.5.1/24). ensuite pour test j'ai ajouté des règles permettant des accès complet entre "LAN" et "VOIX". J'ai ensuite branché un pc (192.168.5.x) sur le vlan voix du swictch2, et un autre pc (192.168.37.y) sur le switch1, et j'ai essayé d'accéder de l'un à l'autre. ça ne marche pas.

Vous avez juste ajouté le Vlan à l'interface physique sur laquelle vous avez conservé le réseau existant ?
J'ai toujours rencontré des problèmes en procédant ainsi. Ce que je fais c'est créer deux vlan sur l'interface physique mais je n'utilise pas l'interface physique directement. J'avais ensuite trouvé un post sur le forum US qui parvenait aux mêmes conclusions.  Je crois me souvenir que Juve ne pensait pas cela nécessaire. Tout cela est un peu loin. je m'en suis tenu à la méthode ce dessus qui me donne satisfaction en version 1.2.3.

tit

Merci pour vos réponses.

psylo, le VLAN Data semble bien configuré sur le switch1 (un 3com 4210), dans son interface Vlan je vois: "vlan ID: *1 IP: 192.168.37.216" (sur le switch2, un 3com 4500, au même endroit:  "vlan ID: *1 IP: 192.168.37.215, vlan ID: 2 IP: 192.168.5.254" (je ne sais pas ce que signifie l'étoile devant le 1).
Pour le reste de vos remarques, j'y reviendrai plus tard, après y avoir réfléchi et m'être renseigné: je ne sais pas ce qu'est un trunk, ni le pvid.

ccnet, oui j'avais fait tout d'abord fait la configuration sans vlan, je l'ai laissé telle quelle, et j'ai juste rajouté le vlan voix.
tenant compte de votre dernier message, au niveau des interfaces pfsense  je viens de rajouter le vlan data, et j'ai relié mon Lan à ce vlan data au lieu de le relier à l'interface physique. Je reboote pfsense… et je n'y accède plus depuis mon lan!

Deux choses :
a) dans votre premier message vous recommandez de ne pas utiliser de vlan avec le tag 1. Pourquoi? Malheureusement ici le vlan data a été configuré avec ce tag au niveau des switchs, dois-je changer la configuration de ces deux switchs?
b) je dois être idiot mais je n'y pense que maintenant: peut-être que la carte réseau reliée au lan n'est pas compatible avec les vlans (pour ma défense je n'avais jamais eu affaire à des vlans). J'ai installé pfsense sur un vieux pc, et les cartes réseaux sont des cartes de réseaux de base que j'avais sous la main. Est-ce que mes problèmes pourraient provenir d'une carte incapable de gérer les vlans? Comment puis-je m'en assurer? Quelle carte me conseillerez-vous d'acheter, et où (je suis sûr Toulouse)?

psylo

Je pense très honnêtement que vous devriez d'abord lire un peu de théorie sur les VLANs avant de les implémenter…

[EDIT]: Par exemple: http://www-igm.univ-mlv.fr/~duris/NTREZO/20042005/Appert-Bouvet-Chaveron-VLAN.ppt

aabadie

Bonsoir,

Quelques petites remarques, si je peux me permettre, :
le switch 1 (3com 4210) est un "simple switch" et pas un L3, par contre le switch2 (le 4500) lui l'est et c'est donc lui qui pourra prendre en charge le routage si vous choisissez la solution de psylo qui me semble être (dans un 1er temps) la plus simple à mettre en œuvre.

Pour les cartes réseaux, on peux supposer que si pfsense vous permet de créer des VLANs sur cette interface c'est que le driver les supporte … reste à vérifier la compatibilité matérielle sur le handbook.

Je partage aussi l'avis de ccnet concernant l'utilisation simultanée interface physique/Vlans. Je préfère utiliser dans ce cas là 2 vlans de façon à ce que les toutes les trames soient "taguées". C'est aussi ce qui explique que vous ayez perdu l'accès à l'interface de configuration dès que vous avez créé le 2nd Vlan. En effet, les trames envoyées par le port de votre switch ne sont pas taguées, puisque il n'est apparemment pas configuré pour appartenir à plusieurs vlans (ce que psylo appelle un trunk), et pfsense étant incapable de les identifier ne les prend plus en compte.

Je pense donc que la solution de psylo peut être essayée avec :

• switch1 le 4500
• switch2 le 4210
• sur le switch 1, 4 vlans par ports (physiques donc) : data, voix, wifi, pfsense
• pas de vlans sur pfsense,
• 1 liaison simple entre pfsense et le vlan pfsense
• 1 liaison simple entre 1 port du vlan data du switch1 et le switch2

Reste maintenant à configurer le routage sur le switch de niveau 3. Je ne connais pas les 3com, mais je suppose que si vous lui configurez bien une adresse ip sur chaque vlan il suffira d'activer le routage pour faire communiquer les 4 vlans. Si tel est le cas il faudra simplement rajouter une route par défaut sur le switch1 avec l'adresse LAN de pfsense comme passerelle ET 3 routes statiques sur pfsense (vers les réseaux data, voix, wifi) avec comme passerelle, l'adresse ip du switch1 sur le vlan "pfsense".

Y'a déjà un peu de boulot là ... mais, parce qu'à mon avis il y a un "mais", une des "limites" ou une future difficulté de cette solution, sera la difficulté de gérer la QoS de la voix si le trafic devient important. Il faudra alors envisager de confier le routage inter-vlans à pfsense, mais cela dépend des caractéristiques de ton switch L3.

Bon courage,

tit

Bonjour,

Merci psylo pour la doc.

ckré, oui je croyais que le switch 1 (3com 4210) était de niveau 3 (il me semble que c'est ce que m'a dit l'intervent de la société extérieure), mais apparemment ce n'est pas le cas, ce qui explique je suppose tous mes essais infructueux (j'avais changé la carte réseau par une Intel PRO/1000 GT avec la même résultat).

Si possible j'aimerais éviter votre solution, j'aimerais bien qu'au niveau de pfsense je puisse gérer une priorisation de la voix.

Voila ce que j'ai essayé (dites moi si vous pensez que c'est une voie sans issue ou trop incertaine): j'ai désactivé tous les vlans sur pfsense, j'ai enlevé aussi la route statique, j'ai rajouté une carte réseau sur le pc pfsense, j'ai défini une interface  "VOIX" dessus. J'ai relié cette carte réseau au vlan "voix" du switch 2.

Comme première étape, j'ai écrit des règles me permettant d'accéder de LAN à VOIX et réciproquement, et là apparemment ça fonctionne bien: d'un pc relié au vlan voix du switch 2 je peux bien accéder au LAN et réciproquement.

Ma deuxième étape serait d'accéder au site distant, mais je ne sais pas trop comment procéder. je voudrais que les réseaux LAN et VOIX accèdent par ipsec au réseau distant (dans un premier temps tous les deux accéderont au LAN distant, puis VOIX devra accéder au réseau VOIX distant). Comment faire? faut-il rajouter au niveau de pfsense un autre tunnel ipsec (ou y a t-il une autre solution)? c'est ce que j'ai fait: ça semble bien marcher (de lan et voix j'accède bien au réseau distant) quelques secondes, puis les deux tunnels tombent… (quand je n'ai qu'un tunnel reliant les deux lan, ça fonctionne bien). Avez-vous une idée du problème et comment y remédier?

Enfin, j'aurais sans doute des questions sur la priorisation de la voix, mais je suppose qu'il vaut mieux faire ça dans un autre sujet.

Merci  pour votre patience.

aabadie

Pouvez vous détailler "les 2 tunnels tombent".

Les logs et le lien : http://doc.pfsense.org/index.php/IPsec_Troubleshooting fourni par ccnet dans un précédent post devraient vous donner une piste.

tit

Bonjour,

je pensais avoir répondu… mais non.

Merci pour le lien, je pense que mon problème correspond à ce cas:

If you have multiple/parallel IPsec tunnels and you have packet loss to one or more of the tunnels, it may be due to duplicate identifiers. Check your tunnel definitions, and be sure that for each tunnel you have defined between two given routers, there is a unique identifier.

Example:

Tunnel 1: Site A:10.0.0.0/24 <-> Site B:192.168.0.0/24
        Identifier: User FQDN, site-a1.example.com
    Tunnel 2: Site A:10.0.0.0/24 <-> Site B:192.168.10.0/24
        Identifier: User FQDN, site-a2.example.com

Without unique identifiers for each tunnel between two given routers, the ipsec daemon cannot distinguish between the traffic for each tunnel, and will likely drop/lose packets.

Mais je n'ai pas su le résoudre. de l'autre coté de mon tunnel j'ai un ipcop (avec un seul réseau en 192.168.1.0/24), je suppose que lorsque je l'aurais changé par un pfsense et bien configuré (avec mes deux réseaux LAN et VOIX), ce problème sera résolu. je viens à peine de recevoir une nouvelle machine pour ça.

Encore merci