Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Gestion des coeurs de réseau/vlans

    Français
    3
    5
    1.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Soïl
      last edited by

      Bonjour,
      Je suis actuellement en mise en production de ma solution PFSENSE. Seulement, j'ai changé un élément dans ma prod par rapport à ma DEV, c'est que je ne passe plus par un switch sur le LAN avec un simple sous réseau, mais je passe directement via un cœur de réseau sur lequel j'ai placé un Vlan. Le Vlan fonctionne et est bien "trunké" puisque mes éléments de ce réseau vlan arrivent bien a communiquer entre eux (même en étant sur d'autres switchs du réseau) à l'exception de l'interface LAN de mon PFSENSE. Je vais essayer de schématiser mon problème pour essayer d'être plus clair.
      CDR=Coeur De Réseau
                                                  ____________
      PFSENSE -WAN===|VLAN20|===|.20.254-CDR  |==PASSERELLE INTERNET…
                 |                               |                  |
                  |_LAN===|VLAN180|==|.180.254-CDR|===|VLAN180|===Switch7===|VLAN180|===.180.5BorneWiFi....
                                                  --------------
      -Du côté de mon réseau d'administration en .145.0 je ping absolument tout sauf l'interface LAN du PFsense.
      -Mes règles firewall pfsense permettent les requetes ping de n'importe qui (je suis même allé jusqu'à permettre tout pour être sûr.
      -Le LAN PFsense ne ping pas l'interface .180.254 de mon CDR(et inversement), et personne de mon réseau n'arrive à le ping(même le réseau 180.0). Par contre l'interface LAN peut pinger l'interface WAN de mon PFsense...

      Pour préciser, j'ai donné en GW de mon LAN, l'adresse de mon CDR en .180.254 et en GW de mon WAN, l'adresse .20.254 de mon CDR, mais l'un marche et pas l'autre...
      Je ne sais plus quoi faire... Si vous avez une petite idée qui pourrait me mettre sur la piste... (je demande même pas qu'on me résolve le problème, mais au moins que je trouve enfin ce qui bloque )

      D'avance je vous remercie pour votre réponse.

      Bien cordialement.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Quel est l'intérêt de passer par 'un coeur de réseau' le WAN ?
        Avez vous conscience du danger ?

        Non seulement le WAN directement sur le pfSense est sûr, mais ça fait un VLAN de moins !
        (Parce que ce VLAN ne concerne que pfSense et le routeur WAN !)

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Mêmes questions, inquiétudes et remarques que mon camarade de forum !
          Jusqu'à plus ample informé je ne vois pas de raison fonctionnelle pour "traverser" le cœur de réseau avec la liaison wan. Conceptuellement je comprend assez bien l'idée selon laquelle plus le cœur de réseau est éloigné du wan, plus tranquilles seront mes nuits.

          1 Reply Last reply Reply Quote 0
          • S
            Soïl
            last edited by

            La raison est simple, c'est que l'accès au net est une chose, mais l'accès à mes serveurs en est une autre. N'ayant que 2 cartes réseau sur mon appliance hébergeant le PFsense, je me retrouve dans l'obligation de laisser le WAN pour l'accès aux serveurs et le LAN ,ayant pour fonction DHCP et fournissant un réseau à part entière de WiFi, se retrouve condamné à se trouver loin de mes serveurs pour ne pas mettre la grouille dans les IP attrapées par mes utilisateurs lorsqu'ils demandent une ip en cablé.
            Après, je ne suis pas là à dire que je maitrise ce genre d’implantation, donc si vous avez un schéma type à me conseiller plutôt que je mette en place mon réseau de la sorte, je suis disponible pour faire du mp et écouter vos commentaires qui, à mon avis, seront réfléchis et expérimentés.

            Ce qu'il faut retenir de façon générale de cette implantation, c'est que des prestataires doivent venir dans mes locaux pour accéder en wifi au net et pouvoir travailler sur mes serveurs… c'est pourquoi je pensais bien faire en procédant de la sorte.
            Si rajouter une autre interface et configurer d'une façon plus poussée est la solution je suis à votre écoute sur la façon de procéder, je suis tout ouïe.
            Je remarque que ma question n'était pas bien explicite dans mon post... en fait je voudrais savoir si le fait que le LAN du PFsense soit "un réseau ouvert sur les autres vlans de mon réseau" était un cas qui ne marche pas, et qu'il est plutôt fait pour rester de type DMZ?

            Je reste également disponible pour du mp histoire de parler de mon projet plus en profondeur.

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Le problème change de niveau.

              Une anecdote. Dans une entreprise où il y avait un fort passage, un bureau se trouvait à proximité de la porte d'entrée. on occupant se plaignit au chef d'entreprise de la gène que lui causait la porte qui claque ou qui reste ouverte, etc … Le patron sans tarder fit venir un serrurier pour poser un groom. Celui ci, mal réglé, laissait la porte ouverte et c'était maintenant les courants d'air qui importunait le malheureux salarié. La patron, bricoleur, modifia lui même le réglage. Mais il n'était pas serrurier. La porte se fermait mais était difficile à ouvrir de l'intérieur, comme de l'extérieur. Au lieu de faire venir la serrurier la patron imprima sur deux feuilles : "Pousser fort" et "Tirer fort". Il colla la première à l'extérieur et la seconde à l'intérieur.
              Voilà en gros la situation dans laquelle vous êtes aujourd'hui.

              Après ce constat dont je vous laisse tirer les leçons, il faudrait voir quels sont vos besoins de sécurité. cela relève d'une analyse de la sensibilité de vos données et systèmes, puis d'une réflexion sur les risques (analyse de risque). Pour réaliser cela a minima vous n'avez pas besoin d'une armée de consultants à 1500€/jour. Vous avez juste à vous poser quelques questions tranquillement, de préférence pas seul. selon la taille de votre organisation cette démarche que j'indique ici  en creux sera plus ou moins formalisée. Je fréquente les deux extrêmes, depuis la PME de 10 personnes jusqu'à l'entreprise à 60M€ de CA. Le formalisme n'est pas le même mais sur la finalité c'est très proche.

              Néanmoins on peut déjà procéder à quelques anticipations techniques d'après votre message précédent.

              des prestataires doivent venir dans mes locaux pour accéder en wifi au net et pouvoir travailler sur mes serveurs…

              C'est déjà prendre beaucoup de risques et mettre la barre très bas en matière de sécurité.

              Si rajouter une autre interface et configurer d'une façon plus poussée est la solution je suis à votre écoute sur la façon de procéder, je suis tout ouïe.

              C'est clairement un des éléments la solution qu'il va falloir envisager. De même la cohabitation wifi - filaire est un sérieux problème sans contres mesures spécifiques. Je met la charrue avant les bœufs. On peut dire sans prendre de risque, et pour rester à un niveau général, que le cloisonnement des flux est une composante indispensable de la sécurité réseau. Ensuite le comment est une autre histoire. La réponse viendra des analyses évoquées plus haut.

              Voilà selon moi la démarche générale qui convient. Une fois les besoins et les problèmes bien posés, il sera possible d'envisager les modalités techniques d'une solution.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.