VLAN Pfsense



  • bonjour,

    j'ai un switch cisco 2950 avec un vlan (id:118).
    Mon pfsense possede une interface "WAN" dans le reseau 10.30.66.0/23 qui est sur le vlan par defaut du switch
    et une interface "LAN" dans le reseau 172.18.18.0/24 qui est sur le vlan 118 du switch.

    Lorsque je place une autre machine sur le Vlan 118 dans le reseau 172.18.18.0/24, impossible de pingué la
    machine du pfsense et inversement. Les règles du firewall ont été désactivées. J'ai décoché les deux champs "block" sur l'interface "WAN"
    Deux machines sur le switch dans le même VLAN (118) se ping parfaitement.

    pfsense
    WAN: bge0_vlan118: 172.18.18.35 /24
    LAN: re0: 10.30.66.46 /23

    Sur le vlan par défaut, toutes les machines peuvent communiquer entre elles, y compris l'interface LAN du pfsense.

    Merci d'avance pour votre aide.



  • une interface "LAN" dans le reseau 172.18.18.0/24 qui est sur le vlan 118 du switch

    Comment est configuré cette interface sur Pfsense ?

    Lorsque je place une autre machine sur le Vlan 118 dans le reseau 172.18.18.0/24, impossible de pingué la machine du pfsense et inversement.

    Je ne comprend pas ce que cela veut dire.

    J'ai décoché les deux champs "block" sur l'interface "WAN"

    C'est à dire ?

    Globalement ce n'est pas très clair. Tout ce que je crois pouvoir dire est que l'interface lan de Pfsense est dans le vlan par défaut et qu'il est normal qu'elle n'accède pas au vlan 118.



  • Il y a eu confusion sur le premier message, les interfaces du pfsense sont bien configurées de cette façon:
    WAN: bge0_vlan118: 172.18.18.35 /24
    LAN: re0: 10.30.66.46 /23

    Les réseaux WAN et LAN (qui sont en réalité deux réseaux locaux) ne doivent pas communiquer ensemble.

    L'interface WAN qui est taggué avec le VLAN118 doit pouvoir communiquer avec les machines sur le switch qui seront dans le même vlan. Ce qui n'est pas le cas actuellement.
    Par contre, deux machines sur le switch cisco, dans le même VLAN (118) peuvent parfaitement se pinger. Ca fonctionne.
    Si je fais un "arp -a" sur le pfsense, je ne vois pas mes machines du VLAN 118 (172.18.18.0/24) mais bien celles du réseau 10.30.66.0/23.

    Concernant l'interface LAN, ici aucun problème, mes machines dans le même réseau peuvent communiquer avec l'interface du pfsense.

    Concernant les règles de firewall, j'ai tout désactivé. Je ne souhaite pas utiliser le pfsense comme firewall.

    J'espère que ces informations vous éclaireront un peu plus.



  • WAN: bge0_vlan118: 172.18.18.35 /24
    LAN: re0: 10.30.66.46 /23

    Compte tenu des réseaux en présence, on peut s'interroger sur ce découpage des sous réseaux.

    Les réseaux WAN et LAN (qui sont en réalité deux réseaux locaux) ne doivent pas communiquer ensemble.

    De plus en plus obscure. Pourquoi les connecter alors sur un équipement qui est fait pour cela ?
    Par ailleurs il y a des règles par defaut entre lan et wan. Tout ce qui sort de lan est translaté avec l'ip wan par exemple. Sans parler du routage implicitement intégré à Pfsense.

    Si je fais un "arp -a" sur le pfsense, je ne vois pas mes machines du VLAN 118 (172.18.18.0/24) mais bien celles du réseau 10.30.66.0/23.

    Le résultat de cette commande dépend ce que a été fait dans les minutes qui précèdent.

    Je ne souhaite pas utiliser le pfsense comme firewall.

    Planter des clous avec un tournevis est assez peu efficace. C'est exactement l'impression que vous donnez. Qu'essayez vous de faire avec Pfsense ?
    Accessoirement, comment avez vous configuré le vlan sur l'interface wan ?



  • Qu'essayez vous de faire avec Pfsense ?

    Je souhaite utiliser le pfsense en tant que portail captif et serveur DHCP.

    La patte "WAN" (Réseau 172.18.18.0/24) pour un SSID "GUEST" sur une AP Cisco AP541N. Avec VAP (vlan wifi) ID 118. Sur lequel le pfsense distribuera le DHCP via l'interface "WAN" du pfsense.

    La patte LAN (Réseau 10.30.66.0/23) pour un SSID "Interne" sur la même AP. Avec un VAP ayant pour ID défaut (1). Le DHCP du pfsense ne distribuera pas d'adresse ici. L'interet de rester dans le VLAN 1 est de pouvoir recevoir des IPs du serveur DHCP déjà en place dans ce réseau.

    Accessoirement, comment avez vous configuré le vlan sur l'interface wan ?

    J'ai configuré le vlan 118 sur l'interface "WAN" via la console pfsense. Il demande l'interface parent, j'ai renseigné bge0. Et j'ai donné comme ID le vlan 118. Ce qui créé une interface bge0_vlan118.

    Les réseaux "WAN" et LAN ne doivent pas communiquer ensemble car les personnes connectés au SSID "GUEST" ne doivent pas avoir accès au réseau local où les serveurs s'y trouvent et différentes ressources.

    Dans mon cas, le réseau "WAN" du pfsense est considéré comme un réseau local.
    Cependant, j'ai déjà essayé de configurer les interfaces de cette façon:

    WAN: bge0: None (désactivation de l'interface via la WEB GUI)
    LAN: re0: 10.30.66.46/23
    OPT1: bge0_vlan118: 172.18.18.35/24

    Mais le soucis restait le même.

    Le résultat de cette commande dépend ce que a été fait dans les minutes qui précèdent.

    Pour ma requête arp -a, j'effectuais un ping en même temps.

    En espérant avoir été plus clair,



  • Concernant la configuration du VLAN, je suppose que la porte du 2950 connectée à l'interface WAN est configurée en mode access dans le VLAN 118? Si c'est le cas, la configuration n'est pas correcte…

    Si vous configurez le VLAN sur le pfSense, il faut configurer la porte du switch en mode trunk et ne permettre que les VLANs nécessaires.

    interface XX
    switchport trunk encapsulation dot1q
    switchport mode trunk
    ! Autoriser les VLANs YY & ZZ
    switchport trunk allowed vlan YY,ZZ
    

    Si vous ne configurez pas le VLAN sur le pfSense, il faut configurer la porte du switch en mode access dans le VLAN voulu.

    interface XX
    switchport mode access
    switchport access vlan YY
    

    Oui, je sais: Cisco ne fait pas comme tout le monde ;)

    Concernant le design, utilisez un firewall pour ne pas faire firewall, moui… Pourquoi pas... Pourquoi ne pas "connecter" le VLAN Guest sur le firewall principal du réseau? Quitte à le remplacer par un pfSense...



  • En effet, j'ai supprimé le vlan sur le Pfsense et tout fonctionne bien. Merci pour cette solution.

    Mais malgré tout, j'aimerais savoir pourquoi ? Dans ma logique, si la trame n'est pas taggué par le VLAN respectif elle ne peut pas communiquer avec le reste. Alors pourquoi faut il enlever le tagguage sur l'interface WAN du pfsense ?
    Peut être ai je trop la logique Cisco …

    En fait, j'ai 3 AP Cisco qui fonctionne en roaming sur deux VAP différents donc deux réseaux différents. Les deux réseaux communiquent bien avec mon firewall principal qui est un Checkpoint pour ensuite aller sur Internet. Je ne peux donc pas connecter mes differentes bornes directement sur ce firewall. Et voilà aussi pourquoi je n'utilise pas Pfsense en tant que firewall car j'en ai déjà un qui est le "coeur de réseau" et qui route entre les différents réseaux.

    Merci encore pour votre aide.



  • @pierreINT92:

    En effet, j'ai supprimé le vlan sur le Pfsense et tout fonctionne bien. Merci pour cette solution.

    Mais malgré tout, j'aimerais savoir pourquoi ? Dans ma logique, si la trame n'est pas taggué par le VLAN respectif elle ne peut pas communiquer avec le reste. Alors pourquoi faut il enlever le tagguage sur l'interface WAN du pfsense ?
    Peut être ai je trop la logique Cisco …

    Justement non, vous n'avez pas la logique Cisco mais la logique des autres constructeurs… Cette dernière étant la "plus logique" je dirais... ;)

    En fait, chez Cisco: .

    • un port en mode access est un port sur lequel le switch va taggé les paquets non-taggés dans le VLAN défini. Par contre, si un paquet taggé arrive sur ce port, le switch va le "dropper"

    • un port en mode trunk va lui accepter tous les paquets (taggés et non-taggés). Le switch ne changera pas le tag d'un paquet taggé mais si un paquet non taggé arrive, le switch le taggera dans le native vlan (vlan 1 par défaut - configurable avec la commande switch trunk native vlan X)

    Donc, en configurant le VLAN sur votre pfSense et le port du switch en mode access, ça ne pouvait pas fonctionner.

    @pierreINT92:

    En fait, j'ai 3 AP Cisco qui fonctionne en roaming sur deux VAP différents donc deux réseaux différents. Les deux réseaux communiquent bien avec mon firewall principal qui est un Checkpoint pour ensuite aller sur Internet. Je ne peux donc pas connecter mes differentes bornes directement sur ce firewall. Et voilà aussi pourquoi je n'utilise pas Pfsense en tant que firewall car j'en ai déjà un qui est le "coeur de réseau" et qui route entre les différents réseaux.

    Pas tout bien compris les raisons mais bon…


Locked