Vlans - netgear GS748T



  • Bonjour à tous,

    Je suis nouveau sur votre forum et je débute sur pfSense.

    Ma configuration, somme toute classique, est la suivante :

    • switch Netgear GS748Tv4 (niveau 2)
    • serveur Proliant ML110 G7
          - 2 RJ45 Intel sur carte mère (WAN)
          - 1 carte TP-Link (LAN)
    • 1 livebox Pro v2 sur Orange

    (Voir Schema General)

    Configuration du serveur pfSense:
    –------------------------------
    adresse IP : 192.168.100.254
    em0 -> WAN -> 192.168.1.1
    re0 -> LAN -> 192.168.100.254
    re0_vlan101 -> VLAN_101 -> 192.168.101.1
    re0_vlan102 -> VLAN_102 -> 192.168.102.1

    (voir captures)

    Configuration du switch:

    Adresse IP : 192.168.100.1
    Vlan 101:
      - Untag: 01
      - Tag: 48
    Vlan 102:
      - Untag: 02 03 04 05 06 07
      - Tag: 48
    Vlan 1:
      - Untag: 08 09 10 11 12 13 14 15 16 17 18 19 .../... 47 48
      - Tag: aucun

    (voir captures)

    Connections:
    port 01 : PC pour tests du vlan 101
    port 47 : PC pour l'administration du système.
    port 48 : serveur pfSense

    J'ai passé beaucoup de temps à essayer de configurer les vlans du switch.
    Avec les parametres actuels :
      - tous les PC connectés obtiennent une adresse IP par DHCP
      - les PC connectés à un port appartenant au VLAN 1 peuvent utiliser internet
      - les PC des VLAN 101 et 102 ne peuvent pas se connecter à internet.

    En résumé, les PC appartenant aux VLAN 101 et 102 ne peuvent pas accéder à Internet.

    J'espère qu'une ame sensible m'aidera à résoudre ce problème.

    d'avance merci

    ![Schema General.gif](/public/imported_attachments/1/Schema General.gif)
    ![Schema General.gif_thumb](/public/imported_attachments/1/Schema General.gif_thumb)
    ![GS748T - IP Configuration.gif](/public/imported_attachments/1/GS748T - IP Configuration.gif)
    ![GS748T - IP Configuration.gif_thumb](/public/imported_attachments/1/GS748T - IP Configuration.gif_thumb)
    ![GS748T - VLAN configuration.gif](/public/imported_attachments/1/GS748T - VLAN configuration.gif)
    ![GS748T - VLAN configuration.gif_thumb](/public/imported_attachments/1/GS748T - VLAN configuration.gif_thumb)
    ![GS748T - VLAN membership - 1.gif](/public/imported_attachments/1/GS748T - VLAN membership - 1.gif)
    ![GS748T - VLAN membership - 1.gif_thumb](/public/imported_attachments/1/GS748T - VLAN membership - 1.gif_thumb)
    ![GS748T - VLAN membership - 101.gif](/public/imported_attachments/1/GS748T - VLAN membership - 101.gif)
    ![GS748T - VLAN membership - 101.gif_thumb](/public/imported_attachments/1/GS748T - VLAN membership - 101.gif_thumb)
    ![GS748T - VLAN membership - 102.gif](/public/imported_attachments/1/GS748T - VLAN membership - 102.gif)
    ![GS748T - VLAN membership - 102.gif_thumb](/public/imported_attachments/1/GS748T - VLAN membership - 102.gif_thumb)
    ![GS748T - Port PVID Configuration.gif](/public/imported_attachments/1/GS748T - Port PVID Configuration.gif)
    ![GS748T - Port PVID Configuration.gif_thumb](/public/imported_attachments/1/GS748T - Port PVID Configuration.gif_thumb)
    ![pfSense - Interfaces LAN.gif](/public/imported_attachments/1/pfSense - Interfaces LAN.gif)
    ![pfSense - Interfaces LAN.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces LAN.gif_thumb)
    ![pfSense - Interfaces Assign network ports.gif](/public/imported_attachments/1/pfSense - Interfaces Assign network ports.gif)
    ![pfSense - Interfaces Assign network ports.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces Assign network ports.gif_thumb)
    ![pfSense - Interfaces LAN.gif](/public/imported_attachments/1/pfSense - Interfaces LAN.gif)
    ![pfSense - Interfaces LAN.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces LAN.gif_thumb)
    ![pfSense - Interfaces VLAN_101.gif](/public/imported_attachments/1/pfSense - Interfaces VLAN_101.gif)
    ![pfSense - Interfaces VLAN_101.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces VLAN_101.gif_thumb)
    ![pfSense - Interfaces VLAN_102.gif](/public/imported_attachments/1/pfSense - Interfaces VLAN_102.gif)
    ![pfSense - Interfaces VLAN_102.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces VLAN_102.gif_thumb)
    ![pfSense - Interfaces WAN.gif](/public/imported_attachments/1/pfSense - Interfaces WAN.gif)
    ![pfSense - Interfaces WAN.gif_thumb](/public/imported_attachments/1/pfSense - Interfaces WAN.gif_thumb)
    ![pfSense - Status Dashboard.gif](/public/imported_attachments/1/pfSense - Status Dashboard.gif)
    ![pfSense - Status Dashboard.gif_thumb](/public/imported_attachments/1/pfSense - Status Dashboard.gif_thumb)
    ![pfSense - Status DHCP leases.gif](/public/imported_attachments/1/pfSense - Status DHCP leases.gif)
    ![pfSense - Status DHCP leases.gif_thumb](/public/imported_attachments/1/pfSense - Status DHCP leases.gif_thumb)



  • Une demande largement documentée qui nous change agréablement des posts du style : ça marche pas.

    Quelques éléments qui pourraient vois aider.
    Chaque fois que j'ai utilisé des Vlans sur Pfsense, je l'ai fait en désactivant l'interface qui porte les Vlans. Dans votre cas il s'agirait de désactiver re0. Si l'interface physique reste active mes vlan ne fonctionnaient pas correctement.
    Autre point à propos de la connexion du switch. En utilisant des Cisco, j'ai toujours créé un port "trunk" qui achemine les vlans choisi vers Pfsense. dans votre cas un port trunk (terminologie Cisco) acceptant les vlans 101 et 102 (et d'autres si besoin) physiquement connecté à la carte re0. Je ne sais pas comment cela est transposable sur un Netgear.



  • Bonjour,
    Merci de me répondre.
    La désactivation de l'interface LAN m'a empéché d'accéder, que ce soit à partir d'un vlan ou pas au système. J'ai donc restauré les paramètres par défaut du pfSense. De toute manière je comptais le faire. Je me retrouve dans la même situation: mon PC peut se connecter à partir du moment qu'il ne fait pas partie d'un vlan.
    Concernant le trunk, je n'ai rien vu de semblable sur le paramétrage du switch netgear. Mon pfSense est connecté sur le port 48 du switch dans le vlan 1 (vlan de management). Tout les postes connectés dans ce vlan fonctionnent correctement.



  • Si les vlans 101 et 102 ne sont pas transportés jusqu'au firewall il ne peut y avoir aucune communication. Idem pour le vlan 1 qui doit être transporté jusqu'à Pfsense. Dans ce type de config mon port lan ne porte pas de vlan. C'est une interface opt, une troisiéme, qui les porte. Je ne mélange pas le trafic d'administration avec celui des vlans.

    http://www.netgear-forum.com/forum/index.php?showtopic=58019



  • J'ai parcouru le lien que tu m'as fourni mais il me semble qu'il s'agit d'une liaison de 2 switchs Netgear. J'ai du mal à comprendre la notion de 'transporté'.
    Ce qui me semble bizarre c'est que mes vlans sont biens visibles du coté de pfSense et que ce dernier génère une adresse IP aux PC connectés aux ports de ces vlans ( 101 et 102).
    Pour ce qui est de la gestion des vlans sur pfSense, je pense qu'ils utilisent la passerelle affectée au lan auquel ils sont rattachés.
    J'ai lu plusieurs documents, par exemple http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&ved=0CCIQFjAA&url=http%3A%2F%2Fwww.tdeig.ch%2Fkvm%2FGolliet_RTB.pdf&ei=v18-ULK6IY6zhAfe_YCYBQ&usg=AFQjCNGunjUuflXp4z7Z2swt6455-Llobg ainsi que pfSense: The Definitive Guide dans lequel est décrit la configuration d'un switch Netgear.



  • Il fait bien du Vlan Trunking sur le switch Netgear. Sinon j'ai les plus extrêmes réserves sur ce montage ou deux firewalls sont virtualisés sur une même machine physique. C'est une démonstration d'étudiant impraticable en production (sérieuse).



  • A partir des machines se situant dans les VLAN's 101 & 102, pouvez-vous pinger le firewall?

    Sinon, je rejoins ccnet quand à la configuration des VLAN's sur un pfSense: l'interface physique portant les VLAN's n'est pas utilisée et je crée tous les VLAN's que j'assigne sur cette interface.

    Hope this helps…



  • Salut,

    Pour ma part j'ai des dizaines de configurations avec des VLAN taggés sur une interface active, mon record pour le moment est de 34 VLAN sur une carte Intel.

    Il faut savoir qu'en fonction du driver utilisé (bce,bge,em,igb etc.) il est souvent nécessaire de rebooter pfsense avant que des trames taggées ne puissent entrer/sortir de la carte. On peut rapidement se faire avoir et croire que ce n'est pas fonctionnel.

    Après le lecture et vérification des captures d'ecrans, ce setup semble correct.
    Ne vous manquerait-il pas une règle de NAT outbound pour vos réseaux 101 et 102 car si ils obtiennent une IP via DHcP il y a continuité de niveau 2 et les VLAN ne sont pas le problème.


Locked