Cross LAN ?



  • Bonjour à tous !

    Je viens chercher de l'aide car malheureusement après plusieurs jours voir semaines d'essais en tout genre (j'y suis depuis le 28/02/2013, a presque temps plein !!!!), je patauge et je n’entraperçois toujours pas de début de solution a toutes mes interrogations !

    Je vous explique mon problème. Je cherche a paramétrer plusieurs petites choses que voici :

    1. Accéder de mon premier réseau 192.168.119.x a mon second réseau 192.168.111.x et inversement
    2. Accéder a l'interface de ma Box 1 depuis mes 2 réseaux en 192.168.119.x et 192.168.111.x
    3. Limiter l’accès aux caméras (en 192.168.119.x) qui se trouvent sur mon réseau a seulement quelques ordinateurs/périphériques.

    Je vous décris ma configuration que j'agrémente d'un petit schéma qui vaut ce qui vaut mais qui vous aidera surement a mieux comprendre ma typologie réseau.

    Routeur PfSense avec 3 Box ADSL et 1 LAN Physique + 1 VLAN.

    • Interface LAN 1 en static IPv4 en 192.168.111.1
    • Interface VLAN1 en static IPv4 en 192.168.119.1

    Coté Modem Internet :

    • 1 Box en mode routeur sur la pâte WAN 1 de PfSense, avec une IP Local de type 192.168.10.x
    • 2 Box en mode Bridge sur les pâtes WAN 2 et WAN 3 de PfSense, avec une IP Publique directe.

    Coté Switch :

    • Switchs administrables L2 cascadés qui transportes le VLAN1 et le LAN et intègre chaque caméra de mon réseau dans le VLAN1.

    Voici le schéma :

    ** 1) Je souhaite pouvoir accéder a mon réseau 192.168.119.x depuis mon réseau en 192.168.111.x, et cela dans les deux sens (LAN 1 vers VLAN1 et VLAN1 vers LAN1).
    J'ai bien essayé le système de route static, j'ai bien sur créé des règles transversales sur les deux interfaces en "Pass All", mais cela ne marche pas, la technique du bridge ne fonctionne pas non plus …

    ** 2) Donc j'aimerais savoir comment faire pour accéder au portail de ma Box 1 en 192.168.10.15 depuis mes deux réseaux (LAN 1 et VLAN1) en 192.168.111.x et 192.168.119.x ?
    Dans l'état actuel je n'arrive pas a accéder a ce portail en utilisant l'IP de la Box (gateway) a savoir 192.168.10.15, j'ai essayé de définir une route fixe en activant le AON, (Rules : Box1  192.168.10.0/24 * * * Box1 address * NO), j'ai aussi essayé la redirection via DNS Name en ajoutant un host vers l'IP de la gateway, mais dans tous ces cas, ça ne marche pas, et j'avoue que j'ai lu tellement de thread sur le sujet que je commence a m’emmêler les pinceaux :s

    ** 3) Je souhaite restreindre l’accès aux caméras se trouvant dans le VLAN1, qui ont des IPs en 192.168.119.x, a seulement quelques machines, j'ai donc créé des "Aliases", un pour les périphériques ayant droit d’accès aux caméras et un autre "Aliases" pour les IPs de toutes les caméras, j'ai supposé tout bêtement qu'en créant une règle dans le firewall cela suffirait, mais j'ai de gros doutes, mais n'ayant pas pour le moment résolu la question 1, a savoir le Cross LAN, je ne peux pas tester.

    Voila, si quelqu'un avait la bonté de bien vouloir me filer un coup de pouce ce serait super, je lui en serait éternellement reconnaissant !

    Merci par avance d'avoir pris le temps de me lire, et encore plus de prendre le temps de me répondre !

    Amicalement,
    Alex.



  • (problème bien exposé : bravo !)

    Il y a 2 interfaces LAN1 et VLAN1 avec des règles d'autorisation de flux entre elles.
    Mais il n'y a qu'une interface physique ! Et par conséquent, un câble vers un seul switch.
    => les 2 switchs doivent être reliés entre eux !
    => les 2 switchs doivent être dument configurés pour transporter des paquets taggés (par le vlan)

    Un test avec un PC correctement configuré, cad dans le vlan doit pouvoir bien pinger l'interface VLAN1 en étant branché sur l'un ou l'autre des switchs.

    Je ne peux donner plus puisque chaque switch a sa façon de configurer le passage de vlan …



  • Un seule interface physique pour deux réseaux donc pas d'autres solution comme indiqué par JDH que de coupler les deux switchs por acheminer le vlan natif et le vlan x. Plus en détails, quelques remarques de mise en œuvre avec Pfsense.

    1. D'expérience j'ai toujours été obligé de configurer Pfsense pour porter des vlans en désactivant l'interface physique qui porte les vlans, puis en créant les vlan sur cette interface. je n'ai jamais réussis à faire fonctionner Pfsense avec une interface portant un réseau non taggé et un vlan. En tout cas en V 1.2.3. Et de mémoire Chris Buechler indique cette méthode dans un post du forum US. Il est souvent nécessaire de redémarrer Pfsense pour valider ce type de configuration.

    2. En suivant cette méthode vous n'avez pas forcément besoin de deux switchs selon le nombre de ports nécessaires.

    3. Le ou les switchs devront utiliser un port "Trunck" pour transporter les deux vlans jusqu'à Pfsense. Come vous n'avez qu'une carte physique disponible sur Pfsense vous êtes obligé d'utiliser des Vlans taggés. Dans la cas contraire vous pourriez juste les définir sur les switchs sans le faire sur Pfsense. Mais cela nécessite deux interfaces physiques disponibles. Il faut aussi que vos switchs sachent le faire. C'est le cas chez HP, Cisco.

    4. Ne pas utiliser le Vlan 1, c'est vrai pour les switchs Cisco mais préférable pour les autres.

    5. Selon besoin de sécurité un troisième Vlan peut être nécessaire pour le trafic d'administration des switchs. Il pourrait en être de même pour Pfsense.

    Une fois que tout cela est en place, on revient d'un point de vue filtrage sur des choses parfaitement conventionnelles. Pas de routage à ajouter dans Pfsense si tout est correct.



  • Bonjour jdh,

    Merci beaucoup votre réponse JDH !

    Alors je suis un énorme boulet, mais je n'ai pas fais le schéma comme il le faut, veuillez m'en excuser, voici le schéma réel :

    Les Switchs sont bien évidement cascadés tous entre eux, les VLANS sont bien configurés sur chaque Switch et TOUS les Switch sont dans le même réseau physique qui appartient au LAN1 en 192.168.111.x, seul les caméras se trouvent physiquement connectés un peu partout sur tous les Switchs mais sont uniquement dans le VLAN1 en VID50!

    Du coup ça change complètement la donne et je m'en excuse, faire ce genre de schéma assez tard le soir ça n'aide pas :s

    Merci pour les idées que vous pourriez avoir !

    Amicalement,
    Alex



  • Bonjour Ccnet,

    Je vous prie de bien vouloir m'excuser, je n'avais pas vue votre réponse, j'ai fais ma réponse en deux fois et entre temps vous avez du répondre … Toutes mes excuses !

    Donc, comme je le dis dans ma première réponse, j'ai fais une énorme erreur dans le schéma que j'ai mis a jour, j'espère que ce sera plus clair !

    Quoi qu'il en soit, je vais répondre a vos conseils :

    1. D'expérience j'ai toujours été obligé de configurer Pfsense pour porter des vlans en désactivant l'interface physique qui porte les vlans, puis en créant les vlan sur cette interface. je n'ai jamais réussis à faire fonctionner Pfsense avec une interface portant un réseau non taggé et un vlan. En tout cas en V 1.2.3. Et de mémoire Chris Buechler indique cette méthode dans un post du forum US. Il est souvent nécessaire de redémarrer Pfsense pour valider ce type de configuration.

    1. Sur le port LAN de PfSense j'ai bien un VLAN qui arrive (configuré en amont sur des Switch DLink DGS-1100-XX) et qui fonctionne avec sa propre plage DHCP (192.168.119.x), il est vrai que j'avais lu quelque part qu'il fallait rebooter PfSense pour faire fonctionner cette mise en place, c'est donc ce que j'avais fais (je n'ai en revanche pas désactivé l'interface, de toute facon je devrais le faire en serial si s'était le cas, …) et tout est fonctionnel de ce point de vue la.

    Ce qui ne marche pas en revanche c'est le "Cross LAN", en effet je ne peux pas accéder sur mon réseau en 192.168.199.x (VLAN VID50) depuis mon réseau en 192.168.111.x (LAN Principal), pour ce faire j'utilise une machine ayant plusieurs cartes réseaux, une en DHCP (Lease static) sur le LAN1 et une en DHCP (Lease static) sur le VLAN1 (VID50). Depuis cette machine, j'ai forcément accès aux des réseaux, mas si je désactive l'une des deux interfaces je perds l’accès au réseaux qui lui est relié !

    2. En suivant cette méthode vous n'avez pas forcément besoin de deux switchs selon le nombre de ports nécessaires.

    1. Malheureusement je n'ai des Switchs que de 16 et 24 Ports, répartis un peu partout dans ma maison, et mon nombre de périphérique étant largement supérieur a cela je suis forcé d'avoir 8 Switchs au total, certains en 16 ports d'autre en 24 ports.

    3. Le ou les switchs devront utiliser un port "Trunck" pour transporter les deux vlans jusqu'à Pfsense. Come vous n'avez qu'une carte physique disponible sur Pfsense vous êtes obligé d'utiliser des Vlans taggés. Dans la cas contraire vous pourriez juste les définir sur les switchs sans le faire sur Pfsense. Mais cela nécessite deux interfaces physiques disponibles. Il faut aussi que vos switchs sachent le faire. C'est le cas chez HP, Cisco.

    1. Je ne comprends pas vraiment l'utilité du Trunck sur le Switch pour transporter le VLAN, auriez-vous la gentillesse de m'expliquer cela plus en détails sur l'utilité de cette mise en place s'il vous plait ? Merci par avance !

    4. Ne pas utiliser le Vlan 1, c'est vrai pour les switchs Cisco mais préférable pour les autres.

    1. Sur ma gamme de Switch, le VLAN1 est le VLAN natif, je ne peux donc pas utiliser ce VID, je suis obligé au mieux d'utiliser un VLAN avec un VID a 2, et dans mon cas, j'ai choisis un VID a 50 !

    5. Selon besoin de sécurité un troisième Vlan peut être nécessaire pour le trafic d'administration des switchs. Il pourrait en être de même pour Pfsense.

    1. C'est mon objectif, toute fois avant de me couper une patte en me supprimant l’accès aux interfaces d'administration des switchs, et comme ils n'ont pas de gestion via SSH, je préfère être sur de la démarche a suivre pour faire fonctionner ma typologie réseau actuelle :)

    Un grand merci pour votre réponse, j'espère que vous aurez la gentillesse, tout comme JDH, de me donner vos précieux conseils sur mon schéma mis a jour !

    Merci par avance.

    Amicalement,
    Alex.



  • Bonjour, enfin Re !

    J'ai trouvé par le plus grand des hasards cette page qui traite de comment accéder a un portail de Modem connecté en WAN via une IP de classe C, cependant quand je suis la procédure lié a la version 2.0 ça ne marche pas plus :s

    Donc je suis toujours ouvert a toute suggestion concernant les problèmes énoncés ci-dessus !

    Merci par avance.

    Amicalement,
    Alex.



  • Bonjour,

    Quelqu'un aurait-il la bonté de m'aider s'il vous plait ? Je suis sur que pour les pros qui circulent sur ce forum, mes questions ne sont que banalités !

    Merci par avance.

    Amicalement,
    Alex.



  • J'ai un seul site sur lequel j'ai essayé les VLAN avec pfSense mais ce n'était pas en réalité utile !

    Ce que je sais :

    • ne pas utiliser le VLAN 1 parce que c'est un VLAN "par défaut"
    • les switchs ont leur rôle : il ne doivent pas supprimer le tag VLAN mais au contraire le laisser !
    • chaque switch a sa propre façon de voir et de gérer.
    • tant qu'un ping à partir d'un PC configuré manuellement n'arrive pas, ce n'est pas la peine d'aller plus loin …


  • Bonjour jdh,

    merci beaucoup pour votre réponse.

    Tout ces points je les connais et les ai appliqués.
    Dans l'état actuel des choses, j'arrive parfaitement a avoir des leases attribué par Pfsense, j'arrive a communiquer depuis chaque LAN avec un PC y étant relié et ayant une IP dans le bon subnet a communiquer aussi bien avec le routeur, les autres machines de ce meme LAN et a acceder à Internet.

    Ce que je cherche a savoir c'est comment, par exemple, pinger depuis un PC relié au LAN 1, un PC relié au VLAN 1. Je souhaite savoir si le "Cross LAN" que je suppose devoir faire, doit se faire via une "Firewall Rules", une "NAT Rules", un "Bridge", ou tout autre manipulation.

    Schéma simple :

    LAN 1                                                                     VLAN 1
    PC 1 –------------------>        Routeur PfSense             ---------------------> PC 2
    IP : 192.168.111.46     --        IP : 192.168.111.1             IP 192.168.119.85

    Donc en gros comment permettre aux machines dans le LAN 1 sur le subnet 192.168.111.x de pinger et surtout communiquer avec les machines qui sont dans le VLAN 1 et qui ont une IP en 192.168.119.x.

    Voila, je pense que j'avais mal exposé mon objectif, je pense que maintenant ce sera plus clair.

    Merci par avance de votre aide.

    Amicalement,
    Alex.



  • Le schéma n'est pas bon ! (tous les masques sont à /24)

    PC1 : 192.168.111.46 <– LAN --> 192.168.111.1 (interf LAN) pfSense (interface VLANxx) 192.168.119.1 <-- VLANxx --> 192.168.119.85 : PC2

    Le n° de VLAN ne doit pas être 1, et je suggère que le nom de l'interface indique le VLAN, p.e. VLAN50 pour vlan n° 50.
    Je ferais un test de ping de PC1 vers pfSense (interface LAN), de même que PC2 vers pfSense (interface VLAN50).
    Il faut bien sur des règles (Firewall > Rules et non NAT !) pour que les ping entre PC1 et PC2 fonctionne bien.
    Bien se rappeler que les règles pfSense sont organisées par interface d'arrivée (ici LAN et VLAN50).
    Il y a donc forcément besoin de 2 règles (pour le ping/icmp et son retour) !

    Edit: On est bien dans une situation de routage entre 2 réseaux distincts.
    Donc ce sont des règles (Firewall Rules) qui sont nécessaires.
    Un problème possible est que le paquet sortant par l'interface VLAN ne comporte pas le tag VLAN du bon numéro ...
    Il serait judicieux de regarder cela via un analyser de trame ...



  • Bonsoir jdh,

    merci beaucoup pour votre réponse!

    Ok, je comprends mieux pourquoi tous le monde insiste sur le VLAN1.Je l'appelle VLAN1 parceque dans les faits ce VLAN est le premier de 8 actifs surmes switchs, mais j'ai bien précisé au tout début que le VLAN que j'appelle 1 porte le VID 50 donc en gros il est le VLAN50, je suis désolé d'avoir induis une erreur de compréhension !

    Alors pour la partie "communication" :
    Le PC1 communique sans problème de LAN vers PfSense, de LAN vers LAN (autre périphérique sur ce meme réseau), de LAN vers Internet.
    Le PC2 communique sans problème de VLAN50 vers PfSense, de VLAN50 vers VLAN50 (autre périphérique sur ce meme réseau), de VLAN50 vers Internet.

    Pour ce qui est de mes règles, les voici par Interfaces :

    ** Interface LAN **
    IPv4 * LAN address * VLAN50 address  * * none   Allow acces from LAN to VLAN50
    IPv4 * VLAN50 address * LAN address * * none   Allow acces from VLAN50 to LAN

    ** Interface VLAN50 **
    IPv4 * VLAN50 address * LAN address * * none   Allow acces from VLAN50 to LAN
    IPv4 * LAN address * VLAN50 address  * * none   Allow acces from LAN to VLAN50

    Pour ce qui est des masques, j'ai bien pour tous mes réseaux, l'interface définie en /24, mais c'est bien là ma question, j'ai essayé en /16pour passer en 255.255.0.0 au lieu du standard 255.255.255.0, mais la PfSense refusait de m'attribuer des Leases DHCP par bail statique, et je n'avais plus de communication entre les périphériques qui avaient eux aussi une masque de sous réseau en 255.255.0.0., une idée ???

    Pour ce qui est du tag de VLAN en sortie, en admettant que ce soit le cas, si j'initie mon ping depuis le VLAN50 vers le LAN je "contourne" ce problème, mais cela ne marche pas pour autant :s

    Si vous avez encore un peu de temps et de volonté pour m'aider, ce serait trés gentil de votre part.

    Encore merci pour votre réponse !

    Amicalement,
    Alex.



  • Otez moi d'un doute …

    Les masques seraient en 255.255.0.0 = /16 et non "comme d'hab" en 255.255.255.0 = /24.
    Mais alors 192.168.111.x et 192.168.119.x sont dans le même réseau ?
    Et, de facto, pfSense ne saurait "router" un paquet vers une autre interface !



  • Bonjour jdh,

    encore un grand merci pour votre réponse !

    Oui comme je l'ai indiqué les masques des interfaces LAN et VLAN50 sont bien en IP Static et en masque /24, ce qui veut dire :

    LAN :
    IPv4 Configuration Type : Static IP
    IPv6 Configuration Type : None
    Mac address : "VIDE"
    MTU : "VIDE"
    MSS : "VIDE"
    IPv4 Address : 192.168.111.1 / 24
    Gateway : None
    Block Private Networks : "DECOCHE"
    Block Logon Networks : "DECOCHE"

    VLAN50 :
    IPv4 Configuration Type : Static IP
    IPv6 Configuration Type : None
    Mac address : "VIDE"
    MTU : "VIDE"
    MSS : "VIDE"
    IPv4 Address : 192.168.119.1 / 24
    Gateway : None
    Block Private Networks : "DECOCHE"
    Block Logon Networks : "DECOCHE"

    Si je comprends bien le sens de votre message cela confirmerait ce que je voulais faire depuis le début, a savoir utiliser un masque en /16 pour passer en 255.255.0.0 au lieu du /24 en 255.255.255.0 actuel, toute fois, quand j'avais essayé cela, non seulement je n'avais aucune communication entre les périphériques du LAN mais en plus de cela l'attribution DHCP ne fonctionnait pas correctement. J'ai un doute sur ces erreurs, je ferais de nouveau un essaie ce soir, et vous noterai les problèmes que je rencontre en passant a un masque en /16.

    Pour vous, le fait d'utiliser un masque en /24 est bien LE soucis dans mon cas pour permettre la communication entre le LAN et le VLAN50 ?

    Encore merci pour votre aide et vos réponses.

    Amicalement,
    Alex.



  • Désolé, mais pas mal de travail et vous répondre demande du temps puisque vos problèmes ne sont pas complètement triviaux. Mais je vois que vous êtes entre de bonnes mains.



  • Traditionnellement, on utilise des réseaux en 192.168.X.0/24.
    Le /24 indique qu'une adresse 192.168.X.Y appartient au réseau 192.168.X.0.

    Avec /24 les réseaux 192.168.111.0 et 192.168.119.0 sont différents, et comme ils viennent d'interfaces différentes, ils sont naturellement routés de l'un vers l'autre.

    Avec /16 les réseaux 192.168.111.0 et 192.168.119.0 sont dans le même réseau 192.168.0.0, et s'ils viennent d'interfaces différentes, ces interfaces doivent être bridgées (pontées).

    Clairement en /24, avec des réglages standards du pfSense, cela fonctionne (avec 2 règles génériques, une par interface).
    En /16, il faut bridger les interfaces en sus .

    Pour faire simple, il est indispensable d'être en /24 (pour tout matériel).



  • Bonsoir jdh,

    bon alors dans ma configuration actuelle je suis "bon", en revanche j'étais persuadé que mon problème venait de la, j'avais tout passé en /16 mais cela avait engendré d'autres problèmes dont je ne me souviens plus trop a force de tout essayer on s’emmêle les pinceaux !

    Bon donc il y a bien un problème sur mon PfSense, car dans ma configuration actuelle, celle que j'ai cité juste avant votre réponse, je suis en /24, et pourtant mes réseaux ne sont pas accessibles entre eux …

    Une autre idée qui me permettrait d'enfin accéder depuis 192.168.111.231 (par exemple) a 192.168.119.43 ?

    Encore merci pour votre réponse.

    Amicalement,
    Alex.



  • Bonjour,

    je viens de résoudre mes difficultés, toutes les 3 en un seul et unique coup !

    Je pense que j'ai trouvé un bu dans le firmware de mes Switchs, je m'explique, quand mon Switch a son IP en 192.168.111.x et son masque de sous réseau (forcé) en 255.255.0.0, je créé mes VLANs dessus, a ce moment la mes VLANs créé obtiennent un masque de sous réseau, et visiblement il y a ici un bug, puisque les VLANs au lieu d'obtenir le masque de sous réseau en cours obtienne un masque en 255.255.255.0, et donc bloque la transition entre les subnet.
    Merci WireShark de m'avoir permis de diagnostiquer cela via les colonnes, donc tout a fait par hasard !

    J'ai donc supprimé tous les VLANs de mes switchs, et changé le masque de sous réseau de mon Switch en 255.0.0.0, et ensuite recréé tous mes VLANs et la comme par magie mes VLANs ont obtenus un masque de sous réseau en 255.255.0.0, donc il y a je pense un bug a ce niveau puisqu'il n'attribue pas le même masque au VLAN que celui du Management LAN …

    Bref mon problème semble résolu, je vais investiguer plus en profondeur la chose et m'assurer que tout est bien croisé et que tout fonctionne, je clôturerai mon sujet dés que je serai sur que tout cela fonctionne !

    Encore merci pour votre aide.

    Amicalement,
    Alex.


Log in to reply