Vlan, besoin d'aide pour mise en place.
-
Je souhaiterais mettre en place des vlan afin de cloisonner mon infra.
A disposition :
Routeur (BOX) : 192.168.38.0
Switch GS724T + pfSense en mode routeur (pare-feu désactivé) pour gérer le routage inter-vlan.Configuration :
192.168.38.0 => VLAN ID 1 (default)
Port Tag => 14,16,18
Port Untag =>
Not member => 1,3,5 - 13,15,17 - 14,16,18192.168.10.0 => VLAN10 (pro)
Port Tag => 14 => 192.168.10.254 (patte pfsense)
Port Untag => 1,3,5
PVID port 14 = 10192.168.20.0 => VLAN20 (machines virtuel)
Port Tag => 16 => 192.168.20.254 (patte pfsense)
Port Untag => 13,15,17
PVID port 16 = 20192.168.30.0 => VLAN30 (loisir)
Port Tag => 18 => 192.168.30.254 (patte pfsense)
Port Untag => 14,16,18
PVID port 18 = 30Si j'ai tout bien compris… A partir de la config ci-dessus les machines connectées aux ports "Untag" des différents vlans devraient obtenir une adresse IP des sous-réseau respectif. Non ?
Le service DHCP est bien entendu activé et configuré sur chacun des vlans.
Interface & configuration pfsense (pare-feu désactivé).
Mais malheureusement cela ne fonctionne pas… ? Une piste ?
-
Si vous fixez une ip au PC, est-ce qu'il pinge le pfSense?
-
Je ne l'ai pas précisé, mais cela a été testé. Et non, même en IP fixe aucun ping possible. Sous Windows, il m'indique réseau non identifié…
-
Etes-vous sûr que votre carte réseau supporte les VLAN's?
-
Cartes compatible. Je suis équipé en Intel Desktop ou Server. J'avance un peu…
192.168.38.0 => VLAN ID 1 (default)
Port Tag => aucun
Port Untag => 1 à 24192.168.10.0 => VLAN10 (pro)
Port Tag => 14 => 192.168.10.254 (patte pfsense)
Port Untag => 23,34
PVID port 1 => 1
PVID port 23,24 = 10Dans cette configuration, j'ai bien une séparation... Mais impossible de partager internet.
-
Cartes compatible. Je suis équipé en Intel Desktop ou Server. J'avance un peu…
192.168.38.0 => VLAN ID 1 (default)
Port Tag => aucun
Port Untag => 1 à 24192.168.10.0 => VLAN10 (pro)
Port Tag => 14 => 192.168.10.254 (patte pfsense)
Port Untag => 23,34
PVID port 1 => 1
PVID port 23,24 = 10Dans cette configuration, j'ai bien une séparation... Mais impossible de partager internet.
Le problème originel des VLAN's est donc résolu?
Qu'entendez-vous par impossible de partager internet? Un des 2 VLAN's n'accède pas à internet? Aucun des VLAN's n'y accède?
Avez-vous configuré le NAT et les règles de filtrage?
-
Avez vous configurer un port trunk sur votre switch ?
-
Le problème originel des VLAN's est donc résolu?
Oui. :)
Qu'entendez-vous par impossible de partager internet? Un des 2 VLAN's n'accède pas à internet? Aucun des VLAN's n'y accède?
Tout à fait. :)
Le vlan1 (default) 192.168.100.0 => accès internet oK.
Le vlan20 192.168.20.0 => pas d'accès internet. ??? Alors que la station (192.168.20.1) ping bien (logique) la patte pfsense (192.168.20.254) qui elle connait le sous-réseau 192.168.100.0 par conséquent depuis 192.168.20.1 le ping sur 192.168.100.253 (routeur pfsense) est ok. Mais impossible d'obtenir une réponse du routeur (freebox/192.168.100.254).Avez-vous configuré le NAT et les règles de filtrage?
Pare-feu/NAT désactivé.
-
Qu'entendez-vous par impossible de partager internet? Un des 2 VLAN's n'accède pas à internet? Aucun des VLAN's n'y accède?
Tout à fait. :)
Le vlan1 (default) 192.168.100.0 => accès internet oK.
Le vlan20 192.168.20.0 => pas d'accès internet. ??? Alors que la station (192.168.20.1) ping bien (logique) la patte pfsense (192.168.20.254) qui elle connait le sous-réseau 192.168.100.0 par conséquent depuis 192.168.20.1 le ping sur 192.168.100.253 (routeur pfsense) est ok. Mais impossible d'obtenir une réponse du routeur (freebox/192.168.100.254).Vous devez:
-
Ajouter des routes dans votre box pour lui indiquer que le réseau 192.168.20.0 est accessible via le pfSense;
-
Activer le NAT pour ces réseau dans votre box.
Avez-vous configuré le NAT et les règles de filtrage?
Pare-feu/NAT désactivé.
En effet, au temps pour moi…
-
-
Vous devez:
-
Ajouter des routes dans votre box pour lui indiquer que le réseau 192.168.20.0 est accessible via le pfSense;
-
Activer le NAT pour ces réseau dans votre box.
Etant donné qu'il est impossible de rajouter une route sur la box (freebox). J'ai réactivé le pare-feu/NAT et configuré le "Outbound NAt" en mode manuel.
Interface : LAN
Source : vlan10
Source port : *
Destination : *
NAT Address : *
NAT Port : *
Static Port : *Interface : LAN
Source : vlan20
Source port : *
Destination : *
NAT Address : *
NAT Port : *
Static Port : *Ce qui permet à pfsense de "NATé" les sous réseau vlan et dans ce cas il encapsule la requête ping. Par conséquent, la box répond directement à pfSense.
/!\ Problème résolu /!\
-