Problèmes de routage inter-VLANs



  • Bonjour,

    Je rencontre un soucis avec mon Pfsense…
    Voici ce que j'ai actuellement sur mon Pfsense :

    • 1 interface WAN (Vers Completel)
    • 8 VLANs avec DHCP de configurer pour chaque (2 Sociétés, VoiP, Caméras,...)
    • 1 OpenVPN Client (Hide My Ass) lié à un de mes VLANs
    • 1 OpenVPN Serveur
    • 1 FreeRadius pour une authentification au Wi-Fi -> Lié a mon serveur LDAP (OpenLDAP)
    • 1 Proxy transparent Squid + SquidGuard pour le filtrage Web

    Et tout fonctionne correctement à l’exception d'une seule chose, c'est que mes VLANs peuvent communiquer entre eux! Alors que j'aimerai qu'ils ne le puissent pas! J'ai beau mettre mes règles de Pare-Feu, tout les Vlans sont accessible...
    J'ai même un truc étrange c'est que lorsque je créé une règle qui dit à mon VLAN 10 :  De n'importe quel protocole, une source provenant du VLAN 10 à destination du VLAN 22 vers n'importe quel protocole, est BLOQUER! Le ping ne passe plus, mais pourtant j'arrive a accéder à mes interfaces Web, je ne comprend pas...
    Je vous met une capture en pièce jointe des règles de mon VLAN 10 pour que vous puissiez voir...

    Au final la seule chose que je souhaite c'est faire en sorte que mes VLANs ne puissent pas communiquer entre eux, c'est tout! Mais j'ai beau essayer de faire différente manip, je n'arrive pas à le faire. Donc auriez vous une idée pour résoudre ce soucis ?

    Après peut être que j'ai un peu de mal avec les règles de pare feu, c'est pour ça que j'aimerai bien avoir un peu de votre aide

    Merci d'avance.




  • Ces règles sont dans quel onglet ?



  • Elles sont dans l'onglet VLAN 10

    Par exemple, les 2 règles qui sont au dessus ne servent en faite à rien dans la pratique car j'accède a tout les VLANs y compris le VLAN 22 qui d'après la règle devrait être bloqué.
    Juste le ping ne passe pas lorsque j'applique cette règle… Mais j'accède quand même aux interface Web des téléphones qui sont situé dans le VLAN 22, je ne comprend pas...

    Par contre on le vois pas sur l'image mais j'avais créé une règle qui avait pour but de bloquer le port 8080 pour toutes les machines du VLAN 10 et cela fonctionnait bien.  J'en conclu donc que les règles s'applique pourtant bien...

    A votre avis est ce que cela pourrais provenir du Proxy Squid qui est en mode transparent sur tout mes VLANs ?? Car j'ai l'impression que c'est depuis que je l'ai installer que j'ai ce soucis... Mais je n'en suis pas à 100% sur



  • Pour la Nième fois, et avec un tel réseau, la place d'un proxy N'EST PAS sur le firewall !!!!
    De plus un proxy transparent est une (TRES) FAUSSE bonne idée !!!

    Ces règles fonctionnent, mais si le trafic passe par le proxy, qui lui a le droit, évidemment vous concluez à tort !!



  • Merci pour votre réponse

    Si je résume, le fait que tout mon trafic passe par le proxy, et que mon proxy a accès aux interfaces de mes VLANS, indirectement mes VLANS communiquent entre eux ?
    Mais du coup cela signifie que je dois mettre en place un proxy pour chaque VLAN ?

    J'ai donc essayé aussi de me renseigner pour mettre en place un proxy non transparent sur un autre serveur mais je n'arrive pas a trouver une solution libre permettant de configurer les clients à l'aide d'un équivalent de GPO mais je n'ai pas trouvé. Connaissez vous une alternative à cela ?

    Et serait il possible de m'expliquer en quoi un proxy transparent est une fausse bonne idée ? Je suis encore étudiant et cela m’intéresse beaucoup…

    Je vous remercie d'avance pour vos explication.



  • Bonjour,

    Pour que les Vlans ne puissent pas communiquer entre eux, dans ce que je connais de PFsense, tu es obligé de passé par des règles.

    Le moyen idéal serait que Quagga supporte plusieurs instances de routage (VRF ou VPN-MCE chez Cisco/HP) ou encore mieux le MPLS. tu peux bloquer les réseaux intervlans en rajoutant à la bonne position une règle flotante par exemple sur toutes les interfaces concernées. En gros, tu bloques les réseaux de classe A/B/C sur ces interfaces, mais en positionnant correctement le fait que tes serveurs puisse réponde.

    exemle : ton vlan10 est en 172.16.0.0/16(sur sa patte et tout ses sous réseaux si il y a des routeurs derrières). Ton serveur DHCP est en 10.1.1.1.,  ton dns est en 192.168.1.1 et les autres vlans sont en 172.17.0.0/16, 172.18.0.0/16  et 192.168.2.0/16

    Dans la règle du vlan 10, tu auras en gros

    drop any classeC (un alias du 172.16.0.0/12)
    permit any 10.1.1.1 udp 67
    drop any classeA (un alias du 10.0.0.0/8)
    permit any 92.168.1.1 udp 53
    drop  any classeB (un alias 192.168.0.0/16)
    et après des règles. Dans ce cas, ton vlan 10 ne pourra pas communiquer avec les autres réseaux mais pourra surfer etc.. selon ce que tu l'autorise. Si besoin, tu rajoutes la ressource entre les règles drop concernées si besoin. La limite de PFsense et de cette solution c'est que tu ne peux pas superposer des réseaux identiques sur tes interfaces à cause de la limite que j'ai énnoncée au début.

    l'ordre est important car toutes les règles générés par l'interface pfsense sont en "quick" pour plein de raison que je ne résumerai pas ici.

    Pour la fausse bonne idée. Non, cela dépend de tes besoins, de tes ressources machines etc… Séparer est plus idéal mais si c'est pour un accès avec 8 vlans, très peux de traffic, un pfsense non redondé, c'est peut-être adapté. Difficile de juger une archi sans avoir le détail et les poyens qui sont à ta disposition. Bonne chance