Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problèmes de routage inter-VLANs

    Scheduled Pinned Locked Moved Français
    6 Posts 3 Posters 2.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      Perfect-Dash
      last edited by

      Bonjour,

      Je rencontre un soucis avec mon Pfsense…
      Voici ce que j'ai actuellement sur mon Pfsense :

      • 1 interface WAN (Vers Completel)
      • 8 VLANs avec DHCP de configurer pour chaque (2 Sociétés, VoiP, Caméras,...)
      • 1 OpenVPN Client (Hide My Ass) lié à un de mes VLANs
      • 1 OpenVPN Serveur
      • 1 FreeRadius pour une authentification au Wi-Fi -> Lié a mon serveur LDAP (OpenLDAP)
      • 1 Proxy transparent Squid + SquidGuard pour le filtrage Web

      Et tout fonctionne correctement à l’exception d'une seule chose, c'est que mes VLANs peuvent communiquer entre eux! Alors que j'aimerai qu'ils ne le puissent pas! J'ai beau mettre mes règles de Pare-Feu, tout les Vlans sont accessible...
      J'ai même un truc étrange c'est que lorsque je créé une règle qui dit à mon VLAN 10 :  De n'importe quel protocole, une source provenant du VLAN 10 à destination du VLAN 22 vers n'importe quel protocole, est BLOQUER! Le ping ne passe plus, mais pourtant j'arrive a accéder à mes interfaces Web, je ne comprend pas...
      Je vous met une capture en pièce jointe des règles de mon VLAN 10 pour que vous puissiez voir...

      Au final la seule chose que je souhaite c'est faire en sorte que mes VLANs ne puissent pas communiquer entre eux, c'est tout! Mais j'ai beau essayer de faire différente manip, je n'arrive pas à le faire. Donc auriez vous une idée pour résoudre ce soucis ?

      Après peut être que j'ai un peu de mal avec les règles de pare feu, c'est pour ça que j'aimerai bien avoir un peu de votre aide

      Merci d'avance.

      rules.PNG_thumb
      rules.PNG

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Ces règles sont dans quel onglet ?

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • P
          Perfect-Dash
          last edited by

          Elles sont dans l'onglet VLAN 10

          Par exemple, les 2 règles qui sont au dessus ne servent en faite à rien dans la pratique car j'accède a tout les VLANs y compris le VLAN 22 qui d'après la règle devrait être bloqué.
          Juste le ping ne passe pas lorsque j'applique cette règle… Mais j'accède quand même aux interface Web des téléphones qui sont situé dans le VLAN 22, je ne comprend pas...

          Par contre on le vois pas sur l'image mais j'avais créé une règle qui avait pour but de bloquer le port 8080 pour toutes les machines du VLAN 10 et cela fonctionnait bien.  J'en conclu donc que les règles s'applique pourtant bien...

          A votre avis est ce que cela pourrais provenir du Proxy Squid qui est en mode transparent sur tout mes VLANs ?? Car j'ai l'impression que c'est depuis que je l'ai installer que j'ai ce soucis... Mais je n'en suis pas à 100% sur

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Pour la Nième fois, et avec un tel réseau, la place d'un proxy N'EST PAS sur le firewall !!!!
            De plus un proxy transparent est une (TRES) FAUSSE bonne idée !!!

            Ces règles fonctionnent, mais si le trafic passe par le proxy, qui lui a le droit, évidemment vous concluez à tort !!

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • P
              Perfect-Dash
              last edited by

              Merci pour votre réponse

              Si je résume, le fait que tout mon trafic passe par le proxy, et que mon proxy a accès aux interfaces de mes VLANS, indirectement mes VLANS communiquent entre eux ?
              Mais du coup cela signifie que je dois mettre en place un proxy pour chaque VLAN ?

              J'ai donc essayé aussi de me renseigner pour mettre en place un proxy non transparent sur un autre serveur mais je n'arrive pas a trouver une solution libre permettant de configurer les clients à l'aide d'un équivalent de GPO mais je n'ai pas trouvé. Connaissez vous une alternative à cela ?

              Et serait il possible de m'expliquer en quoi un proxy transparent est une fausse bonne idée ? Je suis encore étudiant et cela m’intéresse beaucoup…

              Je vous remercie d'avance pour vos explication.

              1 Reply Last reply Reply Quote 0
              • A
                alix
                last edited by

                Bonjour,

                Pour que les Vlans ne puissent pas communiquer entre eux, dans ce que je connais de PFsense, tu es obligé de passé par des règles.

                Le moyen idéal serait que Quagga supporte plusieurs instances de routage (VRF ou VPN-MCE chez Cisco/HP) ou encore mieux le MPLS. tu peux bloquer les réseaux intervlans en rajoutant à la bonne position une règle flotante par exemple sur toutes les interfaces concernées. En gros, tu bloques les réseaux de classe A/B/C sur ces interfaces, mais en positionnant correctement le fait que tes serveurs puisse réponde.

                exemle : ton vlan10 est en 172.16.0.0/16(sur sa patte et tout ses sous réseaux si il y a des routeurs derrières). Ton serveur DHCP est en 10.1.1.1.,  ton dns est en 192.168.1.1 et les autres vlans sont en 172.17.0.0/16, 172.18.0.0/16  et 192.168.2.0/16

                Dans la règle du vlan 10, tu auras en gros

                drop any classeC (un alias du 172.16.0.0/12)
                permit any 10.1.1.1 udp 67
                drop any classeA (un alias du 10.0.0.0/8)
                permit any 92.168.1.1 udp 53
                drop  any classeB (un alias 192.168.0.0/16)
                et après des règles. Dans ce cas, ton vlan 10 ne pourra pas communiquer avec les autres réseaux mais pourra surfer etc.. selon ce que tu l'autorise. Si besoin, tu rajoutes la ressource entre les règles drop concernées si besoin. La limite de PFsense et de cette solution c'est que tu ne peux pas superposer des réseaux identiques sur tes interfaces à cause de la limite que j'ai énnoncée au début.

                l'ordre est important car toutes les règles générés par l'interface pfsense sont en "quick" pour plein de raison que je ne résumerai pas ici.

                Pour la fausse bonne idée. Non, cela dépend de tes besoins, de tes ressources machines etc… Séparer est plus idéal mais si c'est pour un accès avec 8 vlans, très peux de traffic, un pfsense non redondé, c'est peut-être adapté. Difficile de juger une archi sans avoir le détail et les poyens qui sont à ta disposition. Bonne chance

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.