Pfsense et vlan
-
Bonjour,
Je ne suis pas encore tres famillier avec les vlan alors voici mon probleme:
J'ai ceci en configuration :Config switch hp poe
VLAN 1 Untagged : vlan1 192.168.20.203 (1 port)
VLAN 120 Tagged : Reseau 192.168.120.0/24 (23 ports)Reseau lan : 192.168.20.0 /24 switch hp
Reseau vlan : 192.168.120.0 /24L'objectif est de faire communiquer entre le reseau lan existant et le vlan programme.
Pfsense :
2 cartes physiques reseaux une pour wan et l'autre pour lan
Range DHCP : 192.168.20.10 - 192.168.20.150 gere par l'interface LAN
Range DHCP vlan : 192.168.120.100 - 192.168.120.199 gere par l'interface VLAN120Le probleme actuel si je branche un poste qui est branche sur le port du vlan le pfsense me donne l'adressage dhcp du lan. Comment faire en sorte que le poste en question puisse recevoir l'adressage dhcp du vlan. Y a t'il une regle manquante du cote du pfsense ?
Voici les screenshots.
http://www.multialtos.com/interfacelan.png
http://www.multialtos.com/interfacevlan120.png
http://www.multialtos.com/ruleslan.png
http://www.multialtos.com/rulesvlan120.png
http://www.multialtos.com/switchvlan.png
http://www.multialtos.com/portsdetailsvlan.pngMerci,
-
Salut salut
Question
avec une machine non Pf cela donne quoi ?
Cordialement
-
J'utilise seulement PF comme routeur. Le probleme est dans une config PF je crois.
-
Salut salut
Manifestement vous n'avez pas compris le sens de ma question.
En clair, branchez une machine cliente ou serveur autre que votre Pf pour valiser ou non que les vlans soient bien configurés.
Après il sera temps de voir du coté de Pf.
En d'autres termes, on élimine le matériel et on voir le soft après.
Cordialement.
-
Bonjour,
Il manque les informations pertinantes
- Comment sont défini vos Vlan dans PF
- Quid tu port Trunk sur le switch ?
La logique veut :
- 1 port (a minima voir plusieurs) du switch défini en Trunk
- Ce port Trunk DOIT être tagged sur chaque Vlan (config à faire dans le switch)
- Ce port trunk DOIT être connecter à l'interface physique de pf supportant les Vlan
- Dans Pf il faut définir vos Vlan et les affecter à la bonne carte physique
- Ne pas configurer les paramètre de votre lan directement dans l'interface de pf mais le définir comme un Vlan
Donc 2 Vlan à définir dans pf, votre lan et l'autre vlan et seulement ensuite vous configurez les paramètres DHCP et autres règles de firewall
Cordialement
EDIT : personellement quand je déploie une config avec Vlan, je fait un Vlan supplémentaire réserver à l'administrations du ou des switchs et de pf.
Le port sélectionner sur le switch comme port de management est dans un réseau (Vlan) séparer et dans mes règles de firewal je met en 1er une règle d'interdiction d'accès à l'interface de pf, je ne donne accès à pf que depuis ce réseau d'administration et donc seulement depuis le port du switch réservé au management.
Le but des Vlan est la SECURITE donc autant aller au bout des choses ^^En conclusion sur un 24 ports, seulement 22 sont utilisables par des périphériques car 1 est réserver au réseau d'administration et il en faut au moin 1 en Trunk.
EDIT 2 : la magie du ? bleu dans l'interface de pf nous donne : https://doc.pfsense.org/index.php/VLAN_Trunking
-
Bonjour,
Je coopere avec rkpoulin.
Est ce que cela veut dire que selon le schema dois je brancher le port 23 avec la switch en question?
Tout ce qui concerne le reseau original je laisse telle quelle (switch actuelle) et celle du vlan120 sur la nouvelle switch.
Merci,
Voici les 2 screenshots :
http://www.multialtos.com/tagged.png
http://www.multialtos.com/untagged.png -
Est ce que cela veut dire que selon le schema dois je brancher le port 23 avec la switch en question?
NON, c'est juste ce que moi je fait ^^
Tout ce qui concerne le reseau original je laisse telle quelle (switch actuelle) et celle du vlan120 sur la nouvelle switch.
Alors ne touchez à rien et faite appel à Merlin l'Enchanteur ^^
Mon précédent post vous explique la logique tout comme le lien vers la doc de pf
la doc est claire, je cite :
DefinitionsVLANs are virtual LAN segments of a managed switch, and when pfSense is plugged into a trunk port it can utilize VLANs to have multiple virtual interfaces, one for each available VLAN. In this manner, you can have pfSense talk to a large number of networks without the need for more physical interfaces.
In pfSense, you must create a new VLAN under Interfaces > (assign), on the VLANs tab. After creating the VLAN interface, it can be assigned just like any other interface.
Faite un test hors production avec un autre switch et quand vous aurrez compris la logique vous appliquerez sur le matériel de production ^^
-
Le dernier point ci dessus est un excellent conseil de base.
Ensuite quand je regarde le besoin et la mise en œuvre je suis assez dubitatif.
1 si on utilise des blancs c'est pour isoler des réseaux partageant un même support physique. Vous c'est pour les faire communiquer.
2 . Vlan 1 c'est assez spécial chez tout le monde. Comme disait Cisco : Be paranoid, dońt use vlan1
3. Cette mise en œuvre sur Pfsense ne fonctionne pas. Voir le lien donné. Sur une même interface ne pas mélanger physique et vlan.
Je fais court. J'ai peu de temps.
