[Résolu] PfSense et lien trunk / tagged
-
-
Les trames DHCP atteignent bien le serveur PfSense, il répond par ailleurs mais visiblement le client ne reçoit pas ces réponses
-
Quand je fixe une IP sur un client, les paquets ICMP n'atteignent pas le serveur DHCP
Si quelqu'un a une idée je suis preneur, je suis dessus depuis hier sans interruption… Merci d'avance.
Cordialement,
Vincent
-
-
Problème intéressant et ta description est assez claire (à part cette histoire de switch droit /switch gauche qui, je suppose, correspondent sur ton schéma à "switch central" et "switch 2")
Je n'ai jamais utilisé de VLAN avec pfSense mais je ne vois rien de choquant dans ton design.
Ton explication, en revanche, du comportement m'interpelle:- si tu connectes un device (filaire) sur le bon port du switch, dans le bon VLAN, tu reçois une IP du serveur DHCP et tu accède au portails. C'est bien ça ?
Aussi, dans l'archi avec deux switchs, quand je connecte une machine directement sans passer par le trunk et dans le même Vlan, je reçois une adresse et le portail captif fonctionne
Le problème viendrait donc du lien entre les 2 switchs plutôt que de pfSense non ?
As-tu essayé tout simplement sans trunk ? Ce que je veux dire c'est que présente l'ensemble comme si le trunk faisait partie du design mais c'est uniquement (si je peux dire) un aspect performance que tu peux essayer de mettre en place par la suite une fois l'ensemble opérationnel.
-
Oui effectivement le switch droit est le switch central et donc l'autre est le switch gauche.
Oui si je connecte un device dans une bonne configuration sur le switch central, je peux accéder au portail captif.
Le problème viendrait effectivement du lien entre les 2 switchs. Cependant je me posais la question si PfSense ne rejettait pas les trames contenant un tag et donc provenant du 802.1Q. Bon ça ne semble pas être le cas parce qu'il reçoit bien les trames DHCP d'un éventuel client mais au cas où…
Je n'ai pas essayé non plus sans trunk, mais je ne peux pas le faire car pour le coup l'entreprise possède un serveur DHCP, et si je mets le mien sur le switch, là ça va interférer sévèrement ::)
Et puis aussi, je ne peux pas me passer du trunk dans la version finale car les clients filaire du switch gauche par exemple doivent pouvoir accéder au réseau sans être redirigé vers le portail captif.
Par contre est-ce que le serveur DHCP PfSense est nécessaire au fonctionnement du portail captif ?
-
J'avoue ne pas comprendre en quoi le trunk est indispensable et quel est l'impact sur un serveur DHCP existant ou pas.
De mon point de vue, le trunk ne sert qu'à agréger des ports switch pour permettre d'une part un débit plus important, d'autre part une tolérance aux pannes en cas d'arrêt (peu probable ici) d'un des ports. En dehors de ces aspects, trunk ou pas, la configuration fonctionne de la même manière.Il doit donc y avoir un truc qui m'échappe ???
Du coup, je ne comprends pas ça:
Je n'ai pas essayé non plus sans trunk, mais je ne peux pas le faire car pour le coup l'entreprise possède un serveur DHCP, et si je mets le mien sur le switch, là ça va interférer sévèrement ::)
Quand à ce point:
Par contre est-ce que le serveur DHCP PfSense est nécessaire au fonctionnement du portail captif ?
Je ne vois absolument pas pourquoi la réponse serait "oui". Le portail captif, ce n'est qu'une question de réseau n'est-ce pas ?
-
Je ne me peux pas me passer d'un trunk car sur chacun des switchs représentés là haut, il y a des machines (qui ne sont pas representés sur le schéma) qui sont connectés directement sur le Vlan 1 qui ne possède aucune restriction, et qui doivent donc accéder au réseau sans passer par le portail captif. Je le rappelle, les machines Wifi sont connectés à un vlan 10, et joigne ensuite PfSense.
Je ne vois pas comment je pourrais différencier ces deux types de clients sans mettre en place des Vlans et donc par la suite un trunk.
De plus si je vire le trunk, je ne garde qu'un seul Vlan pour l'ensemble de mes switchs, donc mon Serveur PfSense va émettre son DHCP sur l'ensemble du réseau car il n'y aucun Vlan nulle part. J’interférerai alors avec le serveur DHCP de l'entreprise.
-
Un glossaire s'impose ;)
est-ce que ça t'aide ?Pour moi, que ce soit Cisco, HP ou autre, avec bien sûr en tête la restriction liée à la terminologie assez spéciale de Cisco, un trunk c'est un agrégat de lignes.
Chez HP:
http://www.hp.com/rnd/device_help/help/hpwnd/webhelp/HPJ4812A/port_trunking.htm -
Ok autant pour moi, issu du monde Cisco, c'est dur l'adaptation :P
Quand je parle de lien trunk, je parle bien sur d'un lien tagged 802.1Q habilité à faire transiter plusieurs Vlans. Le port est donc tagged dans tous les Vlans autorisés à transiter par ce port.
Bon chose étonnante, j'ai viré le lien tagged comme tu me l'a conseillé, même si on parlait pas vraiment de la même chose.
Et il se trouve que mes clients Wifi n'arrivent pas à avoir au portail captif dans cette configuration, c'est à dire en ayant enlevé les Vlans et ayant fixé toutes les adresses manuellement (IP, gateway DNS) appropriés en 192.168. Cependant les deux switchs sont restés en 172 20 sur leur Vlan1, donc le seul Vlan existant sur le réseau.
Encore une fois, j'ai testé avec un pc directement connecté au Lan du portail… pas de problème.
Bon tout à l'heure, je vire toutes les configs sur tous les switchs, je paramètres des adresses switchs dans le même sous réseau que le Lan PfSense et je teste un réseau extrêmement simple avec les deux switchs consécutifs. Si ça ne marche pas dans ce cas là, faut que j'aille jeter les switchs.
-
je me posais la question si PfSense ne rejettait pas les trames contenant un tag
Les logs bien configurés et, ou une capture de trame sur l'interface concernée de Pfsense donnent la réponse.
-
Ok autant pour moi, issu du monde Cisco, c'est dur l'adaptation :P
Quand je parle de lien trunk, je parle bien sur d'un lien tagged 802.1Q habilité à faire transiter plusieurs Vlans. Le port est donc tagged dans tous les Vlans autorisés à transiter par ce port.
Donc nous sommes d'accord, pas de trunk mais du 802.1Q ;)
Bon chose étonnante, j'ai viré le lien tagged comme tu me l'a conseillé, même si on parlait pas vraiment de la même chose.
:o non je ne t'ai pas conseillé de virer le lien taggé mais de virer le trunk (au sens HP du terme :P) mais suite à ton explication, il n'y en avait pas.
Et il se trouve que mes clients Wifi n'arrivent pas à avoir au portail captif dans cette configuration, c'est à dire en ayant enlevé les Vlans et ayant fixé toutes les adresses manuellement (IP, gateway DNS) appropriés en 192.168. Cependant les deux switchs sont restés en 172 20 sur leur Vlan1, donc le seul Vlan existant sur le réseau.
Je ne comprends pas bien: il faut bien à un moment transporter le VLAN10 vers pfSense non ?
Es-tu certain que les trames issues des clients arrivent bien sur pfSense ? Il y a des outils de capture à ce niveau qui pourraient t'aider à voir ce qui s'y passe.
-
Bon passons pour le fait que j'aie viré le lien tagged, je vais le remettre d'ici peu.
Oui oui je suis certain par exemple que mes trames de Broadcast DHCP arrive bien à mon PfSense, par contre je ne sais pas si ils peuvent faire le chemin inverse.
Je vais tester avec un pc, voir si par hasard il aurait une réponse, ou si effectivement les trames se perdent sur le chemin du retour. (parce que le test avec une tablette n'est pas forcément le plus fiable…)
-
une capture de paquets de part et d'autre (pfSense d'un coté, une machine linux de l'autre) et un tcpdump ;)
Avec ça on y verra un peu mieux.Mais déjà si ça arrive à pfSense, tu dois également avoir des informations en cas de drop ou problème de route ou VLAN
-
Je crois que je vais me cacher… :-X
Je n'ai pas fait de reset factory, j'ai juste refait la config des vlans (en mettant les mêmes choses) et du lien tag et maintenant ça fonctionne... Donc PfSense accepte bien les liens tags par défaut.
Franchement je comprends pas, les configs sont exactement les mêmes, les captures peuvent en attester.
Les deux uniques choses que j'ai fait sont les mises à jour du firmware d'un des switchs (qui datait de 2009), mais aussi la désactivation d'un monitoring d'un port essentiel dans le réseau sur un des switchs... Je pensais que ça capturait uniquement son traffic ou le surveillait sans pour autant empêcher des transmissions.
Ce type de réseau fonctionne bel et bien.
Bref, j'ai essayé de tout mettre dans ce topic pour éviter à moi même et éventuellement aux autres de reproduire l'erreur. Désolé de vous avoir fait perdre votre temps.
Merci beaucoup, je pense que je reviendrai par ici pour partager de mon expérience, certes courte mais très enrichissante!
-
La bonne nouvelle est que ça fonctionne :)
Mais finalement, ça a du bon qu'il y ait ce genre de problème: même si ça n'a, après coup, rien à voir avec pfSense, ça permet d'échanger un peu sur des design un peu moins basiques qui peuvent répondre à d'autres interrogations (par exemple ce sujet démarré ce jour)
