VLan + DHCP + Gateway
-
Bonjour,
Je suis tout nouveau sur le forum et je me suis mis à bosser sur Pfsense depuis très peu (dans le but de pouvoir le déployer sur 13 sites au travail)
Tout d'abord je trouve que le produit est excellent, vraiment simple à mettre en place et contient les services nécessaire pour faire tourner une infrastructure.
Pour le moment je l'ai installer chez moi sur virtualBox avec 3 interfaces (virtuelles)
Le but est le suivant : Pouvoir administrer mon réseaux domestique en mettant en place un Vlan et empêcher mon petit frère de surfer à partir de 19h (et oui faut qu'il bosse à l'école quand même!! :D)L'interface WAN (192.168.1.28) je n'y touche pas, ça c'est pas du tout compliqué.
L'interface LAN (192.168.1.1) est pour le management on est d'accord.
L'interface OPT1 '10.167.88.1) par contre me pose certains soucis….lorsque je met le DHCP en enable avec un range allant de 10.167.88.2 à 10.167.88.10, il me dit que le range n'est pas bon...je pense que c'est un bug non?
Pour tester la connexion du Vlan 10.167.88.0 j'ai mis mon IPAD avec l'IP 10.167.88.23 et gateway 10.167.88.1 (est-ce que c'est la bonne gateway?)
J'ai ouvert le firewall en mettant une regle : source "any" destionation "any" et laisser tout passer
Dans les log je vois bien les requetes DNS vers 8.8.8.8 mais mon IPAD ne surf pas....
J'ai bien regardé dans NAT et tout est en automatique, la NAT s'est bien rajouté toute seule...Alors je me dis que j'ai peut être loupé quelque chose....? j'arrive pas à pinger l'interface OPT1 c'est bizarre aussi..
Merci pour votre aide
PS : j'ai cherché bien-sur sur internet mais je trouve rien de spécial pour mon cas...
-
L'interface WAN (192.168.1.28) je n'y touche pas, ça c'est pas du tout compliqué.
L'interface LAN (192.168.1.1) est pour le management on est d'accord.Je ne vois pas comment l'interface LAN et WAN peuvent être dans le même segment. Tu ne décris pas les masques mais j'imagine que tu es resté en classe C et dans ce cas, ça ne marche pas.
-
L'interface WAN (192.168.1.28) je n'y touche pas, ça c'est pas du tout compliqué.
L'interface LAN (192.168.1.1) est pour le management on est d'accord.Ici nous avons soit une faute de frappe, soit une erreur de configuration. Quoi qu'il en soit, les interfaces wan et lan doivent impérativement être dans des réseau différents, ce qui n'est pas le cas ici. Vous utilisez de chaque côté le réseau 192.168.1.0/24 (pour le masque je suppose).
Pouvoir administrer mon réseaux domestique en mettant en place un Vlan
Un vlan dans u réseau domestique est ce bien nécesaire ?
empêcher mon petit frère de surfer à partir de 19h (et oui faut qu'il bosse à l'école quand même!!
Les restrictions horaires permettent d'obtenir ce résultat. Vous conservez dhcp mais en ajoutant une réservation de bail pour son PC, il aura toujours la même ip. Les restrictions horaires feront le reste. Tant que votre petit frère ne bidouille pas son adresse mac. Vous pouvez aussi mettre tous les clients dhcp en "réservation statique". Ne pas employer cette méthode dans un contexte professionnel.
L'interface OPT1 '10.167.88.1) par contre me pose certains soucis….lorsque je met le DHCP en enable avec un range allant de 10.167.88.2 à 10.167.88.10, il me dit que le range n'est pas bon...je pense que c'est un bug non?
Pour tester la connexion du Vlan 10.167.88.0 j'ai mis mon IPAD avec l'IP 10.167.88.23 et gateway 10.167.88.1 (est-ce que c'est la bonne gateway?)Si vous avez déclaré une interface opt1 ce n'est pas un vlan. Ou du moins le vlan ne sert à rien. Confusion ?
Pouvez vous poster la copie d'écran de la configuration de votre carte opt1 ?
La gateway est bonne.
Avant que vous puissiez accéder à internet il faut régler le premier point et vérifier votre interface opt1. -
Ah oui pardon, j'ai oublié de vous spécifier que le PFsense se trouve derrière une freebox qui elle possède la vraie IP publique
Donc le WAN prend une IP de la freebox (192.168.1.0/24) et le LAN aussi et la gateway c'est la freebox.
En gros, toutes les machines sur le réseaux passeront forcément par ma VM (pfsense)
Je veux que mon PC reste en 192.168.1.x alors que tout les autres machines soient dans le VLAN 10.167.88.0 et effectivement je me suis mal exprimé, il ne s’agit pas d'un VLAN mais d'un LAN normal.
Donc si le LAN et WAN sont dans le même segment cela ne fonctionnera pas? sachant qu'il s'agit d'une VM. Est-ce que c'est ça qui peut bloquer le réseaux 10.167.88.0 (OPT) pour surfer?Pour les horaires oui merci j'avais trouvé et ça marche super bien :)
Je posterai une copie d'écran ce soir quand je rentre à la maison.
Merci
-
Ah oui pardon, j'ai oublié de vous spécifier que le PFsense se trouve derrière une freebox qui elle possède la vraie IP publique
ça ne présente pas de problème
Donc le WAN prend une IP de la freebox (192.168.1.0/24) et le LAN aussi et la gateway c'est la freebox.
non, ça ne fonctionne pas !!! :o
En gros, toutes les machines sur le réseaux passeront forcément par ma VM (pfsense)
non, certainement pas. Si la gateway c'est la freebow, je ne vois pas pourquoi ça passerait par pfSense. En plus dans le même segment réseau, ça ne marche pas. Il faut que pfSense soit "traversé"
-
Donc si le LAN et WAN sont dans le même segment cela ne fonctionnera pas?
Lan et Wan doivent impérativement être dans des réseaux (au sens ip) différents. Si cette condition n'est pas satisfaite cela ne fonctionnera pas en effet.
Mettez votre Freebox en pont, vous aurez l'ip publique sur l'interface Wan de Pfsense.PS: Lire la doc est une bonne idée : les conditions d'adressage de Pfsense sont précisément décrites.
-
En plus commencer avec une VM, ce n'est vraiment pas le plus simple, à mon avis 8)
-
sachant qu'il s'agit d'une VM. Est-ce que c'est ça qui peut bloquer le réseaux 10.167.88.0 (OPT) pour surfer?
Utiliser une vm n'est pas la configuration la plus simple en effet. C'est même une mauvaise idée.
-
Oui j'avais compris que la VM n'était pas une bonne idée mais je n'ai pas trop le choix..c'était juste pour pouvoir tester et voir le fonctionnement de pfsense, je me suis dit avec un petit réseau ça peut peut être passer.
Donc si je ne me trompe pas je peux faire ça :Passer la freebox en mode "pont" et je récupere l'IP publique sur la WAN
Supprimer l'interface OPT
Et utiliser l'interface LAN pour les machines clientes?Merci
-
Pour débuter avec une configuration domestique cela ma parait suffisant. Une fois que vous maitrisez cela, vous pouvez utiliser une troisième interface physique (je répète : rien à voir avec le vlan).
-
Super.
Merci beaucoup pour votre aide.
Le but effectivement d'arriver à gérer une dizaine de boitier avec presque la même config! Wan + Lan + Vlan!
Mais je vais peut être pas créer des vlan sur le firewall mais plutôt des interfaces dédiés!Merci encore!
-
Mais je vais peut être pas créer des vlan sur le firewall mais plutôt des interfaces dédiés!
Si vous en avez la possibilité ce sera beaucoup plus simple.
Sinon lisez bien ce que j'ai déjà posté sur ce forum pour la création et le support des vlans. -
Que tout cela est brouillon !
Si WAN est différent de LAN, il FAUT aussi (et c'est INDISPENSABLE) 2 interfaces physiques sur le PC et que celle de WAN soit ABSOLUMENT la seule connecté à la (Free)Box !
Bien évidemment, personne ne devra se connecter au wifi de la Box ! -
@jdh:
Que tout cela est brouillon !
Si WAN est différent de LAN, il FAUT aussi (et c'est INDISPENSABLE) 2 interfaces physiques sur le PC et que celle de WAN soit ABSOLUMENT la seule connecté à la (Free)Box !
Bien évidemment, personne ne devra se connecter au wifi de la Box !Hahaha je viens justement de faire l'essai….je m'en doutais d'ailleur que ça puisse fonctionner aussi facilement!
En passant la freebox en mode bridge je recupere l'IP publique mais impossible d'avoir le net sur le LAN, tout simplement parce que je ne possède qu'un seule interface physique...! J'ai du reset ma freebox pour la récupérer! :D :D
Bon du coup ma question : comment puis-je paramètrer pfsense sur ma VM en faisant passer tout le trafic par là...autrement dit le pfsense sera la gateway des machines...
Si je laisse la WAN en 192.168.1.28/32 et le LAN en 10.167.88.0/24 en activant le DHCP et avec une seule interface physique...est-ce que ça peut fonctionner?Il faut absolument que j'arrive à faire une petite demo que je puisse convaincre ma direction que ça fonctionne bien... :)
Merci
-
Il faut absolument que j'arrive à faire une petite demo que je puisse convaincre ma direction que ça fonctionne bien… :)
Il est indispensable, pour faire ta démo et à ton niveau de compétence/connaissance, d'installer un FW sur une machine disposant au moins de 2 interfaces physiques différentes.
Tant que tu n'as pas admis ce point, tu risques fort de ne pas y arriver.Ceci étant dit, il est techniquement envisageable, même si c'est, d'un point de vue pare-feu, très étrange et très risqué, de faire une maquette sur la base de ce que tu décris, et ceci n'a rien à voir avec le fait que ton interface internet soit en mode routeur ou gateway.
Pour faire simple, je vais rester en mode gateway.Le truc, c'est, sur ton interface physique, de définir 2 interfaces logiques, une pour le WAN, une pour le LAN, chacune dans un plan d'adressage différent et de définir:
- l'adresse LAN de pfsense comme la gateway par défaut des machines sur le LAN
- l'adresse interne de ton interface internet comme la gateway par defaut de pfSense
laisse tomber cette histoire de réseau d'administration: utilise une machine sur le LAN, éventuellement avec une IP fixe mais dans le plan d'adressage LAN
-
Je ne peux qu'approuver.
-
Il faut absolument que j'arrive à faire une petite demo que je puisse convaincre ma direction que ça fonctionne bien… :)
Il est indispensable, pour faire ta démo et à ton niveau de compétence/connaissance, d'installer un FW sur une machine disposant au moins de 2 interfaces physiques différentes.
Tant que tu n'as pas admis ce point, tu risques fort de ne pas y arriver.Je sais très bien qu'il me fautun FW avec deux interfaces minimum….ça fait plus de 5 ans j'administre des junipers...mais vu que je change de boite..je veux leur presenter un produit bien et pas cher qui fera l'affaire...et ça me permettra aussi de voir autre chose :D
-
Je sais très bien qu'il me fautun FW avec deux interfaces minimum….ça fait plus de 5 ans j'administre des junipers...mais vu que je change de boite..je veux leur presenter un produit bien et pas cher qui fera l'affaire...et ça me permettra aussi de voir autre chose :D
Donc tu as la simple et fiable solution: machine à 2 interfaces
ou la solution plus compliquée et moins fiable: 2 segments différents sur la même interface physique mais avec l'interface (logique) LAN comme passerelle par défaut.So much easy ;)
-
Yepp I know man!!
Mais le truc c'est que maintenant c'est un labo perso…donc je fais avec les moyens du bord :)
Si jamais j'arrive à faire passer l'achat de 12-13 voire 15 FW pfsense, je vais prendre celui avec 4 ports...et là je peux commencer à profiter pleinement du produit :DCeci dit..je viens de finir la mise en place de ma mini infra sur ma vm!! et même mon LAN fonctionne parfaitement! lol..tout ce qu'il faut c'est de la patience!
Merci en tout cas pour votre aide....
Pour info, je reviendrai surement vous embeter encore!! :D :D