Menu

Routeur et VLAN sur ZeroShell

MP - 2 janv. 2018 à 19:28 - Dernière réponse : brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention
- 10 janv. 2018 à 16:27
Bonjour,

Je ne suis qu'amateur averti et je suis chargé, par défaut, de l'informatique d'une petite association. Mais on me demande un peu trop… J'ai quand même fait un peu de programmation (bash, php, sql…). Je travaille surtout sur linux.

Le réseau: une trentaine de PC et plusieurs imprimantes multifonctions répartis sur des switchs administrables TPlink («Wysiwyg…»).

Les buts:
1.
La majorité des ports physiques peuvent accéder à internet et aux multifonctions. [VLAN 10]
Quelques ports cependant devraient avoir un régime à part, sans accès à internet.[VLAN 20]
- au moins avoir accès aux multifonctions.
- un peu mieux: avoir accès à tout le réseau interne.
- le top: avoir accès au réseau interne et aux protocoles de messageries.

[2. option: j'aimerais un contrôle du contenu pour certains postes ouverts un peu à tous vents, mais je ne sais pas si ZeroShell sait gérer les blacklists de Toulouse, et si je peux filtrer différemment les divers VLAN]

Le moyen: ZeroShell (À moins qu'on me conseille autre chose de mieux et d'aussi peu cher).
J'ai pu l'installer et donner internet à tout le monde.
Mais je n'arrive pas à gérer ces fichus VLAN.

Je serai très reconnaissant à celui qui saurait me dire comment il faudrait faire? Je n'en peux plus de tâtonner comme un fichu béotien… Au moins que quelqu'un me dise ce que je dois demander à ZéroShell, même si je dois chercher moi-même comment lui faire faire.

[Voilà tout ce que j'ai tâtonné:

J'ai créé des VLAN taggés sur les switchs. Par exemple le port 15 était taggé pour le VLAN 20.
Pour ce qui est des ports «trunk» (je crois que c'est comme ça qu'on dit: par exemple le port 1 du switch 2 qui relie ce dernier au switch 1 qui est relié au routeur)… j'ai donc laissé ces ports trunk tels quels (VLAN natif 1 pas taggé).
Dans ZeroShell j'ai créé un VLAN 10 et un VLAN 20 dans mon ETh0 (carte du réseau interne),
et dans Setup>Web, j'ai autorisé le VLAN 10 mais non le VLAN 20. Résultat… le port 15 avait toujours internet.

Dans ces switch TPLink il y a deux onglets VLAN 801.
Dans le premier on peut tagger ou non, et un port peut appartenir à plusieurs VLAN.
Dans le deuxième, appelé VLAN 801 PVID, chaque port ne peut recevoir qu'un seul id.
Alors là, si j'attribue l'id 20 au port 15, celui-ci ne voit plus rien au-delà de son switch.

Je me demande si je ne devrais pas paramétrer sur ZeroShell des sous-réseaux distincts pour chaque VLAN (ça, a priori je sais faire), puis router correctement les uns sur les autres selon mon humeur… (ça, je sais pas faire…!)]





Afficher la suite 

35 réponses

Répondre au sujet
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention - Modifié par brupala le 2/01/2018 à 23:16
+1
Utile
9
Salut,
bien sûr qu'il faut un réseau IP distinct pour chaque vlan.
je n'ai pas tout compris ce que tu as fait, mais les règles sont les suivantes:
un seul vlan non taggé sur un port.
autant de vlans taggés que l'on souhaite (max 4000), mais les mêmes doivent être taggés aux deux extrémités.
"un port peut appartenir à plusieurs VLAN"
si ils sont taggés seulement, donc, et encore, le port n'appartient à aucun vlan, c'est plutôt les vlans qui sont présent sur le port ou non, sauf pour le PVID (vlan par défaut si pas de tag ou tag inconnu, quoique le comportement peut varier sur le tag inconnu).
je ne sais pas comment tplink gère la notion de port trunk, elle varie suivant les constructeurs, reste que si le même vlan est présent sur deux switchs, il faut qu'il soit présent et taggé sur le port trunk entre les deux.
Après, je ne connais pas non plus le firewall zeroshell, mais je suppose que l'on peut choisr entre un mode routé et un mode bridgé, Si c'est routé, il faut que les réseaux ip correspondant aux vlan connectés soient présents.
Enfin,
il doit exister des forums spécifiques pour zeroshell non ?
En tout cas,
plutôt que limiter au niveau routage, il vaut mieux que tu crées des règles en fonction des plages IP


et ... Voili  Voilou  Voila !
Cette réponse vous a-t-elle aidé ?  
Bon, je tente une deuxième copie. Tu vas sans doute râler et me mettre une mauvaise note. J'assume!

1.
1.1 Je crée deux Vlan :
VLAN 10 en 192.168.10.xxx (VLAN internet, très ouvert)
VLAN 20 en 192.168.20.xxx (VLAN pour les PC bloqués)

1.2 Je tagge en 10 les ports de la plupart des PC et des imprimantes.

1.3 Je tagge en 20 les ports des PCs bloqués.

1.4 Je tagge en 10 et en 20 les ports trunk des switch [Quand j'y pense, c'est sans doute ce qui me bloquait quand je bidouillais uniquement des witch].

2.
2.1 Je route le VLAN 20 (ou plutôt la plage d'adresses en 20.xxx) pour qu'ils trouvent les imprimantes (ou bien même toutes les machines en 10.xxx). [Là, il faut que je tatonne sur ZeroShell]

2.2 Sur le pare-feu j'interdis au VLAN 20 (ou bien aux adresses correspondantes) l'accès à internet [Idem, il va falloir que je découvre]

Bon courage et merci!
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention > MP - 4 janv. 2018 à 15:24
Oui,
mais sur les switchs, tu mets le vlan 10 ou 20 par défaut qui va bien, mais tu ne le tagges pas.
il y a 9 chances sur 10 pour que les PC et imprimantes ne sachent pas lire et éliminer les tags, sur du cisco, on parle d'access ports.
Pour les réseaux Ip 10.xx et 20.xx , ils sont obligatoirement routés si connectés en mode routé sur zeroshell, il n'y a que par des règles firewall que tu peux limiter qui accède à quoi.
TB. Avec ça je vais pouvoir me lancer de nouveau. Je vais essayer tout ça lundi au plus tôt et je te tiendrai au courant. Encore merci pour tous ces conseils qui forment presque un tuto…
Brupala, grâce à toi je suis un demi-quart de dieu… Merci!
Voilà, mes Vlan fonctionnent.

La box est en 192.168.0.1

ZeroShell
Eth01 connectée à la box en dhcp
Eth00 connectée au switch 1 (192.168.1.2) connecté au switch 2 (192.168.1.3).

J'ai laissé un reseau standard sur ZeroShell en 192.168.1.1 qui permet que le réseau continue comme avant, en attendant d'avoir tout réglé sur les VLAN.
Vlan 10 Internet 192.168.10.1 (Avec DHCP)
Vlan 20 ReseauEth 192.168.20.1 (Avec DHCP)

Switch 1
Port 1 connecté au serveur (taggé en 10 et 20)
Port 2 connecté au switch 2 (taggé en 10 et 20)

Switch 2
Port 1 connecté au switch 1 (taggé en 10 et 20)


Le port qui me sert de test est le port 15 du switch 2.
Il est untaggé 20.
Par contre j'ai dû le marqué en 20 dans le PVID pour qu'il soit bien reconnu comme appartenant au VLAN 20.
Alors mon PC en DHCP reçoit une adresse en 192.168.20.xxx

J'ai eu un instant de vrai bonheur après deux mois de tatonnement. Merci.


Je ne suis qu'un demi-quart de dieu parce que je suis un peu coi devant le pare-feu.
Je quitte le commentaire de ta première réponse pour structurer la discussion…
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention > MP - 8 janv. 2018 à 15:09
Ma première réponse ...
houla,
j'ai donc signé un bail ...
bon bah yapuka :-)
Commenter la réponse de brupala
0
Utile
24
1. Je dois interdire aux adresses 192.168.20 l'accès à internet. Les règles du pare-feu me laissent perplexe… Je tatonne quand même un coup pour voir mais je serai heureux que tu m'indique ce qu'il faut faire.
[2. J'aimerais leur autoriser l'accès aux mails, mais je pense savoir faire une fois que je saurai faire le 1.]
3. Je dois interdire à un pc branché sur un port Vlan 20 de se connecter en manuel. Mais j'ai l'impression que ça bloque de toute façon s'il n'est pas dans la plage DHCP?

4. ??? Pourquoi est-ce que connecté au vlan 20, je vois le switch 192.168.1.2 mais non le 192.168.1.3 ?
En passant en manuel, en prenant une adresse en 192.168.1.10 avec route 192.168.1.1, j'accède aux deux switchs, mais pas à zéroshell ni internet. Parce que je ne respecte pas mon Vlan?

Merci!
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention - 10 janv. 2018 à 14:27
il y a effectivement un mystère ClamAV planqué mais c'est sans doute lié au proxy transparent.
je n'ai toujours pas compris ce qui ne fonctionne pas ...?
Il faut que je m'arrête là pour aujourd'hui. Ça me semble quand même plutôt venir du firewall, puisque si je rajoute une règle autorisant tout sur le vlan 20, les mails passent.
À moins que ce soit un mélange des deux? Est-ce que l'authentification se fait sur un nième port?
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention > MP - 10 janv. 2018 à 14:40
À moins que ce soit un mélange des deux? Est-ce que l'authentification se fait sur un nième port?
tu es sûr que ça n'est pas du webmail ?
....3eme fois.... ;-) ....
Après,
pour savoir vraiment, pas d'autre moyen qu'un coup de wireshark, ou un netstat à la limite .
3ème fois? T'es sûr? : )
Désolé… je suis un peu boulet… je ne comprends pas bien la question.
Est-ce que tu penses que ça vient du serveur de mail?
-> En effet je n'utilise pas un grand hébergeur type googlemail. Mais si c'était mon fournisseur, pourquoi est-ce que ça marcherait sur vlan 10 et pas 20?
Ou bien est-ce que tu penses que j'utilise une «messagerie à consulter sur internet»?
-> J'utilise Thunderbird.
brupala 75748 Messages postés lundi 16 juillet 2001Date d'inscriptionModérateurStatut 17 avril 2018 Dernière intervention > MP - 10 janv. 2018 à 16:27
OK,
thunderbird, c'est de la messagerie classique, pas du webmail.
Donc là tu vois les ports utilisés dans la configuration du client à la rubrique serveurs.
j'insistais, parce que je pensais que tu parlais de tes utilisateurs.
Commenter la réponse de MP