Auteur Sujet: IPv6, VLAN et Windows  (Lu 2387 fois)

0 Membres et 1 Invité sur ce sujet

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6, VLAN et Windows
« le: 01 avril 2022 à 10:26:30 »
Bonjour, je viens quémander de l'aide sur un "problème" que je traine depuis maintenant quelque temps et dont je n'arrive pas à trouver de solution satisfaisante.
J'ai actuellement un réseau (en v4) composé de 3 VLANs et autant de sous réseau :

- VLAN 1 : DATA (le VLAN pour les PCs, imprimantes, etc ...)
- VLAN 101 : VOIP (le VLAN dédié au téléphone fixe, se sont les téléphones qui s'occupent de tagguer le VLAN, les ports des switchs ne taggue que le VLAN 1)
- VLAN 102 : GUEST (le VLAN dédié au WIFI invité, c'est la borne qui taggue le VLAN, les ports du switchs ne taggue que le VLAN 1)

En adressage réseau cela nous donne :

- VLAN 1 : 10.1.0.0/16
- VLAN 101 : 10.101.0.0/16
- VLAN 102 : 10.102.0.0/16
La passerelle est toujours en 10.x.0.1

Ce qui est important à retenir pour la suite est la configuration des switchs. Tous les ports laissent passer les VLANs 1, 101 et 102 mais ne taggue que le 1. Cela me permet de brancher un téléphone fixe sur n'importe quelle prise RJ45 et me trouver dans le bon VLAN. De même pour les bornes WIFI, je n'ai pas de port dédié, je me mets où je veux et taggue le VLAN qui va bien.

En v4, jusque la tout va bien, chaque équipement récupère une adresse IP dans le bon réseau, et je gère donc le trafic inter-vlan depuis mon pare-feu.

Dans l'optique de tester un LAN en v6, pour me former et également expérimenter la chose, je me lance alors dans l'adressage de mon réseau en dual-stack. Mon FAI ne me proposant pas encore d'IPv6 publique, je vais d'abord tout adresser en ULA pour au moins avoir mon trafic interne en v6.

La plan d'adressage retenu est très simple :

- VLAN 1 : fdd7:7b9f:a23f:1::/64
- VLAN 101 : fdd7:7b9f:a23f:101::/64
- VLAN 102 : fdd7:7b9f:a23f:102::/64
La passerelle est toujours en fdd7:7b9f:a23f:x::1/64

Le problème se trouve alors sur la diffusion des RA sur les PCs Windows. En effet, mes téléphones récupère bien la bonne IP (s'auto-configure une bonne IP plutôt), les appareils en WIFI de même, SAUF QUE depuis un PC sous Windows (10 en l'occurrence), je récupère une adresse IP dans le VLAN 1, 101 et 102.
Les RA se diffusant en multicast, ils arrivent donc sur tous les ports du switch (vu qu'ils ont tous les trois VLAN), et de ce que j'ai compris (et expérimenté), Windows ignore l'entête VLAN du paquet et prends en compte les RA de chaque VLAN.

Du coup, depuis un PC avec les trois IPs, lorsque je veux contacter une machine du VLAN 101 par exemple, windows va par défaut essayer de le contacter avec son IP étant dans le même réseau, celle en 101 donc. Sauf que le trafic sortant du PC va remonter au switch par le VLAN 1 (taggué par le switch) et ne trouver aucune machine avec cette IP  :-\


Je ne sais pas quoi faire par rapport à ça, si vous avez une IP ou une expérience similaire je veux bien des conseils svp  :-[

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6, VLAN et Windows
« Réponse #1 le: 05 avril 2022 à 11:31:48 »
J'ai lu sur des forums que la prise en charge des VLANs n'est pas du ressort de windows mais du pilote de la carte réseau. J'ai donc réinstallé le pilote de ma carte réseau, celle-ci et donc bien reconnu et possède le dernier pilote disponible. J'ai bien un onglet VLAN qui apparait dans le gestionnaire de pilotes, cependant aucunes améliorations à constater, mon PC continue de s'attribuer une adresse dans tous les VLANs qu'il voit passer  ::)

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6, VLAN et Windows
« Réponse #2 le: 05 avril 2022 à 18:53:19 »
J'ai pas trop compris ton problème, mais si ton PC participe dans 3 VLANs, qui au niveau du switch sont bien configurés pour lui arriver , alors il va posséder 3 adresses (minimum), une par VLAN. C'est juste normal.

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6, VLAN et Windows
« Réponse #3 le: 05 avril 2022 à 19:08:39 »
J'ai pas trop compris ton problème, mais si ton PC participe dans 3 VLANs, qui au niveau du switch sont bien configurés pour lui arriver , alors il va posséder 3 adresses (minimum), une par VLAN. C'est juste normal.

En fait, sur mes switchs (des zyxel en l'occurence) j'ai ces possibilités pour la configuration des ports :

Citer
- "Interdit" = interdire à ce Port de rejoindre le VLAN
- “Exclus” = supprimer l'appartenance de ce Port
- "Tagged" = un paquet entrant avec le tag VLAN correct sera transféré
- “Untagged” = Un paquet non étiqueté provenant d'un client qui ne peut pas envoyer de paquets VLAN marqués (par exemple, un ordinateur) sera transféré dans le VLAN. Un PVID pour ce Port sera nécessaire!
Source : https://support.zyxel.eu/hc/fr/articles/360001390814-Comment-configurer-le-VLAN-sur-le-Zyxel-Switch

Le but de ma configuration, est de passer le trafic des périphériques qui ne tague pas de VLAN sur le VLAN par défaut (le 1), en laissant la possibilité à un équipement capable de tagguer un VLAN de choisir le sien :

Mes ports ont donc :
- VLAN 1 : Untagged
- VLAN 101 : Tagged
- VLAN 102 : Tagged

Ce que j'essaie d'avoir (et que j'ai très bien en V4), est de pouvoir :

- Brancher un PC sur n'importe quel port et récupérer une IP dans le VLAN 1
- Brancher un téléphone fixe sur n'importe quel port et récupérer une IP dans le VLAN 101

C'est cela qui m'oblige à tagguer les VLANS sur tous les ports.

Le problème vient de la manière dont les adresses sont attribués, en V4, le PC demande une IP au serveur DHCP. Cette demande remonte alors au serveur DHCP, par le VLAN 1.
Cependant, en V6, mon PC se retrouve à utiliser tous les RA qu'ils voient passer. Et je n'arrive pas à gérer les VLANs sur mes machines windows.

Je ne sais pas si je suis clair sur l'architecture que je cherche. Je ne dis pas qu'il y a un problème, mais je n'arrive pas à trouver de solution qui ne me fasse pas régresser par rapport à la flexibilité que j'avais.

As-tu une idée ou déjà expérimenté la chose ? Je suis prêt à revoir l'architecture de cette solution, j'expérimente et cherche juste la solution la plus viable et la plus flexible au niveau de l'utilisation  ;D

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6, VLAN et Windows
« Réponse #4 le: 05 avril 2022 à 19:30:28 »
Il suffit de ne pas participer dans les VLANs que tu ne veux pas du coup.

Si tu ne veux pas que la machine Windows participe au VLAN X , il suffit de ne pas monter d'interface sur le VLAN X.

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6, VLAN et Windows
« Réponse #5 le: 05 avril 2022 à 19:40:12 »
Il suffit de ne pas participer dans les VLANs que tu ne veux pas du coup.

Si tu ne veux pas que la machine Windows participe au VLAN X , il suffit de ne pas monter d'interface sur le VLAN X.

Et donc de dédier des ports du switch aux PCs et des ports aux téléphones. Je perds donc la possibilité de brancher mes appareils où je veux :/

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6, VLAN et Windows
« Réponse #6 le: 05 avril 2022 à 19:45:34 »
Bah en théorie sur un switch, chacun sa place et chaque port une étiquette (quand on renforce pas en 802.1X).
En théorie, les ports devices sont en mode accès , et les trunk en trunk. Avec du Ingress filtering pour renforcer un peu plus la sécurité.

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6, VLAN et Windows
« Réponse #7 le: 05 avril 2022 à 19:52:55 »
Bah en théorie sur un switch, chacun sa place et chaque port une étiquette (quand on renforce pas en 802.1X).
En théorie, les ports devices sont en mode accès , et les trunk en trunk. Avec du Ingress filtering pour renforcer un peu plus la sécurité.

Oui, dans l'absolu je suis d'accord avec toi. Seulement j'avais cette possibilité de configuration sur mes switchs zyxel, que j'ai trouvé vraiment sympa à l'usage. Je trouve juste dommage de ne pas réussir à transposer ça en V6.

Évidemment qu'en réservant un port par devices au niveau du switch je ne rencontre pas le problème. Mais le but du topic n'est pas de trouver une solution qui "marche juste", je voulais savoir si quelqu'un avait une idée pour faire fonctionner cette situation en particulier.

Si tu me dis que cette solution n'est pas propre et que c'est une aberration de faire fonctionner mes VLANs de cette façon, soit, je finirai bien par y revenir si j'y trouve plus de problèmes qu'autre chose  :-\

Merci quand même en tout cas :)

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6, VLAN et Windows
« Réponse #8 le: 05 avril 2022 à 20:03:40 »
Sinon, fait en sorte que tes machines Windows ne participent pas dans les VLANs qui leurs sont forwardés par le switch.
De cette manière, ils n'auront pas d'adresse IP dessus. Il suffit de ne pas monter d'interface sur ces VLANs.