Bonjour,

C'est normal, l'ERL route les paquets d'un LAN à l'autre.
Si tu veux que tes deux LAN soient étanches, il faut ajouter des règles firewall pour empêcher le trafic entre eux.

Merci de ta réponse. En fait ça me convient, mais je voulais comprendre pourquoi.
Passer d'une box à l'ERL, va me demander un sacré temps d'apprentissage, mais c'est passionnant.

J'ai un soucis que je ne comprend pas. J'ai remplace la partie routeur de la livebox par un ERL, et je l'ai conservé pour la partie TV / Telephonne.
Comme évoqué avant, les deux lans en 192.168.1.X et 192.168.15.X peuvent communiquer entre eux.
Sur le port lan de l'ERL, j'ai un routeur TP Link archer C9 en mode point d'accès wifi. Tous mes équipements sont branchés dessus (NAS, TimeCapsule...) et portable, tablette en Wifi
Sur la partie TV, j'ai donc un switch, avec dessus le decodeur et un raspberry Pi avec Kodi. L'adresse IP du raspberry PI est donc en 192.168.15.3. Lorsque je veux me connecter en ssh ou sur l'IHM web de kodi, ca ne fonctionne pas à partir de mon mac connecté en réseau wifi (donc en 192.168.1.x). J'ai l'impression aussi que la partie net du raspberry pi est lente, mais ca a la limite c'est un autre soucis.
De plus, dans l'IHM de l'ERL, à aucun endroit sur le serveur DHCP de la partie TV je ne vois le lease du raspberry PI (qui lui est bien configuré pour se connecter en dhcp sur le reseau). Je ne vois pas non plus le boitier TV.

Pourquoi je n'arrive pas à communiquer avec mon raspberry ? (Pour info complèmentaire, j'arrive, à partir de mon raspberry pi, à accéder à mon NAS qui est en 192.168.1.x aux partages samba)

merci pour votre aide

le dhcp de la box n est pas desactivé ? Il me semblait que si, c'est l ERL qui a deux serveurs DHCP.
Pour le coté on met tout sur le même reseau, à part brancher le rpi en wifi, je ne vois pas comment faire, à moins que je loupe quelque chose.

Voici ma config pour un vlan dédié "invité"

Il faut: créer l'interface eth0.10 dans mon cas + dhcp

Créer des groupes : (plus facile a manager après)

Code: [Sélectionner]

    group {
        network-group LAN1 {
            description "private lan 2.3.4"
            network 192.168.2.0/24
            network 192.168.3.0/24
            network 192.168.4.0/24
        }
        port-group ROUTER_ACCESS {
            description "ssh and https"
            port ssh
            port https
        }
    }

Créer les règles du FW : (j'ai mis une exception pour mon nas, et sur wan local cela empêche de se connecter à l'ERL)
 

Code: [Sélectionner]

  name GUEST_IN {
        default-action accept
        description ""
        rule 1 {
            action accept
            description "accept guest to nas"
            destination {
                address 192.168.2.2
            }
            log disable
            protocol all
        }
        rule 2 {
            action drop
            description "prevent communication between Local and Guest networks"
            destination {
                group {
                    network-group LAN1
                }
            }
            log disable
            protocol all
        }
    }
    name GUEST_LOCAL {
        default-action accept
        description ""
        rule 1 {
            action drop
            description "prevent Guests from accessing router config"
            destination {
                group {
                    port-group ROUTER_ACCESS
                }
            }
            log disable
            protocol all
        }
    }
Ensuite on applique le FW

Code: [Sélectionner]

        vif 10 {
            address 192.168.10.1/24
            description guest
            firewall {
                in {
                    name GUEST_IN
                }
                local {
                    name GUEST_LOCAL
                }
            }
        }

Si quelqu'un connaît le principe de private vlan sur cisco, je veux bien entendre parler de lui.  Pour l'instant tous mes guest peuvent communiquer

Merci pour la conf. C'est un peu à ça que je pensais.
J'ai regardé du côté du firewall "par zone", mais j'ai un peu peur de vite rentrer dans des trucs un peu bizarres, entre les interfaces routées, celles qui sot bridgées etc... Du coup effectivement la solution avec des acl par interfaces me semble la moins compliquée à maintenir.

Pour l'équivalent de "private vlan", pour moi ça serait plus à l'AP de le gérer éventuellement. Pas certain que ça soit possible...
Après bon, je ne gère pas un réseau public. Mon idée est que mes invités puissent accéder à internet sans venir mettre le souk dans mon LAN. Qu'ils se voient entre eux, ça ne me dérange pas 

Déjà lire la doc sera un bon début et surtout y'a la RC1 qui vient de sortir, t'as pris la B2 pour le fun

Déjà lire la doc sera un bon début et surtout y'a la RC1 qui vient de sortir, t'as pris la B2 pour le fun

RC1 téléchargée aussi, mais l'idiot le monsieur d'UPS s'est pointé à la mauvaise heure, je n'aurai la bête que demain...

En attendant, oui, je lis, j'ai l'impression de savoir (presque) tout faire, en théorie