Auteur Sujet: WAN dans VLAN  (Lu 3926 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
WAN dans VLAN
« le: 18 octobre 2019 à 18:02:07 »
Bonsoir,
J'aimerai votre avis sur une configuration réseau que je voudrais mettre en place.

Je dispose chez moi d'un switch TP link SG-1024DE administrable sur lequel j'ai plusieurs VLAN.
Je souhaiterai mettre mon arrivé internet WAN (câble RJ45 sortant de mon ONT) sur ce switch sur un port attribué uniquement au VLAN WAN (le 1) et avec un PVID correspondant à ce VLAN. Puis je connecterai l'arrivée WAN de mon routeur OpenWrt sur un autre port de mon switch sur le VLAN WAN avec PVID 1 correspondant.
Avec l'isolation par les VLAN je ne devrai pas avoir de problème

Mais sur ce switch, il est impossible d'attribuer un VLAN pour l'administration. Ainsi on peut accéder à l'interface web d'administration via tous les ports du switch, quels que soient leurs VLAN. Cette interface est protégée par un mot de passe tout de même

Est ce que vous trouvez que cette configuration pourrait être dangereuse ? Dans le pire des cas, quelqu'un sur le WAN ne pourrait accéder "que" à l'interface du switch, le reste des VLAN étant isolés.
Est ce qu'il est possible depuis le WAN d'accéder à l'administration du switch ? Puisque ce dernier a une IP locale normalement non accessible sans NAT ?
Je me dis également que si quelqu'un d'autre que mon FAI a accès à mon WAN (exemple man-in-the-middle) j'ai probablement d'autres soucis à me faire que l'accès à l'administration de mon switch.

Merci de me dire ce que vous en pensez  :)

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 190
WAN dans VLAN
« Réponse #1 le: 18 octobre 2019 à 20:20:48 »
Il n'y a pas de la possibilité de faire des VLANs non routés sur ce switch ? Comment on y accède à l'administration ?

retho

  • Abonné Free fibre
  • *
  • Messages: 37
  • 29
WAN dans VLAN
« Réponse #2 le: 18 octobre 2019 à 20:42:32 »
Déjà tu mets le port de ton switch coté WAN-ONT en "le numéro de vlan que tu veux" en vlan natif, pareil coté WAN routeur.

Comme ceci, ton arrivé WAN ONT va pouvoir communiquer seulement avec ton WAN routeur, bien sur, sur le switch, tout les autre ports doivent être exclut de ce vlan. Et c'est également important que cela soit en natif, (ou untag pour les ciscosien si tu veux).

Ensuite, pour l’accès a l'interface de ton switch, je pense juste que ton routeur route les différents réseaux chez toi entre eux, donc de n'importe quel réseau tu as accès a l'interface de ton switch. Il suffirait au premier abord d'enlever les routes entre vlan qui n'ont pas lieu d’être pour que tu n'y ai plus accès que depuis le réseau que tu veux (je pense que c'est cela qui se passe pour toi, je ne connais pas ton réseau).

Pour le management de ton switch, généralement, tu mets une IP, un masque de sous-réseau et une passerelle a ton switch, suivant ton modele, soit tu dois le mettre dans un vlan, soit il se met dans le vlan par defaut (vlan 1 généralement)

retho

  • Abonné Free fibre
  • *
  • Messages: 37
  • 29
WAN dans VLAN
« Réponse #3 le: 18 octobre 2019 à 20:59:43 »
J'ai regardé la doc de ton switch.

Donc tu devrais utilisé le 802.1q et affecté un vlan pour ton WAN (vlan 99 par exemple).

Ensuite, admettons que tu utilises le port 23 et 24 pour respectivement ton WAN-ONT et ton WANT-ROUTEUR, alors ces 2 ports la devrait être en vlan 99 untag.

tu devrais voir dans la ligne vlan 99 ceci a peux près : VLAN : 99, VLAN NAME : "ce que tu veux", Member ports : 23-24, Tagged ports : "vide",  Untagged vlan : 23-24.


maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
WAN dans VLAN
« Réponse #4 le: 19 octobre 2019 à 15:41:44 »
Il n'y a pas de la possibilité de faire des VLANs non routés sur ce switch ? Comment on y accède à l'administration ?
Ce switch n'est administré que par son interface web, qui est accéssible depuis tous les ports quels que soit les VLAN attribués sur ce port.

Déjà tu mets le port de ton switch coté WAN-ONT en "le numéro de vlan que tu veux" en vlan natif, pareil coté WAN routeur.

Comme ceci, ton arrivé WAN ONT va pouvoir communiquer seulement avec ton WAN routeur, bien sur, sur le switch, tout les autre ports doivent être exclut de ce vlan. Et c'est également important que cela soit en natif, (ou untag pour les ciscosien si tu veux).
J'ai regardé la doc de ton switch.

Donc tu devrais utilisé le 802.1q et affecté un vlan pour ton WAN (vlan 99 par exemple).

Ensuite, admettons que tu utilises le port 23 et 24 pour respectivement ton WAN-ONT et ton WANT-ROUTEUR, alors ces 2 ports la devrait être en vlan 99 untag.

tu devrais voir dans la ligne vlan 99 ceci a peux près : VLAN : 99, VLAN NAME : "ce que tu veux", Member ports : 23-24, Tagged ports : "vide",  Untagged vlan : 23-24.
C'est ce que j'ai déja mis en place effet : sur le VLAN 1 j'ai mes ports 23 et 24 (mais aussi 21 et 22 sur lesquels rien n'est branché pour le moment mais qui serviront plus tard pour du monitoring) en "untag" et le VLAN 1 (qui est nommé WAN) n'est accessible que sur ces ports là.

Ensuite, pour l’accès a l'interface de ton switch, je pense juste que ton routeur route les différents réseaux chez toi entre eux, donc de n'importe quel réseau tu as accès a l'interface de ton switch. Il suffirait au premier abord d'enlever les routes entre vlan qui n'ont pas lieu d’être pour que tu n'y ai plus accès que depuis le réseau que tu veux (je pense que c'est cela qui se passe pour toi, je ne connais pas ton réseau).
De ce que je vois justement non, mon switch est accessible sur tous les ports, et ce même sans avoir de routeur branché dessus. Cela ne passe pas par un routage.

Pour le management de ton switch, généralement, tu mets une IP, un masque de sous-réseau et une passerelle a ton switch, suivant ton modele, soit tu dois le mettre dans un vlan, soit il se met dans le vlan par defaut (vlan 1 généralement)
Les seuls paramètres que j'ai de disponible pour l'administration du switch c'est son IP : je lui mets soit une IP fixe soit dynamique adressée par un serveur DHCP. Je n'ai pas moyen de le mettre dans un VLAN en particulier, et il est accessible quel que soit le VLAN (par exemple sur le port 11 sur lequel est branché mon PC, avec le VLAN3 que est mon LAN, et sur ce port le VLAN 1 est désactivé, et pourtant j'ai quand même accès à l'administration)

En gros ce que j'aimerai savoir c'est si depuis le WAN mon FAI pourrait avoir accès à cette interface d'administration qui a une IP locale. Je demande parce que même si mon FAI est branché directement sur un port de ce switch, le WAN n'est pas censé pouvoir accéder aux IP locales non ?

Merci pour vos réponse :)

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 190
WAN dans VLAN
« Réponse #5 le: 19 octobre 2019 à 20:00:34 »
Moué ... Sans savoir comment il fait la magie pour être accessible par n'importe qui, difficile de savoir. Une trace réseau peut aider.

Sinon, Il est en ip fixe ? Tu y accède en html ou avec un client propriétaire ?


maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
WAN dans VLAN
« Réponse #6 le: 19 octobre 2019 à 20:09:46 »
Au début je croyais que l'administration du switch n'était disponible que sur le VLAN1 (qui était nommé "default"). Mais j'y ai accès depuis des ports qui n'ont pas accès au VLAN1 (que j'ai d’ailleurs renommé). Et comme il n'y a aucun moyen de paramétrer le port ou VLAN qui permet l'administration, j'en conclu que celle ci est accessible depuis tous les ports sur tous les VLAN.

Sinon oui je l'ai configuré avec une IP fixe.
Je peux accéder à cette administration sur une page web HTML +/- Javascript. Il existe également un logiciel pour administrer le switch, mais qui a les mêmes fonctionnalités que l'interface web, donc sans grand intérêt.

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 190
WAN dans VLAN
« Réponse #7 le: 19 octobre 2019 à 22:10:28 »
Si je comprends bien, le switch est en écoute avec la même ip sur tous les ports, en violation de l'isolation des VLAN de la CPU. Je suppose aussi que tu t'y connectes à chaque fois avec une ip du même subnet. Aucune option qq part pour désactiver ce comportenent ?

Ton FAI pourrait *peut-être* créer un subnet correspondant à celui du management, trouver l'ip etc mais je vois pas leur intérêt à çà.

Venant d'internet, personne ne peut envoyer de paquets à cette adresse locale. Mais vu les capacités  "créatives" du designer ... méfiance sur d'autres vulnérabilités.

Edit :
j'ai eu du mal le retrouver, voir ce chapitre sur une faille 'bounce' amenant la possiblité d'accès à un subnet privé depuis le net (sans tomber dans la parano cependant...) en jouant sur l'ip source du paquet malveillant.

III.B.2 Access via the outside WAN (IP)
de cette page : https://vulners.com/securityvulns/SECURITYVULNS:DOC:1489




« Modifié: 19 octobre 2019 à 22:41:31 par Catalyst »

maximushugus

  • Abonné SFR fibre FttH
  • *
  • Messages: 258
  • 69
WAN dans VLAN
« Réponse #8 le: 19 octobre 2019 à 22:56:08 »
Si je comprends bien, le switch est en écoute avec la même ip sur tous les ports, en violation de l'isolation des VLAN de la CPU. Je suppose aussi que tu t'y connectes à chaque fois avec une ip du même subnet. Aucune option qq part pour désactiver ce comportenent ?
Oui en gros c'est ça : le switch est accessible via cette IP fixe que je lui ai configurée sur l'ensemble de ses ports, quel que soit le(s) qui sont attribué(s). Ainsi quel que soit le port, si je configure mon PC avec une IP du même subnet que celle du switch, je peux accéder à cette interface d'administration. C'est un peu logique étant donné que c'est une IP fixe que le switch s'attribue lui même.
En revanche les VLAN fonctionnent bel et bien : je ne peux pas accéder, de n'importe quelle façon à un autre VLAN si ce dernier n'est pas configuré sur le port en question.

Venant d'internet, personne ne peut envoyer de paquets à cette adresse locale.
C'est ce que je cherchais à savoir et ce qu'il me semblait :)

Ton FAI pourrait *peut-être* créer un subnet correspondant à celui du management, trouver l'ip etc mais je vois pas leur intérêt à çà.
Oui il faudrait qu'ils créent ce subnet, qui soit en lien avec ma connexion, et qu'ils accèdent à cette IP en particulier. Et quand bien même mon FAI ferait ça, il y a encore la protection par mot de passe de cette interface d'administration.