Auteur Sujet: Test et intérêt du *VLAN* (sur les ports) à la maison sur un switch administré  (Lu 16819 fois)

0 Membres et 1 Invité sur ce sujet

sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Pour beaucoup, l’option VLAN "port based" des switchs administrés n’aura pas d’intérêt.
Chez moi je l’utilise pour isoler le Wifi « invité » du reste du réseau.
Le port 1 est connecté à la BOX internet (je n'utilise pas son Wifi).
Le port 2 est un PC allumé en permanence. Je lui permets un l'accès l’interface du Wifi invité.
Le port 7 est le Wifi invité.

Du coup, les invités n’ont accès qu’à Internet (et au PC qui reste discret).
Les ordinateurs de la maison se voient entre eux et ignorent le wifi invité.

Les équipements communs sont sur les VLAN 1 & 2 (Box et PC).
Les équipements familiaux sont sur le VLAN 1.
Le Wifi invité uniquement sur le VLAN 2.
« Modifié: 19 juin 2019 à 09:35:37 par sim_v »

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #1 le: 15 juin 2019 à 18:10:54 »
Simple curiosité : Tu mets quoi comme règles de firewall entre les 2 VLAN ? Blocage de toutes les IP sauf la box ?

sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #2 le: 17 juin 2019 à 11:06:57 »
Aucune règle de firewall car ce switch est intercalé entre la box et un ensemble d'autres équipement réseau ( schéma : https://lafibre.info/raccordement-maison/installation-de-sim_v/msg624851/#msg624851 ). Le switch ne travaille qu'au niveau 2, pas IP. Du coup si un équipement wifi-invité veut pinguer le NAS, le switch bloque car le NAS est sur le VLAN1 uniquement. Le ping ne remontera pas à la box et ne revient donc pas par la box. Un équipement connecté directement à la box est de facto sur les 2 VLAN.

jdorel

  • Abonné Wifirst
  • *
  • Messages: 5
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #3 le: 17 juin 2019 à 12:36:49 »
Si je suis ton schéma, ta box opérateur est directement connecté à la fois aux réseaux 'Wifi Invité' et local. Par défaut, ton réseau  'Wifi Invité' a donc accés à ton NAS, à moins d'avoir des règles de filtrages.

Essaie un ping depuis le réseau invité vers ton NAS (directement l'adresse IP, pas de nom de domaine). Si tu ne peux pas ping, c'est que tu as soit:
  - des règles de filtrage sr ta 'Box Opérateur'
  - un routeur en ton réseau invité et ta 'Box Opérateur'. Typiquement ton Access Point Wifi n'est pas qu'un AP, mais aussi un routeur (et rempli la fonction de DHCP).

Electrocut

  • Abonné Orange Fibre
  • *
  • Messages: 512
  • Pont-Péan (35)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #4 le: 17 juin 2019 à 12:57:28 »
Ça me paraitrait logique que les communications "Réseau Invité" <-> NAS ne passent pas.
En effet, le switch ne transmettra par au NAS (VLAN 1) les requêtes ARP envoyée par le PC connecté au "Réseau invité" (VLAN 2).

En revanche, l'isolation entre VLAN1 et VLAN2 ne me parait pas suffisante, du fait que l'interface réseau de la Box est connectée aux 2 VLAN.

Exemple. Si depuis un équipement connecté au WiFi invité (VLAN2), j'applique la route ci-dessous :
- destination : <ip-NAS>
- masque : 255.255.255.255
- passerelle : <ip-BOX>

alors je peux envoyer du trafic au NAS, en utilisant la Box comme passerelle.

-> Il faudrait un sous-réseau IP différent par VLAN, et gérer des règles de pare-feu entre ces 2 sous-réseaux.

sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #5 le: 17 juin 2019 à 14:00:00 »
J'essaierai le coup de forcer la passerelle vers la box.

De mémoire le wifi invité est en mode routeur et donc un sous-réseau du réseau principal mais je testerais aussi bien avec le mode bridge que le mode routeur.
Par défaut en tous cas, les invités ne voit pas les autres équipements du réseau (PC, imprimantes, équipement multimédia).

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 973
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #6 le: 17 juin 2019 à 14:58:49 »
Tu ne dis pas si tes équipements sont tous dans le même sous-réseau au niveau IP (si adressage statique), on suppose que oui.
 
Les broadcast Ethernet, y compris les requêtes ARP, ne devraient pas traverser les 2 Vlans, donc à priori pas de communication IP possible entre équipements des vlans 1 et 2, sauf à manipuler le masque de sous-réseau des 2 côtés.
Un équipement sur le vlan 2 pourrait se placer dans un sous-réseau plus petit pour envoyer des paquets aux IP sur les Vlan 1 en utilisant la box en routeur, mais il n'y aurait pas de chemin retour puisque les équipements du Vlan 1 le verraient comme une adresse du même sous-réseau donc n'utiliseraient pas un routage par la box pour le retour mais une requête ARP pour déterminer l'adresse MAC, sans jamais de réponse car domaine de broadcast différent vu du switch donc non propagé aux autres ports.


sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #7 le: 17 juin 2019 à 15:24:57 »
Je valide ce soir mais le message de Thornhill correspond à l'idée que je me fais du fonctionnement de ces 2 VLAN.

Thornhill

  • Abonné SFR fibre FttH
  • *
  • Messages: 3 973
  • Saint-Médard-en-Jalles (33)
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #8 le: 17 juin 2019 à 15:29:43 »
Néanmoins, tu aurais peut-être intérêt à isoler réellement par un routeur/FW car en l'état un équipement mal intentionné sur le Vlan 2 a possibilité d'envoyer des paquets sur le Vlan1 (flood, dos, etc.)

sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #9 le: 17 juin 2019 à 15:40:52 »
Pas de souci car :
1- Le trafic broadcast est fortement limité sur le port 1/BOX (512 kb/s) (et 8 mbit/s sur les autres ports).
2- La borne est en 100 mbit/s ce qui limite naturellement l'usage de la bande passante.
3- Le Wifi invité est mis à disposition d'amis, c'est une maison, pas un hôtel.
4- Le Wifi invité est physiquement éteins si pas d'invité.
C'est ma fille qui s'en sert le plus pour les smartphones des copines.

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #10 le: 17 juin 2019 à 16:25:09 »
Et comment tu fais pour récupérer le trafic des VLAN sur la LB ? Car il me se semble pas que celle-ci soit capable de le gérer côté LAN (pas possible de les tagguer).

sim_v

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Gévezé 35
Test et intérêt du *VLAN* à la maison sur un switch administré
« Réponse #11 le: 17 juin 2019 à 16:28:15 »
C'est un VLAN basé sur les ports du switch, il n'y a -ici- pas d'information ajoutée dans les trames.
Embarquer le VLAN dans la trame c'est l'IEEE 8021Q qui n'est pas actif.