Auteur Sujet: VLAN / isolation invités  (Lu 4347 fois)

0 Membres et 1 Invité sur ce sujet

Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« le: 29 septembre 2020 à 20:28:40 »
Bonjour,

Je possède le routeur NB6 de SFR.

Derrière, j'y ai collé un switch HP ProCurve 1810-24G.

Le LAN du NB6 est sur le port 1 du switch.

Dans ma maison, j'ai une chambre invités, avec 2 prises RJ45 reliées au switch ( ports 13 et 14 ).
Je souhaiterai que ces 2 ports ne puissent avoir accès qu'à internet, mais pas au reste du réseau.

Je pensais naïvement que la fonction VLAN du switch permettrait de gérer ça, mais je ne parviens pas à obtenir ce que je veux.

J'ai créé 3 VLAN : le VLAN1 pour le port 1, le VLAN2 pour les ports 2 à 12, et le VLAN3 pour les ports 13 et 14.
Impossible de faire en sorte que les ports 13 et 14 aient accès à internet.

J'ai sans doute raté un truc quelque part.

Je crois avoir compris qu'il me fait :
- le port 1 en Tagged sur le VLAN3, Untagged sur le VLAN1
- le port 13 en Untagged sur le VLAN3, Tagged sur le VLAN1

Mais rien à faire, ça ne fonctionne pas.

Une idée ?

Merci pour votre aide.
 

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
VLAN / isolation invités
« Réponse #1 le: 29 septembre 2020 à 21:57:00 »
Les vlans sont comme des réseaux physiques distincts, tu ne peux pas avec un seul lien vers la NB6 avoir 2 réseaux séparés sauf si elle même sait gérer des vlans. du moins pas avec un switch simple.

Le problème est pour les paquets dans le sens nb6 -> switch , le switch ne peut ajouter qu'un pvid, vlan2 ou vlan3 et pas un des 2 dynamiquement en fonction de l'adresse mac de destination. Il faudrait 2 cables vers la NB6 pour cela.

Mais cela ne résout pas le problème non plus car même si les 2 réseaux seront bien séparés ils pourront quand même communiquer ensemble via la NB6 via son switch interne (ca revient a relier les 2 réseaux qu'on a séparé...)

Ce que tu as besoin c'est soit:
 - d'un routeur vers les invités (faudra par exemple faire du double-nat vers les invités et bloquer leur trafic vers le reste sauf la nb6)
 - d'un switch capable d'interdire le trafic entres certains ports (fonctionnalité "Private VLAN" dans certains jargons). En général c'est pas sur des switch entrée de gamme...
 - d'un switch avec des acces-lists L2 ou L3 (mais faut gérer des adresses MAC ou IP). idem ca peut couter un bras. un routeur est moins cher en général.





Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« Réponse #2 le: 29 septembre 2020 à 23:29:05 »
Bonsoir, merci pour ta réponse.

Je suis étonné de voir qu'il faut un "gros matos", de nos jours, pour simplement créer un réseau isolé :(

Le switch de la NB6 ne gérant pas le VLAN, es-ce que l'ajout d'un second switch (ProCurve 1810) permettrait de résoudre le problème ?
Si je mets le réseau privé sur le switch actuel, et que je mets le réseau invité sur le switch 2 ?

Sinon je réfléchis à ta solution avec routeur, car j'en ai justement un derrière le switch, qui sert de routeur wifi (+4 ports LAN qui me sont inutiles pour l'instant).

Voici mon architecture actuelle.
J'aimerai pouvoir mettre un réseau wifi invité, et 2 prises RJ45 invités.

Mon routeur Archer C6 peut gérer le VLAN (je n'ai pas essayé) et le wifi invité.

Par contre, pour avoir essayé, si je mets connecte au réseau invité : je suis effectivement isolé des autres équipements reliés au routeur, mais je peux toujours pinger et voir le NAS.

Bref, je suis pas contre un peu d'aide :p

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
VLAN / isolation invités
« Réponse #3 le: 29 septembre 2020 à 23:47:05 »
Il faut un routeur pour router les différents VLANs, sinon ils seront isolés, même d'internet :)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
VLAN / isolation invités
« Réponse #4 le: 30 septembre 2020 à 00:44:46 »
Vu ton dessin t'as pas besoin de vlan.

Tu peux dédier ton Archer C6 aux invités:
- wifi (pas "invité", mais normal que pour eux)
- 2 ports pour eux (meme 4 en fait)
- le 1 port (wan) vers ton réseau

ensuite il faut mettre en place une règle firewall dans l'Archer C6 qui interdit a 172.18.11.0/25 d'accéder a autre chose que 192.168.0.254 et Internet. A priori ( je n'ai pas cherché trop longtemps) mais l'interface de base ne permet pas cela ( du moins celle qui est simulée ici: https://emulator.tp-link.com/c6-us-v2/index.html ).
Mais l'Archer C6 peut-être passé sous OpenWrt (voir https://openwrt.org/toh/tp-link/tp-link_archer_c6_v2, attention a pas planter le routeur) et la tout devient possible, même le gestion des vlans (mais t'as vraiment pas besoin de vlan vu ton cas).




Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« Réponse #5 le: 30 septembre 2020 à 11:45:57 »
Oui mais si je fais ce que tu dis je perds le Wifi "normal".

J'ai installé OpenWRT sur l'Archer C6.

Avec le schéma suivant : NB6 -> 1 lien ethernet vers le port WAN de l'Archer C6 sous OpenWRT -> lien ethernet vers le port 1 du HP ProCurve

Ca devrait être faisable, vu que dans ce cas l'Archer C6 pourrait servir de routeur avec gestion VLAN ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
VLAN / isolation invités
« Réponse #6 le: 30 septembre 2020 à 20:13:52 »
Si l'Archer n'est pas dédié aux invités dans ce cas tu peux faire 2 wifi dessus (4 en pratique) et utiliser des règles d'isolation.
Je répète: tu n'a pas besoin de VLAN avec le Procurve. Le seul cas ou il faut des VLAN avec le Procurve c'est si tu veux avoir des ports "invité" sur le ProCurve ce qui ne correspond pas a ton dessin.

OpenWrt te permet de faire a peu près tout ce que tu veux. En pratique tu vas avoir 3 interfaces virtuelles (lan, wan, guest) et pour chacune tu  décide quelle interfaces physiques sont dedans (pour le wifi tu aura 4 interfaces: 2 "invité", 2 "normal" pour 2.4Ghz et 5Ghz)

voir https://openwrt.org/docs/guide-user/network/wifi/guestwifi/guest-wlan-webinterface

le truc a comprendre est la:



Pour chaque 'boite' (interface virtuelle) il y a dedans une ou plusieurs interface physique ("lan" par exemple a 2 wifi et un port Ethernet bridgés ensemble). Cela est configurable comme on souhaite, suivant son besoin.

Tu peux éviter le double nat pour le "wifi normal" en le bridgeant avec WAN par exemple (dans ton dessin ton portable en 172.18.11.2 fait du NAT pour accéder a NAS , PC1 et PC2 et donc du double NAT pour accéder a Internet. Ce n'est pas nécessaire).

Tout ce règle ensuite dans la partie firewall en définissant des zones et des isolations entre elles. La notion de 'guest' est purement une convention qui correspond a des réglages de firewall, rien de plus.


Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« Réponse #7 le: 01 octobre 2020 à 14:23:46 »
Bonjour,

Merci pour ta réponse, elle m'a bien aidé.

J'ai bien avancé.
J'aimerais aller jusqu'à la mise en place des vlan, pour des raisons pratiques mais aussi pour apprendre.

Ma configuration actuelle :
NB6 --> port WAN de l'Archer sous OpenWRT ----> port LAN 1 de l'Archer ---> Port 1 du Procurve

Sous cette config, j'ai mis en place :
- le réseau privé WiFi via l'Archer, câblé via le ProCurve : 192.168.1.0/24
- le réseau invité WiFi via l'Archer ("CocoGuest") : 192.168.3.0/24

Il me reste donc cette gestion des VLAN entre OpenWRT et Procurve.
Côté ProCurve, je vois bien comment faire : port 1 en en VLAN1, ports privé en VLAN2, ports invité en VLAN3
Côté OpenWRT, ça se gâte ..

J'ai tenté de créer une nouvelle interface "LANGuest" ( 192.168.2.0/24 ), mais c'est au niveau de la configuration du switch que je pèche.
Dès que je tente de brancher le ProCurve sur le port LAN (2) de l'Archer que j'ai configuré comme je pense qu'il faut, tout ce qui est derrière le procurve ne fonctionne plus.
J'ai cherché des tuto à ce sujet sur le web, sans succès.
Une idée ?

Merci.


Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« Réponse #8 le: 01 octobre 2020 à 15:14:12 »
Correction, j'ai rien dit, ça fonctionne !

C'est génial  ;D ;D

Kuikui

  • Abonné SFR adsl
  • *
  • Messages: 6
VLAN / isolation invités
« Réponse #9 le: 01 octobre 2020 à 19:14:07 »
Petite question :

Il arrive parfois que l'on se connecte avec un PC portable (du réseau privé) sur une des prises invités.
Est-il possible, au niveau du routeur sous OpenWRT, de créer une règle qui va changer le VLAN ID en fonction d'une adresse MAC définie ?

Merci.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
VLAN / isolation invités
« Réponse #10 le: 01 octobre 2020 à 19:39:43 »
Petite question :

Il arrive parfois que l'on se connecte avec un PC portable (du réseau privé) sur une des prises invités.
Est-il possible, au niveau du routeur sous OpenWRT, de créer une règle qui va changer le VLAN ID en fonction d'une adresse MAC définie ?

Merci.

c'est éventuellement possible mais très complexe. Ca va dépendre de ton routeur. En Wifi c'est plus facile qu'en "wired". Google "openwrt wired 802.1X"

Il est plus sur et simple de faire un VPN (avec wireguard par exemple)