Jump to content

[Résolu] configuration Switch pour isolation d'un réseau


Recommended Posts

Bonjour,

à la suite de mon précedent post ->

et vu que je suis une quiche en réseau, j'aimerai savoir s'il est possible, sur un switch manageable, d'isoler un réseau d'un autre afin de mettre un routeur entre les deux réseaux.

Est-ce qu'il faut utiliser un VLAN? comment on fait? sachant que c'est pour récupérer le réseau local ( 192.168.2.0/24 ) qui sort d'une Livebox (donc zéro configuration possible quasiment) le faire rentrer dans mon routeur pour bénéficier d'une meilleure gestion DHCP/NAT/Firewall que celle de la LB puis faire sortir le réseau local du Linksys ( 192.168.1.0/24 ) pour le redispatcher sur le switch pour tous les autres ports. Il n'y aurait donc que deux ports du switch à part.

question subsidiaire: est-ce qu'on peut le faire sur les ports Hybrides SFP/Ethernet?

le switch en question : Linksys LGS318

l'interface ressemble à ça:
image.thumb.png.aa85a88231f94763b8be0ec6a677aa60.png

Edited by Minikea
résolu et testé
Link to comment
Share on other sites

Posted (edited)

oui deux réseaux locaux séparés. le réseau local qui sort de la LB va entrer dans le routeur et un autre réseau local qui sort du routeur et sera le seul réseau local utilisé par les équipements (PC, smartphone, etc)

le schéma vite fait de ce que je voudrais :

VDSL -(90.x.x.x )-> LB -( 192.168.2.0/24 )-> Switch Linksys --> Routeur Linksys -( 192.168.1.0/24 )-> Switch Linksys --> PC

actuellement ma configuration est celle-ci :

VDSL -(90.x.x.x )-> LB -( 192.168.2.0/24 )-> Switch noname --> Routeur Linksys -( 192.168.1.0/24 )-> Switch Linksys --> PC

donc ça fonctionne et les réseaux sont bien isolés mais j'aimerai me passer d'un switch et ne garder que le Linksys manageable, si possible.

Edited by Minikea
Link to comment
Share on other sites

Réseau A -- Routeur -- Réseau B

Sur le réseau A tu tag en vlan 1 les ports utilisés.  Sur le routeur tu tag aussi la vlan 1 sur le port qui fait de la liaison switch réseau A.
Sur le réseau B tu tag en vlan 2 les ports utilisés.  Sur le routeur tu tag aussi la vlan 2 sur le port qui fait de la liaison switch réseau B.

Et le routeur, tu dois manager pour qu'il gère l'inter vlan afin que le réseau A puisse communiquer avec le réseau B.

 

 

Edited by MeowMeow
Link to comment
Share on other sites

Posted (edited)

le problème que j'ai c'est que le routeur 1 est une Livebox qui n'a aucune conf possible pour tag des vlan, est-ce nécessaire?

le routeur Linksys est en openwrt donc lui n'a aucun soucis de ce côté, je vais regarder pour faire ça.

Edited by Minikea
Link to comment
Share on other sites

Il y a 2 minutes, CryoGen a écrit :

A mon avis manque un schéma, sinon de ce que je lis on peut même se passer de VLAN...

j'ai mis un schéma dans le post au dessus.
Comme la Livebox est en DHCP (parce que sinon ça merde) et le routeur Linksys aussi, j'aimerai éviter que les PC accèdent au réseau de la LB et puissent récupérer une adresse en 192.168.2.0/24.
Si j'arrive à configurer la LB sans DHCP, effectivement, ça "devrait" fonctionner sans VLAN. peut-être même sans mettre deux réseaux locaux, d'ailleurs.

 

la config actuelle des VLAN (par défaut) sur le routeur:

image.png.65baeee7057b1d70da73260c9fe1fc45.png

Link to comment
Share on other sites

Si tu veux que cela fonctionne sans vlan,

LB - ( 192.168.2.0/24 )

Linksys - ( 192.168.1.0/24 )

 

Le "/24" te fait un masque de sous réseau de 255.255.255.0. Donc la communication est entre cette plage ip 192.168.2.1 --> 192.168.2.255

Idem pour le Linksys. 192.168.1.1 --> 192.168.1.255


Donc à cause de leur masque de sous réseau, ces 2 adresse ip ne peuvent communiqué ensemble.

Donc pour moi, il faut faudrait que tu passes en "/22" c'est à dire : 255.255.252.0

 

Voici la plage de communication :

Premiere machine         = 192.168.0.0
Derniere machine         = 192.168.3.255

 

Donc tes 2 réseaux sont pris dans cette plage de communication.

 

 

Link to comment
Share on other sites

@MeowMeow Je ne veux pas qu'ils communiquent ensemble justement! le but c'est que les PC ne puissent pas communiquer avec la livebox mais uniquement avec le routeur. la LB n'est là que pour fournir internet sur le port WAN du routeur.
Sinon ça va mettre le bordel au niveau des DHCP vu que j'en ai un sur la LB (pas le choix) et un sur le Lynksys (que je veux utiliser pour mon réseau domestique final car configuré comme il faut)

Link to comment
Share on other sites

Je demande un dessin sous Paint pour mieux visualiser le réseau :ane:

Si la Livebox est toute seule dans son coin en amont du routeur pour délivrer la patte WAN oui il n'y a pas vraiment besoin de VLAN. Suffit de dire à ton routeur que le port x où est branché la Livebox est ton port WAN et le reste ton réseau local.
Par contre je ne vois pas pourquoi tu ne veux pas désactiver le serveur DHCP de celle-ci vu qu'il n'y a que ton routeur derrière et qu'il a forcément une adresse fixe (après activé ou non de toute façon elle sera isolée donc ça ne changera rien).

Link to comment
Share on other sites

Posted (edited)
Il y a 8 minutes, Soltek a écrit :

Je demande un dessin sous Paint pour mieux visualiser le réseau :ane:

Si la Livebox est toute seule dans son coin en amont du routeur pour délivrer la patte WAN oui il n'y a pas vraiment besoin de VLAN. Suffit de dire à ton routeur que le port x où est branché la Livebox est ton port WAN et le reste ton réseau local.
Par contre je ne vois pas pourquoi tu ne veux pas désactiver le serveur DHCP de celle-ci vu qu'il n'y a que ton routeur derrière et qu'il a forcément une adresse fixe (après activé ou non de toute façon elle sera isolée donc ça ne changera rien).

voilà ce que je veux:

image.thumb.png.ad5cf61b0c254941ab96e94751842ad3.png

 

voilà ce que j'ai actuellement (et ce que je voudrai que ça fasse d'un point de vue fonctionnel)

image.thumb.png.8f4333267899a4aa6fe163d0dcd0cf67.png

Edited by Minikea
Link to comment
Share on other sites

Posted (edited)

et je précise parce que c'est pas clair mais la livebox et le routeur ne sont pas physiquement proches, donc je peux pas mettre directement un câble entre les deux.

(à moins que je puisse en fait, je vais étudier ça...)

bon en fait j'ai pu me débrouiller en mettant un câble en direct!

Iil va falloir que je me penche sérieusement sur les VLAN pour comprendre un peu comment ça fonctionne pour le futur.

Edited by Minikea
résolu/contourné
Link to comment
Share on other sites

Si ton switch no-name n'a rien d'autre que la LB et ton routeur, alors pas besoin de VLAN.

Ton routeur est en "coupure" entre le réseau de la LB et LAN, et pas de connexion niveau 2 (switch à switch en gros) : l'isolation vlan n'est pas nécessaire.

 

EDIT : je viens de piger que j'ai mal lu XD

Alors du coup, c'est intéressant d'utiliser les VLAN même si l'isolation par subnet peut suffire. L'avantage des VLAN c'est que même en modifiant la LB (méchant hacker 😄 ) il n'aura pas accès directement au VLAN "LAN".

Donc exemple :

  • VLAN10 pour le réseau LB
  • VLAN20 pour le réseau LAN (ou tu laisses par défaut VLAN1)

Sur le switch, tu mets le port sur lequel est branché la LB en mode "Access" sur le VLAN10, et idem pour le port WAN du routeur.
Sur le switch, le port branché sur le LAN du routeur en Access sur VLAN20. Tous les ports réseaux restants en Access VLAN20.

Edited by CryoGen
  • Merci 1
Link to comment
Share on other sites

  • Minikea changed the title to [Résolu/contourné] configuration Switch pour isolation d'un réseau
il y a une heure, Minikea a écrit :

@MeowMeow Je ne veux pas qu'ils communiquent ensemble justement! le but c'est que les PC ne puissent pas communiquer avec la livebox mais uniquement avec le routeur. la LB n'est là que pour fournir internet sur le port WAN du routeur.
Sinon ça va mettre le bordel au niveau des DHCP vu que j'en ai un sur la LB (pas le choix) et un sur le Lynksys (que je veux utiliser pour mon réseau domestique final car configuré comme il faut)

tu peux tout à fait désactiver le DHCP de la livebox c'est dans l'icone réseau voir case à cocher ci dessous

image.thumb.png.4eb4dcfd4d44ff3742805c2f821929ce.png

Link to comment
Share on other sites

la question n'est pas de savoir si je peux mais si ça fonctionne ensuite. et la réponse est que la LB n'arrive plus à communiquer avec le routeur si je fais ça (me demande pas pourquoi, la LB dès que tu sors du cas standard, tu a 0 support)

Link to comment
Share on other sites

Il y a 7 heures, Minikea a écrit :

la question n'est pas de savoir si je peux mais si ça fonctionne ensuite. et la réponse est que la LB n'arrive plus à communiquer avec le routeur si je fais ça (me demande pas pourquoi, la LB dès que tu sors du cas standard, tu a 0 support)

C'est parfaitement normal: il faut ensuite que tu fixes les paramètres IP WAN de ton Linksys par rapport à la livebox. Mais t'as pas besoin de faire ça, le DHCP est très bien.

 

Je sais que tu as résolu ton souci mais je vais me permettre un éclaircissement.

Les VLANs sont assez simple: si tu mets un VLAN Untagged, tout ce qui arrive normalement sur le port sera considéré étant du VLAN. Dans ton cas, si tu mettais un VLAN 10 comme te le disais Cryogen sur les ports LAN Livebox & WAN Linksys, seuls eux auraient pu communiquer entre eux... comme un câble !

Ensuite, tu ne touchais pas au reste du switch et tout était OK.

 

Si tu étais vraiment radin en porcs, tu aurais pu avoir un seul câble entre le Linksys et le switch.

Aussi, tu aurais la configuration suivante:

- Port 1: Livebox côté LAN: VLAN 10 UNTAGGED

- Port 2: Linksys. WAN sur VLAN 10 TAGGED & LAN sur VLAN 1 UNTAGGED. Le porc switch doit être en access et avec les 2 VLANs configurés correctement.

- les autres porcs on n'y touche pas.

 

L'avantage de faire ça:

- La livebox est une pute et gère pas les VLANs? Le switch le fait pour elle (dans la limite d'un seul VLAN par cochon)

- Tu grattes un porc. C'est cher les switchs 😄

- Tu te couches moins bête

- Tu peux propager. Imagine une configuration en deux switchs: tu pourrais avoir ta livebox dans un coin de la maison, le routeur dans un autre coin (souvent pour le wifi) et le switch au garage, tout en n'ayant pas à tirer des câble à gogo. Par contre oui, c'est plus compliqué 🙂

 

Egalement, tu peux créer 2 VLANs sur ton routeur, pour avoir deux zones distinctes, faire du routage et protéger ainsi mieux une partie du réseau. Moi je l'ai fait pour mon pc fixe, isolé du reste de mes merdes (philips hue, boitier shield tv connecté gogole, imprimante réseau avec un petit wifi embarqué...). L'avantage est que si le reste du réseau choppe une saleté, t'as de la marge avant que ta machine soit aussi contaminée. C'est pratique en cas d'adolescent présents dans le foyer.

 

  • Merci 1
Link to comment
Share on other sites

Il y a 11 minutes, patos a écrit :

C'est parfaitement normal: il faut ensuite que tu fixes les paramètres IP WAN de ton Linksys par rapport à la livebox.

non, même comme ça. apparemment la LB n'aime pas du tout les configurations où elle n'est pas le DHCP. mais bon, le jour où j'aurais du temps à perdre j'essaierai de monter tout ça sur le switch avec des vlan qui vont bien.

Link to comment
Share on other sites

Il y a 21 minutes, Minikea a écrit :

non, même comme ça. apparemment la LB n'aime pas du tout les configurations où elle n'est pas le DHCP. mais bon, le jour où j'aurais du temps à perdre j'essaierai de monter tout ça sur le switch avec des vlan qui vont bien.

Ben moi ça fonctionne bien. T'as dû péter autre chose 😉 (ou t'as trop fait le con sur ta livebox avant)

(Livebox 4, Pro 4 & 5)

Link to comment
Share on other sites

On 12/03/2021 at 20:44, patos a écrit :

Si tu étais vraiment radin en porcs, tu aurais pu avoir un seul câble entre le Linksys et le switch.

Aussi, tu aurais la configuration suivante:

- Port 1: Livebox côté LAN: VLAN 10 UNTAGGED

- Port 2: Linksys. WAN sur VLAN 10 TAGGED & LAN sur VLAN 1 UNTAGGED. Le porc switch doit être en access et avec les 2 VLANs configurés correctement.

- les autres porcs on n'y touche pas.

Mon switch refuse d'être en Access avec 2 vlan (dont un taggué) mais en trunk, pas de problème.

ça donnerai ça côté switch (avec la LB sur le port 17 et le routeur sur le port 5)

image.png.c2390abe2ff69e20286be102d059af1c.png

Il faut aussi configurer un truc côté routeur Linksys?

Link to comment
Share on other sites

Posted (edited)

bon voici la configuration finale qui fonctionne:

sur le switch:

image.png.6fc187b51aeac067f250c79537abc51c.png

image.png.790967e955a655d2e125401561bf26bd.png

j'ai finalement mis la Livebox sur le port combo-c 17 et le routeur sur le port combo-c 18.

sur le routeur:

image.png.28727d40b50ddadcd247371305ccd729.png

il fallait ajouter le VLAN 1 au port WAN et mettre en tagged le vlan 10 sur le port WAN

pour info sur le routeur, le CPU (eth0) correspond au port physique des ports LAN et le CPU (eth1) correspond au port physique du port WAN. il faut donc le modifier en adéquation.

merci à @CryoGen pour son aide sur la conf routeur (sur discord) et @patos pour la conf switch.

au fait: j'ai ré-essayé l'IP fixe sur la LB et le routeur et maintenant ça fonctionne. je vais pas chercher à comprendre, je devais avoir un autre problème précédemment.

Edited by Minikea
  • Aime 1
  • Merci 1
Link to comment
Share on other sites

  • Minikea changed the title to [Résolu] configuration Switch pour isolation d'un réseau

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...