VLAN derrière une livebox 5

[PierreCl]

Bonjour à tous !

J'espère que ce topic ne fera pas doublon (j'ai essayé de voir si des sujets similaires n'existaient pas déjà sur le forum, mais je n'ai pas trouvé), n'hésitez pas à me renvoyer vers un topic existant si c'est le cas...

Je fais une installation réseau semi-pro à domicile : une quinzaine de prises réseau dans mon habitation (wifi, PCs, TV et box TVs...), un gite attenant en location estivale disposant d'un point d'accès wifi dédié (donc une rocade RJ45 dédiée), et un futur réseau de vidéosurveillance qui sera composé d'une petite dizaine de caméras IP.

Sauf la partie vidéo, tout est déjà câblé dans une baie, et se connecte sur un switch Netgear GS724Tv4. 

J'aimerais créer trois réseau VLAN pour plus de sécurité, pour éviter par exemple qu'un locataire du gite puisse accéder à la vidéo ou autre, par exemple :

- VLAN10 : 192.168.10.0/24 pour mon réseau local domestique (wifi perso, PCs, TVs, serveur de fichiers...

- VLAN20 : 192.168.20.0/24 pour la partie vidéo

- VLAN30 : 192.168.30.0/24 pour la partie "invité" : gite, wifi invité...

Parce qu'une image vaut mille mots, ci-dessous ce que j'essaye de faire :

Etant débutant en la matière, j'ai essayé de m'informer et de configurer mon switch. D'après Netgear, le GS724T possède des fonctionnalités de niveau 3 (qui fait donc aussi du routage, ce qui me permettrait de me passer d'un routeur supplémentaire si j'ai bien compris).

Pour faire simple, je me suis basé sur ce tutoriel de Netgear : 

https://kb.netgear.com/fr/30818/Comment-configurer-le-routage-des-VLAN-sur-un-NETGEAR-switch-manageable-avec-un-accès-Internet-partagé?language=fr

Le souci, c'est que je ne peux pas réaliser l'étape "Ajoutez des routes statiques sur la passerelle Internet" car la LB5 est bridée sur ces fonctionnalités. La LB se trouve dans le même sous réseau que les appareils du VLAN10 donc cela irait, mais impossible donc de configurer les routes locales pour les VLAN20 et 30.

De plus, je souhaiterais éviter une configuration en double NAT,

 

Avez-vous une solution pour faire cela, ou peut-être d'autres idées ?

 

Merci par avance pour le temps passé à me lire et m'aider !

Bon dimanche 🙂

Modifié le 12 février 2023 par PierreCl

[Minikea]

une solution que j'ai utilisée, c'est d'avoir un routeur intermédiaire entre la LB et le reste, en DMZ. comme ça le NAT ne se fait que le routeur et, si tu prend un truc assez "expert-friendly", tu pourras y configurer tes vlan comme tu veux.

 

[PierreCl]

Merci pour ta réponse.

As-tu des modèles a me conseiller de ce qui peut s'apparenter à du expert-friendly ?

Cela ne présente pas de risque de passer en DMZ ?

Bonne soirée

[Minikea]

n'importe quel routeur qui correspond à tes besoins matériels (Wifi ou non,si oui quel norme,  prise 10Gbit ou non, etc) et compatible avec OpenWRT.

Le mieux c'est d'aller voir les matériels compatibles sur leur site et de faire son choix. OpenWRT est une excellente alternative pour les firmware de routeur, globalement au dessus de ceux des constructeurs.

généralement Lynksys et Netgear sont compatibles mais je te laisse aller voir sur https://openwrt.org/toh/views/toh_available_16128 (il faudra peut-être filtrer sur la dernière version disponible et des routeurs dispo en 2022 histoire de pas avoir des trucs trop vieux)
Actuellement, je pense que je me pencherais sur le E8450 de Lynksys si je devais choisir quelque chose, mais c'est par rapport à mes besoin, pas forcément les tiens.

Il y a 10 heures, PierreCl a dit :

Cela ne présente pas de risque de passer en DMZ ?

non, tu ne fais juste que déporter la sécurité de la LB vers le routeur.

[ashlol]

une remarque supplémentaire :

si tu as la fibre la LB5 ne dispose que de port 1gigabit ce qui est inférieur au débit total que tu peux avoir normalement 1.8Gbps (en fibre gigabit c'est mutualisé au total sur la LB et max 1giga par équipement) donc en faisant ce routage tu limites en fait le débit total au lien LB5 - routeur soit 1Gbps.

une autre remarque :)

il est tout à fait possible de virer la LB5 que tu sois en adsl ou fibre, tu perds juste la voip (téléphonie par internet / téléphone fixe) donc si tu ne t'en sert pas cela peut aussi être une option. Attention si tu es en fibre il faut demander un pto à l'opérateur d'infrastructure car la LB5 en intègre un.

sinon +1 à @Minikea le + simple est de mettre un routeur en openWRT sur la DMZ de la LB

[PierreCl]

Merci pour vos retours @Minikea et @ashlol !

Je vais réfléchir à ces solutions, je suis en déplacement en ce moment donc pas possible de l'appliquer de suite malheureusement.

Le 13/02/2023 à 21:29, ashlol a dit :

si tu as la fibre la LB5 ne dispose que de port 1gigabit ce qui est inférieur au débit total que tu peux avoir normalement 1.8Gbps (en fibre gigabit c'est mutualisé au total sur la LB et max 1giga par équipement) donc en faisant ce routage tu limites en fait le débit total au lien LB5 - routeur soit 1Gbps.

Merci pour l'information, je ne savais pas !

Je vous tiens au courant de l'avancée, et si je m'en sors 🙂

[PierreCl]

Bonjour,

Désolé du délai de retour. J'ai eu quelques soucis d'approvisionnement avec le routeur...

J'ai suivi les conseils de @Minikea et choisi un Netgear r7000, que j'ai flashé avec OpenWRT. Ma LB5 est en DMZ, c'est le routeur qui gère mon réseau. Jusque là, tout va bien. Voici le nouveau mapping visuel :

J'ai également commencé à configurer mon switch pour les VLAN que je veux créer. En suivant le fameux tuto de Netgear, j'ai créé mes VLAN, configuré les champ d'IP associés. Pour le moment, je configure le switch depuis le port 2. C'est pour cela qu'il est encore affecté au VLAN 1 par défaut. Le port 24 est un uplink vers un switch POE. Il est Taggé (T) sur les 3 VLAN.

Là où cela se gâte, c'est pour donner accès à internet aux VLAN créés. Sur le r7000, j'ai réalisé 3 routes qui correspondent à ces 3 VLAN.

Mais lorsque je branche un PC sur un des ports configurés VLAN de mon switch, je n'ai pas accès à internet.

Là où je pense que cela coince, c'est au moment de saisir la route par défaut du switch. Dans "Next Hop Adress", je devrais saisir l'adresse IP de sortie du r7000, soit 192.168.2.1, mais le switch refuse avec une pop-up "Error! The specified Static Route Next Hop Router Adress can't be in the same subnet as the service/network port".

J'ai donc saisi l'adresse d'entrée de mon routeur 192.168.1.10. Plus de pop-up, la route est saisie, mais cela ne règle pas le problème de connexion sur mes VLAN.

Je pense que pour quelqu'un qui maîtrise le sujet, ça doit sauter aux yeux 😅 Plus sérieusement, avez-vous une idée de ce qui pourrait clocher ?

Je vous met toute ma configuration switch en PJ si cela peut vous servir 🙂

Merci par avance pour votre aide !

 

startup-config (2)

Modifié le 24 mars 2023 par PierreCl

[Minikea]

Il y a 4 heures, PierreCl a dit :

J'ai donc saisi l'adresse d'entrée de mon routeur 192.168.1.10. Plus de pop-up, la route est saisie, mais cela ne règle pas le problème de connexion sur mes VLAN.

oui c'est bien ça.

 

Par contre, il faire un pont sur ton switch entre tes vlan et ton "vlan" box (celui par défaut). je ne sais plus trop comment ça se fait, mais je crois qu'il faut que tu tag le port sur lequel tu as ton routeur avec les 3 vlan.

[PierreCl]

Il y a 16 heures, Minikea a dit :

il faire un pont sur ton switch entre tes vlan et ton "vlan" box (celui par défaut). je ne sais plus trop comment ça se fait, mais je crois qu'il faut que tu tag le port sur lequel tu as ton routeur avec les 3 vlan.

Depuis le VLAN Membership du switch ?

Effectivement, j'avais oublié de tagger le port 23 (port de connexion du routeur sur le switch) sur les 3 VLAN, bien vu !

J'ai corrigé cela, mais aucun effet sur l'accès à internet via les VLAN créés... Pour les essais, j'ai seulement mis sur le VLAN 10 le port 1 sur lequel j'ai connecté un PC. J'ai laissé les autre ports sur le VLAN 1 par défaut le temps de la manip. Voici ce que ça donne sur le switch. Je met ci-dessous le vlan membership complet :

J'ai cherché sur des forums, ça pourrait venir aussi d'un problème de pare-feu ?

Merci par avance pour ton temps 🙂 

[Minikea]

j'avoue que je sèche un peu, je suis très peu calé en réseau, et je n'ai qu'un seul VLAN (1) chez moi + un pour la box (10)

tous mes ports sont en Untagged sur le VLAN 1 sauf celui de la box qui est en excluded

sur le VLAN 10, tout est excluded sauf le port de box qui est untagged et le port du routeur qui est tagged.

et au niveau du routeur, j''ai une config particulière, mon routeur n'est pas entre la box et le switch mais sur le switch, et l'isolation se fais par VLAN justement:

j'ai dû faire comme car le routeur et la box ne se trouve pas physiquement proches.

je sais pas si ça peut t'aider.

[brice.wernet]

Je réponds un tout petit peu vaseux, je ne connais pas du tout cette interface, et j'ai repris 3 fois le message en comprenant l'histoire du routeur. Et j'ai du mal à comrpendre si les captures sont le switch ou le routeur.

Je pense que ton problème est dans les routes.

1. Tes passerelles de VLAN sont spécifiées en .1 dans tes routes, alors que dans la capture elles sont en .254 (onglet routing)
2. Les routes avec une target 192.168.xxx.0/24: ces routes doivent permettre à tes VLAN de causer entre eux. Si tu veux de l'isolation entre les VLANs, n'en met pas.
3. Ton routeur est bien branché en 192.168.1.10 côté box  (WLAN) et 192.168.2.1 côté switch (LAN)?
4. Avant de tenter le point 5, tenter ceci:
   1. Dans ta route par défaut, 0.0.0.0/0 -> 192.168.2.1 (ton routeur côté switch) car ton routeur est un routeur: il est censé renvoyer ce qui est de l'internet vers sa patte WLAN.
   2. Je pense que cette default route est appliqué au VLAN 1/untagged
5. Est-ce que chaque VLAN a ses routes dans ton interface? Si c'est le cas on peut forcer:
   1. Une route par défaut serait: target: 0.0.0.0/0 -> Gateway:  192.168.2.1 (pour atteindre le routeur - mais ça me paraît étrange)
   2. Un truc "normal" serait que
      1. Dans le VLAN du routeur, tu aies une route 0.0.0.0 -> 192.168.2.1 (ton routeur, côté switch)
      2. Dans chaque autre VLAN, tu aies une route 0.0.0.0/0 -> 192.168.2.254  (VLAN du routeur) (aïe, ton routeur n'a pas de VLAN après relecture...)
         --> Ainsi, quand tu veut atteindre 1.2.3.4 depuis le VLAN 20, il envoie à la passerelle du 2, qui prend en charge et voit que ça doit aller sur le routeur
6. Si ça ne marche pas...
   1. Il faudra mettre le routeur dans un VLAN et mettre dans chaque VLAN une route par défaut vers le VLAN du routeur (le fameux 5.2.2)
   2. C'est quand même "mieux" d'avoir un VLAN internet, et ne pas reposer les équipement internet sur le réseau untagged.

 

 

[PierreCl]

Merci pour vos retours ! 

Je suis encore en déplacement, de retour fin de semaine pro... J'essaie ça dès que je rentre 🙂

[PierreCl]

Bonjour !

J'ai essayé quelques manips de ta liste @brice.wernet. Cependant, j'ai quelques questions pour pas faire de bétise :

Le 27/03/2023 à 09:32, brice.wernet a dit :

Tes passerelles de VLAN sont spécifiées en .1 dans tes routes, alors que dans la capture elles sont en .254 (onglet routing)

De quelles routes en .1 parles-tu ? J'ai du .0 sur le routeur, c'est celles-ci ? Dans ce cas je les passe en .254 ?

Le 27/03/2023 à 09:32, brice.wernet a dit :

Les routes avec une target 192.168.xxx.0/24: ces routes doivent permettre à tes VLAN de causer entre eux. Si tu veux de l'isolation entre les VLANs, n'en met pas.

ça marche, je les retire. Je pensais qu'elles permettaient chacune de donner accès à internet via la patte LAN du routeur (192.168.2.1) au VLAN correspondant.

Pour le point 3, je te confirme que c'est bien le cas. Voici les 2 interfaces définies sur mon routeur en IPv4:

Le 27/03/2023 à 09:32, brice.wernet a dit :

Avant de tenter le point 5, tenter ceci:

1. Dans ta route par défaut, 0.0.0.0/0 -> 192.168.2.1 (ton routeur côté switch) car ton routeur est un routeur: il est censé renvoyer ce qui est de l'internet vers sa patte WLAN.

 

C'est cette manip que je n'arrive pas à faire. Quand je veux entrer l'IP LAN de mon routeur (192.168.2.1) dans la defaultroute du switch, il m'envoie une popup d'erreur (voir message du 24 mars). Et je n'ai aucune idée de ce qui peut provoquer ça.

 

Le 27/03/2023 à 09:32, brice.wernet a dit :

Je pense que cette default route est appliqué au VLAN 1/untagged

Comment changer à quel VLAN elle s'applique dans ce cas ?

 

Le 27/03/2023 à 09:32, brice.wernet a dit :

Il faudra mettre le routeur dans un VLAN et mettre dans chaque VLAN une route par défaut vers le VLAN du routeur (le fameux 5.2.2)

Si je n'arrive pas à faire les manips précédentes, je vais faire un VLAN 2 internet avec le routeur dedans, dans ce cas plus besoin qu'il soit entre la box et le switch je pense. Car comme tu dis, je ne suis pas fan de reposer sur le réseau untagged...

Merci encore par avance pour le temps passé à me lire et m'aider !

[ashlol]

il y a 12 minutes, PierreCl a dit :

C'est cette manip que je n'arrive pas à faire. Quand je veux entrer l'IP LAN de mon routeur (192.168.2.1) dans la defaultroute du switch, il m'envoie une popup d'erreur (voir message du 24 mars). Et je n'ai aucune idée de ce qui peut provoquer ça.

t'es branché sur quel port avec quelle ip quand tu configures ton switch ? changes en pour tester.

[L33thium]

Si tu fait 3 vlan et que tu veux différents sous-réseaux entre eux, sur ton routeur openwrt tu dois créer des interfaces réseaux virtuelles pour configurer dhcp et le routage indépendamment les uns des autres :

si ton port lan connecté au switch est eth1, tu dois donc, par exemple laissé erh1 untagged et sans dhcp, créer les interfaces eth1,1, eth1,2, eth1,3 taggés pour vlan10, vlan20, vlan30, ip statiques sur le routeur 192.168.10.1, 192.168.20.1, 192.168.30.1 et un serveur dhcp sur chacun.

Comme ça ton routeur gère 3 lan différents isolés les uns des autres sauf si tu décide de règles de routage entre eux.

[brice.wernet]

Il y a 23 heures, PierreCl a dit :

De quelles routes en .1 parles-tu ? J'ai du .0 sur le routeur, c'est celles-ci ? Dans ce cas je les passe en .254 ?

Oups, je crois que j'ai lu à l'envers.

Donc sur le R7000 (le routeur), tu voulais définir des routes vers les 3 VLAN. Pour moi, tu as fait l'inverse:

• Ton R7000 est en 192.168.2.1 (untagged) et tu veux qu'il sache renvoyer les paquets en 192.168.10.x, 192.168.20.x, 192.168.30.x, ça fait:
  • Target: 192.168.10.0/24 (ok)
  • Gateway: 192.168.10.254 (actuellement, tu as mis 192.168.2.1, donc ton R7000 se renvoie tout seul les paquets 🙂 )

Il y a 23 heures, PierreCl a dit :

C'est cette manip que je n'arrive pas à faire. Quand je veux entrer l'IP LAN de mon routeur (192.168.2.1) dans la defaultroute du switch, il m'envoie une popup d'erreur (voir message du 24 mars). Et je n'ai aucune idée de ce qui peut provoquer ça.

@ashlol a mis le doigt dessus: il suffit de lire le message: le nexthop ne peut pas être dans le même sous-réseau que les ports de service (donc pas en .2!)

Je pense que tu dois:

• ajouter un VLAN pour le routeur (mettons 2, effectivement comme dans ton message)
• mettre des routes par défaut vers ce VLAN dans chaque autre VLAN
  • Sur le VLAN 10: route par défaut --> 192.168.2.1
  • Et si ça ne marche pas, ajouter une route 192.168.2.0/24: gateway 192.168.10.254 (pour lui dire de sortir sur la passerelle du VLAN)

Concernant le message de @L33thium, du coup je me demande: quel appareil est en OpenWRT?

De tes captures, pour moi tes passerelles sont en .254

 

Bon courage, c'est toujours un peu tordu (c'est pas facile à expliquer par rapport à des interfaces qu'on n'a pas sous la main)

[L33thium]

il y a 50 minutes, brice.wernet a dit :

Concernant le message de @L33thium, du coup je me demande: quel appareil est en OpenWRT?

Le routeur. Les vlan sont configuré sur le switch, le routeur doit être configuré pour se connecter aux 3 vlan et les router comme 3 réseaux différents.

[brice.wernet]

Le 10/04/2023 à 15:07, L33thium a dit :

si ton port lan connecté au switch est eth1, tu dois donc, par exemple laissé erh1 untagged et sans dhcp, créer les interfaces eth1,1, eth1,2, eth1,3 taggés pour vlan10, vlan20, vlan30, ip statiques sur le routeur 192.168.10.1, 192.168.20.1, 192.168.30.1 et un serveur dhcp sur chacun.

C'est une bonne solution, dans ce cas le routeur aura des interfaces de passerelle dans chaque VLAN. La route par défaut de chaque VLAN va alors vers le routeur et pas de VLAN spécifique pour le routeur, il reste en untagged.

C'est d'ailleurs plus naturel, le routeur faisant son taf de routeur et le switch son taf de switch. Je ne savais pas que c'était possible sur le routeur.